Duela urte batzuk, Change Auditor banku batean inplementatzen hasi ginenean, ikuskaritza-zeregin bera egiten zuten PowerShell script sorta handi bat nabaritu genuen, baina modu artisau batean. Ordutik denbora asko igaro da, bezeroak oraindik ere Change Auditor erabiltzen du eta script horien guztien laguntza amesgaizto gisa gogoratzen du. Amets hori ere amesgaizto bihur liteke gidoiak pertsona bakarrean zerbitzatu zituenak hartu eta utziko balu, ezagutza sekretua transferitzea presaka ahaztuz. Lankideen eskutik, halako kasuak zenbait lekutan gertatu zirela entzun genuen eta horrek kaos handia ekarri zuen informazio segurtasun sailaren lanean. Artikulu honetan, Change Auditor-en onura nagusiei buruz hitz egingo dugu eta webinar bat iragarriko dugu uztailaren 29an auditoretza automatizatzeko tresna honi buruz. Ebaki azpian xehetasun guztiak.
Goiko pantaila-argazkiak IT Segurtasun Bilaketa web-interfazea erakusten du Google-ren antzeko bilaketa-barra batekin, eta bertan erosoa den gertaerak Change Auditoretik ordenatzea eta ikuspegiak pertsonalizatzea.
Change Auditor Microsoft-en azpiegitura, disko-matrize eta VMware-ren aldaketak ikuskatzeko tresna indartsua da. Ikuskaritza onartzen da: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Aurrez instalatutako txostenak daude GDPR, SOX, PCI, HIPAA, FISMA, GLBA estandarrak betetzeko.
Metrikak Windows zerbitzarietatik biltzen dira agenteetan oinarrituta, eta horrek AD barruko deietan integrazio sakona erabiliz ikuskatzea ahalbidetzen du eta, saltzaileak berak idazten duen moduan, metodo honek aldaketak detektatzen ditu sakon habiaratu diren taldeetan ere eta idaztean baino karga txikiagoa sartzen du. erregistroak irakurtzea eta ateratzea (horrela funtzionatzen dute ). Karga handiarekin egiaztatu dezakezu. Maila baxuko integrazio honen ondorioz, Quest Change Auditor-en, zenbait objekturen aldaketak betoa jar ditzakezu, baita Enterprise Admin mailako erabiltzaileentzat ere. Hau da, AD administratzaile gaiztoetatik babesteko.
Change Auditor-en, aldaketa guztiak 5W ikuspegira normaltzen dira - Nor, Zer, Non, Noiz, Lanpostua (Nor, Zer, Non, Noiz eta zein lantokian). Formatu honek iturri ezberdinetatik jasotako gertaerak bateratzeko aukera ematen du.
2ko ekainaren 2020an, Change Auditor-en bertsio berri bat kaleratu zen - 7.1. Funtsezko hobekuntza hauek ditu:
- Pass-the-Ticket mehatxuak hautematea (domeinu-politika gainditzen duen iraungitze-data duten Kerberos Ticketen detekzioa, eta horrek balizko Golden Ticket-en eraso bat adieraz dezake);
- NTLM autentifikazio arrakastatsuen eta arrakastatsuen auditoria (NTLMren bertsioa zehaztu dezakezu eta v1 erabiltzen duten aplikazioei buruz jakinarazi);
- Kerberos autentifikazio arrakastatsuen eta arrakastatsuen auditoria;
- Ikuskaritza-agenteak aldameneko AD baso batean zabaltzea.
Pantaila-argazkiak Kerberos Ticket-en balio-epe luzea duen antzemandako mehatxu bat erakusten du.
Quest - On Demand Audit-eko beste produktu batekin batera, ingurune hibridoak ikus ditzakezu interfaze bakar batetik eta AD, Azure AD-n eta Office 365-en aldaketak kontrolatu eta saioak kontrola ditzakezu.
Change Auditor-en beste abantaila bat SIEM sistema batekin kaxatik kanpo integratzeko aukera da, zuzenean edo Quest beste produktu baten bidez - InTrust. Integrazio hori konfiguratzen baduzu, InTrust-en bidez eraso bat kentzeko ekintza automatizatuak egin ditzakezu eta Elastic Stack berean bistak konfiguratu eta lankideei datu historikoak ikusteko sarbidea eman.
Change Auditor-ari buruz gehiago jakiteko, uztailaren 29an Moskuko 11:XNUMXetan egingo den webinarrera joateko gonbidatzen zaitugu. Webinar-aren ostean, zure galderak egiteko aukera izango duzu.
Quest segurtasun irtenbideei buruzko beste artikulu batzuk:
Kontsulta, banaketa-kit edo proiektu pilotu baten eskaera utz dezakezu gure webgunean. Proposatutako irtenbideen deskribapenak ere badaude.
Iturria: www.habr.com