Hace varios años, cuando comenzamos a implementar Change Auditor en un banco, notamos una gran variedad de scripts de PowerShell que realizaban exactamente la misma tarea de auditoría, pero utilizando un método improvisado. Ha pasado mucho tiempo desde entonces, el cliente todavía usa Change Auditor y recuerda el soporte de todos esos scripts como un mal sueño. Ese sueño podría haberse convertido en una pesadilla si la persona que entregó los guiones en una sola persona simplemente hubiera renunciado, olvidándose apresuradamente de transferir conocimientos secretos. Hemos oído a colegas decir que casos similares ocurrieron aquí y allá, lo que provocó un caos considerable en el trabajo del departamento de seguridad de la información. En este artículo hablaremos de las principales ventajas de Change Auditor y anunciaremos un webinar el 29 de julio sobre esta herramienta de automatización de auditorías. Debajo del corte están todos los detalles.
La captura de pantalla anterior muestra la interfaz web de IT Security Search con una barra de búsqueda similar a la de Google, en la que es conveniente ordenar eventos de Change Auditor y configurar vistas.
Change Auditor es una poderosa herramienta para auditar cambios en la infraestructura de Microsoft, matrices de discos y VMware. Auditoría admitida: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Hay informes preinstalados para el cumplimiento de los estándares GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
Las métricas se recopilan de los servidores de Windows mediante agentes, lo que permite realizar auditorías mediante una integración profunda en las llamadas dentro de AD y, como escribe el propio proveedor, este método detecta cambios incluso en grupos profundamente anidados e introduce menos carga que cuando se escribe, lee y recuperar registros (así es como funcionan) ). Puedes comprobarlo con carga alta. Como consecuencia de esta integración de bajo nivel, en Quest Change Auditor puede vetar ciertos cambios para ciertos objetos, incluso para usuarios en el nivel de administrador empresarial. Es decir, protéjase de administradores de AD maliciosos.
En Change Auditor, todos los cambios están normalizados al tipo 5W: quién, qué, dónde, cuándo, estación de trabajo (quién, qué, dónde, cuándo y en qué estación de trabajo). Este formato le permite unificar eventos recibidos de diferentes fuentes.
El 2 de junio de 2020, se lanzó una nueva versión de Change Auditor: 7.1. Tiene las siguientes mejoras clave:
- Detección de amenazas Pass-the-Ticket (identificación de Tickets Kerberos con una fecha de vencimiento que excede la política del dominio, lo que puede indicar un posible ataque Golden Ticket);
- auditoría de autenticaciones NTLM exitosas y fallidas (puede determinar la versión NTLM y notificar sobre aplicaciones que usan v1);
- auditoría de autenticaciones Kerberos exitosas y fallidas;
- Implementar agentes de auditoría en un bosque AD vecino.
La captura de pantalla muestra una amenaza identificada con un largo período de validez del Ticket Kerberos.
Junto con otro producto de Quest: On Demand Audit, puede auditar entornos híbridos desde una única interfaz y monitorear los inicios de sesión en AD, Azure AD y los cambios en Office 365.
Otra ventaja de Change Auditor es la posibilidad de integración inmediata con un sistema SIEM directamente o mediante otro producto de Quest: InTrust. Si configura dicha integración, puede realizar acciones automatizadas para suprimir un ataque a través de InTrust, y en el mismo Elastic Stack puede configurar vistas y dar acceso a colegas para ver datos históricos.
Para obtener más información sobre Change Auditor, lo invitamos a asistir al seminario web que tendrá lugar el 29 de julio a las 11 a. m., hora de Moscú. Después del seminario web podrás hacer cualquier pregunta que puedas tener.
Más artículos sobre las soluciones de seguridad de Quest:
Puede enviar una solicitud de consulta, distribución o proyecto piloto a través de en nuestra página web. También hay descripciones de las soluciones propuestas.
Fuente: habr.com