Mitu aastat tagasi, kui alustasime Change Auditori juurutamist ühes pangas, märkasime tohutut hulka PowerShelli skripte, mis täitsid täpselt sama auditiülesannet, kuid kasutasid ajutist meetodit. Sellest ajast on palju aega möödas, klient kasutab endiselt Change Auditorit ja mäletab kõigi nende skriptide toetust nagu halb unenägu. See unenägu oleks võinud muutuda õudusunenäoks, kui isik, kes teenindas stsenaariume ühes isikus, oleks lihtsalt töölt lahkunud, unustades kiiruga salateadmisi edasi anda. Kolleegidelt kuulsime, et selliseid juhtumeid juhtus siin-seal ja see tõi siis infoturbe osakonna töösse olulise kaose. Selles artiklis räägime Change Auditori peamistest eelistest ja kuulutame välja selle auditi automatiseerimise tööriista veebiseminari 29. juulil. Lõike all on kõik detailid.
Ülaltoodud ekraanipildil on näha IT-turbeotsingu veebiliidest koos google-laadse otsinguribaga, milles on mugav Change Auditorist sündmusi sorteerida ja vaateid seadistada.
Change Auditor on võimas tööriist Microsofti infrastruktuuri, kettamassiivide ja VMware muudatuste auditeerimiseks. Toetatud audit: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windowsi failiserver, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Seal on eelinstallitud aruanded vastavuse kohta GDPR, SOX, PCI, HIPAA, FISMA, GLBA standarditele.
Mõõdikud kogutakse Windowsi serveritest agendipõhiselt, mis võimaldab auditeerida, kasutades sügavat integratsiooni AD-siseste kõnedega ning nagu müüja ise kirjutab, tuvastab see meetod muutused isegi sügavalt pesastatud rühmades ning tekitab vähem koormust kui kirjutamisel, lugemisel ja logide otsimine (nii nad töötavad ). Saate seda kontrollida suure koormuse korral. Selle madalatasemelise integratsiooni tulemusena saate Quest Change Auditoris teatud objektide teatud muudatustele veto panna, isegi ettevõtte administraatori tasemel kasutajatele. See tähendab, et kaitske end pahatahtlike AD-administraatorite eest.
Muudatuste audiitoris normaliseeritakse kõik muudatused 5W tüüpi - kes, mis, kus, millal, tööjaam (kes, mis, kus, millal ja millisel tööjaamal). See vorming võimaldab ühendada erinevatest allikatest saadud sündmusi.
2. juunil 2020 ilmus Change Auditori uus versioon – 7.1. Sellel on järgmised peamised täiustused:
- Pass-the-Ticket ohu tuvastamine (Kerberose piletite tuvastamine, mille aegumiskuupäev ületab domeenipoliitikat, mis võib viidata potentsiaalsele Golden Ticketi rünnakule);
- edukate ja ebaõnnestunud NTLM-autentimiste audit (saate määrata NTLM-i versiooni ja teavitada rakendustest, mis kasutavad v1);
- edukate ja ebaõnnestunud Kerberose autentimiste audit;
- Auditi agentide juurutamine naabruses asuvas AD metsas.
Ekraanitõmmis näitab tuvastatud ohtu Kerberose pileti pika kehtivusajaga.
Koos teise Quest – On Demand Auditi tootega saate hübriidkeskkondi auditeerida ühest liidesest ning jälgida sisselogimisi AD-s, Azure AD-s ja muudatusi Office 365-s.
Teine Change Auditori eelis on võimalus integreerida kastist välja SIEM-süsteemiga otse või läbi mõne teise Questi toote – InTrust. Kui seadistate sellise integratsiooni, saate InTrusti kaudu rünnaku mahasurumiseks teha automatiseeritud toiminguid ning samas elastses virnas saate seadistada vaateid ja anda kolleegidele juurdepääsu ajalooliste andmete vaatamiseks.
Muuda audiitori kohta lisateabe saamiseks kutsume teid osalema veebiseminaril, mis toimub 29. juulil kell 11 Moskva aja järgi. Pärast veebiseminari saate esitada küsimusi, mis teil on.
Rohkem artikleid Questi turvalahenduste kohta:
Konsultatsiooni, levitamise või pilootprojekti taotluse saate esitada läbi meie veebisaidil. Samuti on pakutud lahenduste kirjeldused.
Allikas: www.habr.com