چندین سال پیش، زمانی که ما اجرای Change Auditor را در یک بانک آغاز کردیم، متوجه مجموعه عظیمی از اسکریپتهای PowerShell شدیم که دقیقاً همان کار حسابرسی را انجام میدادند، اما از یک روش موقت استفاده میکردند. زمان زیادی از آن زمان گذشته است، مشتری هنوز از Change Auditor استفاده می کند و پشتیبانی از همه آن اسکریپت ها را مانند یک رویای بد به یاد می آورد. این رویا می توانست به یک کابوس تبدیل شود، اگر شخصی که فیلمنامه ها را در یک نفر سرویس می داد، به تازگی کنار می رفت و عجولانه فراموش می کرد که دانش مخفی را منتقل کند. ما از همکاران شنیدیم که چنین مواردی اینجا و آنجا اتفاق افتاده است و این باعث هرج و مرج قابل توجهی در کار بخش امنیت اطلاعات شده است. در این مقاله در مورد مزایای اصلی Change Auditor صحبت خواهیم کرد و در تاریخ 29 جولای وبینار این ابزار اتوماسیون حسابرسی را اعلام خواهیم کرد. در زیر برش تمام جزئیات وجود دارد.
اسکرین شات بالا رابط وب جستجوی امنیت فناوری اطلاعات را با نوار جستجوی گوگل مانند نشان می دهد که در آن مرتب کردن رویدادها از Change Auditor و پیکربندی نماها راحت است.
Change Auditor ابزاری قدرتمند برای بررسی تغییرات در زیرساخت مایکروسافت، آرایه های دیسک و VMware است. ممیزی پشتیبانی می شود: AD، Azure AD، SQL Server، Exchange، Exchange Online، Sharepoint، Sharepoint Online، Windows File Server، OneDrive for Business، Skype for Business، VMware، NetApp، EMC، FluidFS. گزارش های از پیش نصب شده برای مطابقت با استانداردهای GDPR، SOX، PCI، HIPAA، FISMA، GLBA وجود دارد.
معیارها از سرورهای ویندوز به روشی مبتنی بر عامل جمعآوری میشوند، که امکان ممیزی با استفاده از یکپارچگی عمیق در تماسهای داخل AD را فراهم میکند و همانطور که خود فروشنده مینویسد، این روش تغییرات را حتی در گروههای عمیق تو در تو تشخیص میدهد و بار کمتری را نسبت به نوشتن، خواندن و وارد میکند. بازیابی لاگ ها (اینطوری کار می کنند ). شما می توانید آن را در بار بالا بررسی کنید. در نتیجه این ادغام سطح پایین، در Quest Change Auditor میتوانید برخی از تغییرات را برای اشیاء خاص وتو کنید، حتی برای کاربرانی که در سطح Enterprise Admin هستند. یعنی از خود در برابر مدیران مخرب AD محافظت کنید.
در Change Auditor، همه تغییرات به نوع 5W نرمال می شوند - Who, What, Where, When, Workstation (Who, What, Where, When and on which workstation). این قالب به شما امکان می دهد رویدادهای دریافت شده از منابع مختلف را یکسان کنید.
در 2 ژوئن 2020، نسخه جدیدی از Change Auditor منتشر شد - 7.1. این پیشرفت های کلیدی زیر را دارد:
- تشخیص تهدید Pass-the-Ticket (شناسایی بلیط های Kerberos با تاریخ انقضا فراتر از خط مشی دامنه، که ممکن است نشان دهنده حمله بالقوه Golden Ticket باشد).
- ممیزی احراز هویت موفق و ناموفق NTLM (شما می توانید نسخه NTLM را تعیین کنید و در مورد برنامه هایی که از v1 استفاده می کنند اطلاع دهید).
- ممیزی احراز هویت موفق و ناموفق Kerberos؛
- استقرار عوامل حسابرسی در جنگل AD همسایه.
اسکرین شات یک تهدید شناسایی شده با دوره اعتبار طولانی بلیط Kerberos را نشان می دهد.
همراه با محصول دیگری از Quest - On Demand Audit، می توانید محیط های ترکیبی را از یک رابط واحد بررسی کنید و ورود به سیستم در AD، Azure AD و تغییرات در Office 365 را نظارت کنید.
یکی دیگر از مزایای Change Auditor امکان ادغام خارج از جعبه با یک سیستم SIEM به طور مستقیم یا از طریق یکی دیگر از محصولات Quest - InTrust است. اگر چنین یکپارچهسازی را راهاندازی کنید، میتوانید اقدامات خودکار برای سرکوب یک حمله از طریق InTrust انجام دهید، و در همان Elastic Stack میتوانید نماها را تنظیم کنید و به همکاران برای مشاهده دادههای تاریخی دسترسی داشته باشید.
برای کسب اطلاعات بیشتر در مورد تغییر حسابرس، از شما دعوت می کنیم در وبینار شرکت کنید که در 29 جولای ساعت 11 صبح به وقت مسکو برگزار می شود. بعد از وبینار شما می توانید هر سوالی که ممکن است داشته باشید بپرسید.
مقالات بیشتر در مورد راه حل های امنیتی Quest:
شما می توانید درخواست مشاوره، توزیع یا یک پروژه آزمایشی را از طریق ارسال کنید در وب سایت ما همچنین توضیحاتی در مورد راه حل های پیشنهادی وجود دارد.
منبع: www.habr.com