Als wir vor ein paar Jahren mit der Implementierung von Change Auditor in einer Bank begannen, bemerkten wir eine riesige Auswahl an PowerShell-Skripten, die genau die gleiche Prüfaufgabe ausführten, allerdings auf handwerkliche Weise. Seitdem ist viel Zeit vergangen, der Kunde nutzt immer noch Change Auditor und erinnert sich an die Unterstützung all dieser Skripte als Albtraum. Dieser Traum könnte auch zu einem Albtraum werden, wenn die Person, die die Drehbücher in einer Person geliefert hat, ihn annimmt und aufgibt und dabei hastig vergisst, geheimes Wissen weiterzugeben. Von Kollegen erfuhren wir, dass es an manchen Orten zu solchen Fällen kam und dies dann zu erheblichem Chaos in der Arbeit der Informationssicherheitsabteilung führte. In diesem Artikel werden wir über die Hauptvorteile von Change Auditor sprechen und für den 29. Juli ein Webinar zu diesem Audit-Automatisierungstool ankündigen. Unter dem Schnitt alle Details.
Der Screenshot oben zeigt die Weboberfläche von IT Security Search mit einer Google-ähnlichen Suchleiste, in der es bequem ist, Ereignisse aus Change Auditor zu sortieren und Ansichten anzupassen.
Change Auditor ist ein leistungsstarkes Tool zur Prüfung von Änderungen in der Microsoft-Infrastruktur, Festplatten-Arrays und VMware. Unterstützte Audits: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Es gibt vorinstallierte Berichte zur Einhaltung der Standards DSGVO, SOX, PCI, HIPAA, FISMA und GLBA.
Metriken werden agentenbasiert von Windows-Servern gesammelt, was Ihnen eine Prüfung durch tiefe Integration in Aufrufe innerhalb von AD ermöglicht. Wie der Anbieter selbst schreibt, erkennt diese Methode Änderungen selbst in tief verschachtelten Gruppen und verursacht weniger Last als beim Schreiben. Protokolle lesen und extrahieren (so funktionieren sie). ). Sie können es unter hoher Last überprüfen. Aufgrund dieser Low-Level-Integration können Sie in Quest Change Auditor bestimmte Änderungen für bestimmte Objekte ablehnen, selbst für Benutzer mit Enterprise-Administratorebene. Das heißt, um sich vor böswilligen AD-Administratoren zu schützen.
Im Change Auditor werden alle Änderungen auf die 5W-Ansicht normalisiert – Wer, Was, Wo, Wann, Arbeitsplatz (Wer, Was, Wo, Wann und auf welchem Arbeitsplatz). Mit diesem Format können Sie die aus verschiedenen Quellen empfangenen Ereignisse vereinheitlichen.
Am 2. Juni 2020 wurde eine neue Version von Change Auditor veröffentlicht – 7.1. Es weist die folgenden wesentlichen Verbesserungen auf:
- Pass-the-Ticket-Bedrohungserkennung (Erkennung von Kerberos-Tickets mit einem Ablaufdatum, das die Domänenrichtlinie überschreitet, was auf einen möglichen Golden-Ticket-Angriff hinweisen kann);
- Prüfung erfolgreicher und fehlgeschlagener NTLM-Authentifizierungen (Sie können die Version von NTLM ermitteln und über Anwendungen benachrichtigen, die v1 verwenden);
- Prüfung erfolgreicher und fehlgeschlagener Kerberos-Authentifizierungen;
- Bereitstellung von Überwachungsagenten in einer benachbarten AD-Gesamtstruktur.
Der Screenshot zeigt eine erkannte Bedrohung mit einer langen Gültigkeitsdauer des Kerberos-Tickets.
Zusammen mit einem anderen Produkt von Quest – On Demand Audit – können Sie Hybridumgebungen über eine einzige Schnittstelle prüfen und Anmeldungen in AD, Azure AD und Änderungen in Office 365 überwachen.
Ein weiterer Vorteil von Change Auditor ist die Möglichkeit der sofort einsatzbereiten Integration mit einem SIEM-System direkt oder über ein anderes Quest-Produkt – InTrust. Wenn Sie eine solche Integration einrichten, können Sie automatisierte Aktionen durchführen, um einen Angriff über InTrust zu unterdrücken, Ansichten im selben Elastic Stack einrichten und Kollegen Zugriff auf die Anzeige historischer Daten gewähren.
Um mehr über Change Auditor zu erfahren, laden wir Sie ein, am Webinar teilzunehmen, das am 29. Juli um 11 Uhr Moskauer Zeit stattfindet. Nach dem Webinar haben Sie die Möglichkeit, Ihre Fragen zu stellen.
Weitere Artikel über Quest-Sicherheitslösungen:
Sie können eine Anfrage für eine Beratung, ein Verteilungspaket oder ein Pilotprojekt hinterlassen auf unserer Website. Es gibt auch Beschreibungen der vorgeschlagenen Lösungen.
Source: habr.com