Muutama vuosi sitten, kun aloitimme Change Auditorin käyttöönoton yhdessä pankissa, huomasimme valtavan joukon PowerShell-skriptejä, jotka suorittivat täsmälleen saman tarkastustehtävän, mutta käsityöläisellä tavalla. Siitä on kulunut paljon aikaa, asiakas käyttää edelleen Change Auditoria ja muistaa kaikkien noiden skriptien tuen painajaisena. Tuosta unelmasta voi myös tulla painajainen, jos käsikirjoituksia yhdessä henkilössä toiminut henkilö ottaisi sen ja lopettaisi ja unohtaisi kiireesti siirtää salaisen tiedon. Kollegoista kuulimme, että tällaisia tapauksia sattui paikoin ja tämä toi sitten huomattavan kaaoksen tietoturvaosaston työhön. Tässä artikkelissa puhumme Change Auditorin tärkeimmistä eduista ja julkaisemme webinaarin 29. heinäkuuta tästä auditoinnin automatisointityökalusta. Leikkauksen alla kaikki yksityiskohdat.
Yllä olevassa kuvakaappauksessa näkyy IT Security Search -verkkokäyttöliittymä googlen kaltaisella hakupalkilla, jossa on kätevää lajitella tapahtumia Change Auditorista ja muokata näkymiä.
Change Auditor on tehokas työkalu Microsoftin infrastruktuurin, levytaulukoiden ja VMwaren muutosten tarkastamiseen. Tuettu auditointi: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. On esiasennettuja raportteja GDPR-, SOX-, PCI-, HIPAA-, FISMA- ja GLBA-standardien noudattamisesta.
Mittarit kerätään Windows-palvelimista agenttipohjaisella tavalla, mikä mahdollistaa auditoinnin käyttämällä syvällistä integraatiota kutsuihin AD:ssa ja, kuten toimittaja itse kirjoittaa, tämä menetelmä havaitsee muutokset jopa syvälle sisäkkäisissä ryhmissä ja kuormittaa vähemmän kuin kirjoittaessa. lokien lukeminen ja purkaminen (näin ne toimivat ). Voit tarkistaa sen korkealla kuormituksella. Tämän matalan tason integroinnin seurauksena voit Quest Change Auditorissa käyttää veto-oikeutta tiettyihin objekteihin kohdistuviin muutoksiin, jopa Enterprise Admin -tason käyttäjille. Eli suojautuaksesi haitallisilta AD-järjestelmänvalvojilta.
Change Auditorissa kaikki muutokset normalisoidaan 5W-näkymään - Kuka, mikä, missä, milloin, työasema (kuka, mikä, missä, milloin ja millä työasemalla). Tämän muodon avulla voit yhdistää eri lähteistä vastaanotetut tapahtumat.
2 julkaistiin Change Auditorin uusi versio - 2020. Siinä on seuraavat tärkeimmät parannukset:
- Pass-the-Ticket-uhan havaitseminen (kerberos-lippujen havaitseminen, jonka viimeinen voimassaolopäivä ylittää verkkotunnuksen käytännön, mikä voi viitata mahdolliseen Golden Ticket -hyökkäykseen);
- onnistuneiden ja epäonnistuneiden NTLM-todennusten tarkastus (voit määrittää NTLM-version ja ilmoittaa v1:tä käyttävistä sovelluksista);
- onnistuneiden ja epäonnistuneiden Kerberos-todennusten tarkastus;
- Tarkastusagenttien käyttöönotto viereisessä AD-metsässä.
Kuvakaappauksessa näkyy havaittu uhka, jolla on pitkä Kerberos-lipun voimassaoloaika.
Yhdessä toisen Quest - On Demand Audit -tuotteen kanssa voit tarkastaa hybridiympäristöjä yhdestä käyttöliittymästä ja seurata kirjautumisia AD:ssa, Azure AD:ssa ja muutoksia Office 365:ssä.
Toinen Change Auditorin etu on mahdollisuus integroida SIEM-järjestelmään suoraan tai toisen Quest-tuotteen - InTrustin - kautta. Jos määrität tällaisen integroinnin, voit suorittaa automaattisia toimia estääksesi hyökkäyksen InTrustin kautta ja määrittää näkymiä samaan elastiseen pinoon ja antaa kollegoille oikeuden tarkastella historiallisia tietoja.
Saadaksesi lisätietoja Change Auditorista, kutsumme sinut osallistumaan webinaariin, joka pidetään 29. heinäkuuta klo 11 Moskovan aikaa. Webinaarin jälkeen voit esittää kysymyksiäsi.
Muita Questin tietoturvaratkaisuja käsitteleviä artikkeleita:
Voit jättää konsultaatio-, jakelupaketin tai pilottipyynnön kautta verkkosivuillamme. Siellä on myös kuvaukset ehdotetuista ratkaisuista.
Lähde: will.com