Il y a plusieurs années, lorsque nous avons commencé à implémenter Change Auditor dans une banque, nous avons remarqué une vaste gamme de scripts PowerShell qui effectuaient exactement la même tâche d'audit, mais en utilisant une méthode improvisée. Beaucoup de temps a passé depuis, le client utilise toujours Change Auditor et se souvient du support de tous ces scripts comme d'un mauvais rêve. Ce rêve aurait pu se transformer en cauchemar si la personne qui a réalisé les scripts en une seule personne avait simplement démissionné, oubliant à la hâte de transférer ses connaissances secrètes. Des collègues nous ont dit que de tels cas se sont produits ici et là, ce qui a ensuite semé un chaos considérable dans le travail du service de sécurité de l'information. Dans cet article, nous parlerons des principaux avantages de Change Auditor et annoncerons un webinaire le 29 juillet sur cet outil d'automatisation d'audit. Sous la coupe se trouvent tous les détails.
La capture d'écran ci-dessus montre l'interface Web IT Security Search avec une barre de recherche de type Google, dans laquelle il est pratique de trier les événements de Change Auditor et de configurer les vues.
Change Auditor est un outil puissant pour auditer les modifications apportées à l'infrastructure Microsoft, aux baies de disques et à VMware. Audit pris en charge : AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Il existe des rapports préinstallés pour la conformité aux normes GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
Les métriques sont collectées à partir des serveurs Windows de manière basée sur un agent, ce qui permet un audit utilisant une intégration approfondie dans les appels au sein d'AD et, comme l'écrit le fournisseur lui-même, cette méthode détecte les changements même dans des groupes profondément imbriqués et introduit moins de charge que lors de l'écriture, de la lecture et récupérer les journaux (c'est comme ça qu'ils fonctionnent ). Vous pouvez le vérifier à charge élevée. En raison de cette intégration de bas niveau, dans Quest Change Auditor, vous pouvez opposer votre veto à certaines modifications pour certains objets, même pour les utilisateurs au niveau Enterprise Admin. Autrement dit, protégez-vous des administrateurs AD malveillants.
Dans Change Auditor, toutes les modifications sont normalisées au type 5W - Qui, Quoi, Où, Quand, Poste de travail (Qui, Quoi, Où, Quand et sur quel poste de travail). Ce format permet d'unifier les événements reçus de différentes sources.
Le 2 juin 2020, une nouvelle version de Change Auditor a été publiée : la 7.1. Il présente les améliorations clés suivantes :
- Détection des menaces Pass-the-Ticket (identification des tickets Kerberos dont la date d'expiration dépasse la politique de domaine, ce qui peut indiquer une potentielle attaque Golden Ticket) ;
- audit des authentifications NTLM réussies et échouées (vous pouvez déterminer la version NTLM et informer des applications qui utilisent la v1) ;
- audit des authentifications Kerberos réussies et échouées ;
- Déploiement d'agents d'audit dans une forêt AD voisine.
La capture d'écran montre une menace identifiée avec une longue période de validité du ticket Kerberos.
Avec un autre produit de Quest - On Demand Audit, vous pouvez auditer les environnements hybrides à partir d'une seule interface et surveiller les connexions dans AD, Azure AD et les modifications dans Office 365.
Un autre avantage de Change Auditor est la possibilité d'une intégration prête à l'emploi avec un système SIEM directement ou via un autre produit Quest - InTrust. Si vous configurez une telle intégration, vous pouvez effectuer des actions automatisées pour supprimer une attaque via InTrust, et dans la même Suite Elastic, vous pouvez configurer des vues et donner accès à des collègues pour afficher les données historiques.
Pour en savoir plus sur Change Auditor, nous vous invitons à assister au webinaire, qui aura lieu le 29 juillet à 11h, heure de Moscou. Après le webinaire, vous pourrez poser toutes vos questions.
Plus d'articles sur les solutions de sécurité Quest :
Vous pouvez soumettre une demande de consultation, de diffusion ou de projet pilote via sur notre site Internet. Il existe également des descriptions des solutions proposées.
Source: habr.com