Πριν από αρκετά χρόνια, όταν ξεκινήσαμε να εφαρμόζουμε το Change Auditor σε μια τράπεζα, παρατηρήσαμε μια τεράστια σειρά σεναρίων PowerShell που εκτελούσαν ακριβώς την ίδια εργασία ελέγχου, αλλά χρησιμοποιώντας μια αυτοσχέδια μέθοδο. Έχει περάσει πολύς χρόνος από τότε, ο πελάτης εξακολουθεί να χρησιμοποιεί το Change Auditor και θυμάται την υποστήριξη όλων αυτών των σεναρίων σαν ένα κακό όνειρο. Αυτό το όνειρο θα μπορούσε να είχε μετατραπεί σε εφιάλτη αν το άτομο που σέρβιρε τα σενάρια σε ένα άτομο είχε μόλις παραιτηθεί, ξεχνώντας βιαστικά να μεταφέρει μυστικές γνώσεις. Ακούσαμε από συναδέλφους ότι τέτοιες περιπτώσεις συνέβαιναν πού και πού και αυτό στη συνέχεια έφερε σημαντικό χάος στις εργασίες του τμήματος ασφάλειας πληροφοριών. Σε αυτό το άρθρο, θα μιλήσουμε για τα κύρια πλεονεκτήματα του Change Auditor και θα ανακοινώσουμε ένα διαδικτυακό σεμινάριο στις 29 Ιουλίου σχετικά με αυτό το εργαλείο αυτοματισμού ελέγχου. Κάτω από το κόψιμο είναι όλες οι λεπτομέρειες.
Το παραπάνω στιγμιότυπο οθόνης δείχνει τη διεπαφή ιστού της Αναζήτησης Ασφάλειας IT με μια γραμμή αναζήτησης που μοιάζει με το google, στην οποία είναι βολικό να ταξινομήσετε συμβάντα από το Change Auditor και να διαμορφώσετε τις προβολές.
Το Change Auditor είναι ένα ισχυρό εργαλείο για τον έλεγχο αλλαγών στην υποδομή της Microsoft, τις συστοιχίες δίσκων και το VMware. Υποστηριζόμενος έλεγχος: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Υπάρχουν προεγκατεστημένες αναφορές για συμμόρφωση με τα πρότυπα GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
Οι μετρήσεις συλλέγονται από διακομιστές Windows με τρόπο που βασίζεται σε πράκτορα, ο οποίος επιτρέπει τον έλεγχο χρησιμοποιώντας βαθιά ενσωμάτωση σε κλήσεις εντός AD και, όπως γράφει ο ίδιος ο προμηθευτής, αυτή η μέθοδος εντοπίζει αλλαγές ακόμη και σε βαθιά ένθετες ομάδες και εισάγει λιγότερο φορτίο από ό,τι κατά τη σύνταξη, την ανάγνωση και την ανάγνωση και ανάκτηση αρχείων καταγραφής (έτσι λειτουργούν ). Μπορείτε να το ελέγξετε σε υψηλό φορτίο. Ως συνέπεια αυτής της ενοποίησης χαμηλού επιπέδου, στο Quest Change Auditor μπορείτε να ασκήσετε βέτο σε ορισμένες αλλαγές για ορισμένα αντικείμενα, ακόμη και για χρήστες σε επίπεδο Enterprise Admin. Δηλαδή, προστατέψτε τον εαυτό σας από κακόβουλους διαχειριστές AD.
Στο Change Auditor, όλες οι αλλαγές κανονικοποιούνται στον τύπο 5W - Who, What, Where, When, Workstation (Who, What, Where, Πότε και σε ποιο σταθμό εργασίας). Αυτή η μορφή σάς επιτρέπει να ενοποιείτε συμβάντα που λαμβάνονται από διαφορετικές πηγές.
Στις 2 Ιουνίου 2020, κυκλοφόρησε μια νέα έκδοση του Change Auditor - 7.1. Έχει τις ακόλουθες βασικές βελτιώσεις:
- Ανίχνευση απειλής Pass-the-Ticket (αναγνώριση Kerberos Tickets με ημερομηνία λήξης που υπερβαίνει την πολιτική τομέα, η οποία μπορεί να υποδεικνύει μια πιθανή επίθεση Golden Ticket).
- έλεγχος επιτυχών και αποτυχημένων ελέγχων ταυτότητας NTLM (μπορείτε να προσδιορίσετε την έκδοση NTLM και να ειδοποιήσετε για εφαρμογές που χρησιμοποιούν v1).
- έλεγχος επιτυχών και αποτυχημένων ελέγχων ταυτότητας Kerberos.
- Ανάπτυξη πρακτόρων ελέγχου σε γειτονικό δάσος AD.
Το στιγμιότυπο οθόνης δείχνει μια αναγνωρισμένη απειλή με μεγάλη περίοδο ισχύος του Kerberos Ticket.
Μαζί με ένα άλλο προϊόν από το Quest - On Demand Audit, μπορείτε να ελέγχετε υβριδικά περιβάλλοντα από μια ενιαία διεπαφή και να παρακολουθείτε τις συνδέσεις στο AD, το Azure AD και τις αλλαγές στο Office 365.
Ένα άλλο πλεονέκτημα του Change Auditor είναι η δυνατότητα out-of-box ενσωμάτωσης με ένα σύστημα SIEM απευθείας ή μέσω άλλου προϊόντος Quest - InTrust. Εάν ρυθμίσετε μια τέτοια ενσωμάτωση, μπορείτε να εκτελέσετε αυτοματοποιημένες ενέργειες για την καταστολή μιας επίθεσης μέσω του InTrust και στο ίδιο Elastic Stack μπορείτε να ρυθμίσετε προβολές και να δώσετε πρόσβαση σε συναδέλφους για προβολή δεδομένων ιστορικού.
Για να μάθετε περισσότερα για το Change Auditor, σας προσκαλούμε να παρακολουθήσετε το διαδικτυακό σεμινάριο, το οποίο θα πραγματοποιηθεί στις 29 Ιουλίου στις 11 π.μ. ώρα Μόσχας. Μετά το διαδικτυακό σεμινάριο θα μπορείτε να κάνετε όποιες ερωτήσεις μπορεί να έχετε.
Περισσότερα άρθρα σχετικά με τις λύσεις ασφαλείας Quest:
Μπορείτε να υποβάλετε αίτημα για διαβούλευση, διανομή ή ένα πιλοτικό έργο μέσω στην ιστοσελίδα μας. Υπάρχουν επίσης περιγραφές των προτεινόμενων λύσεων.
Πηγή: www.habr.com