Antaŭ pluraj jaroj, kiam ni komencis efektivigi Ŝanĝan Revizoron en unu banko, ni rimarkis grandegan aron da PowerShell-skriptoj, kiuj plenumis ĝuste la saman reviziotaskon, sed uzante improvizitan metodon. De tiam pasis multe da tempo, la kliento ankoraŭ uzas Ŝanĝan Revizoron kaj memoras la subtenon de ĉiuj tiuj skriptoj kiel malbona sonĝo. Tiu sonĝo povus iĝi koŝmaro se la persono, kiu servis la skriptojn en unu persono, ĵus rezignis, haste forgesante transdoni sekretan scion. Ni aŭdis de kolegoj, ke tiaj kazoj okazis tie kaj tie kaj tio tiam alportis gravan kaoson al la laboro de la informsekureca departemento. En ĉi tiu artikolo, ni parolos pri la ĉefaj avantaĝoj de Ŝanĝa Revizoro kaj anoncos retseminarion la 29-an de julio pri ĉi tiu auditoria aŭtomatiga ilo. Sub la tranĉo estas ĉiuj detaloj.
La supra ekrankopio montras la retinterfacon de IT Security Search kun guglo-simila serĉbreto, en kiu estas oportune ordigi eventojn de Ŝanĝi Revizoro kaj agordi vidojn.
Ŝanĝa Revizoro estas potenca ilo por revizii ŝanĝojn en Mikrosofta infrastrukturo, diskoj kaj VMware. Aŭdito subtenataj: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Estas antaŭinstalitaj raportoj por konformeco al normoj GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
Metriko estas kolektitaj de Vindozaj serviloj en agent-bazita maniero, kio permesas revizii uzante profundan integriĝon en vokojn ene de AD kaj, kiel la vendisto mem skribas, ĉi tiu metodo detektas ŝanĝojn eĉ en profunde nestitaj grupoj kaj enkondukas malpli da ŝarĝo ol dum skribado, legado kaj preni protokolojn (tiel ili funkcias ). Vi povas kontroli ĝin ĉe alta ŝarĝo. Sekve de ĉi tiu malaltnivela integriĝo, en Quest Change Auditor vi povas vetoi iujn ŝanĝojn por certaj objektoj, eĉ por uzantoj ĉe la Enterprise Admin-nivelo. Tio estas, protektu vin kontraŭ malicaj AD-administrantoj.
En Ŝanĝa Revizoro, ĉiuj ŝanĝoj estas normaligitaj al la 5W-tipo - Kiu, Kio, Kie, Kiam, Laborstacio (Kiu, Kio, Kie, Kiam kaj sur kiu laborstacio). Ĉi tiu formato permesas vin unuigi eventojn ricevitajn de malsamaj fontoj.
La 2-an de junio 2020, nova versio de Ŝanĝa Revizoro estis publikigita - 7.1. Ĝi havas la sekvajn ŝlosilajn plibonigojn:
- Pass-the-Ticket minaco-detekto (identigo de Kerberos Tickets kun limdato kiu superas la domajnan politikon, kiu povas indiki eblan Golden Ticket-atakon);
- revizio de sukcesaj kaj malsukcesaj NTLM-aŭtentikigoj (vi povas determini la NTLM-version kaj sciigi pri aplikaĵoj, kiuj uzas v1);
- revizio de sukcesaj kaj malsukcesaj Kerberos-konfirmoj;
- Deplojante reviziajn agentojn en najbara AD-arbaro.
La ekrankopio montras identigitan minacon kun longa valideco de la Kerberos Bileto.
Kune kun alia produkto de Quest - On Demand Audit, vi povas kontroli hibridajn mediojn de ununura interfaco kaj kontroli ensalutojn en AD, Azure AD kaj ŝanĝojn en Office 365.
Alia avantaĝo de Change Auditor estas la ebleco de eksterkesta integriĝo kun SIEM-sistemo rekte aŭ per alia Quest-produkto - InTrust. Se vi agordas tian integriĝon, vi povas plenumi aŭtomatigitajn agojn por subpremi atakon per InTrust, kaj en la sama Elastic Stack vi povas agordi vidojn kaj doni aliron al kolegoj por vidi historiajn datumojn.
Por lerni pli pri Ŝanĝa Revizoro, ni invitas vin ĉeesti la retseminarion, kiu okazos la 29-an de julio je la 11-a horo de Moskvo. Post la retseminario vi povos demandi ajnajn demandojn, kiujn vi povas havi.
Pliaj artikoloj pri Quest-sekurecaj solvoj:
Vi povas sendi peton por konsulto, distribuo aŭ pilota projekto tra en nia retejo. Estas ankaŭ priskriboj de proponitaj solvoj.
fonto: www.habr.com