Ferskate jierren lyn, doe't wy Change Auditor yn ien bank begûnen te ymplementearjen, merkten wy in enoarme array fan PowerShell-skripts op dy't krekt deselde kontrôletaak útfierden, mar mei in provisoryske metoade. In protte tiid is sûnt dy tiid ferlyn, de klant brûkt noch Change Auditor en herinnert de stipe fan al dy skripts as in minne dream. Dy dream koe hawwe feroare yn in nachtmerje as de persoan dy't tsjinne de skripts yn ien persoan hie krekt ophâlden, hastich ferjitte te oerdrage geheime kennis. Wy hearden fan kollega's dat soksoarte gefallen hjir en dêr barde en dat brocht dan in flinke gaos yn it wurk fan de ôfdieling ynformaasjefeiligens. Yn dit artikel sille wy prate oer de wichtichste foardielen fan Change Auditor en kundigje in webinar oan op 29 july oer dit audit automatisearring ark. Under de knip binne alle details.
It skermôfbylding hjirboppe toant de webynterface fan IT Security Search mei in google-like sykbalke, wêryn it handich is om eveneminten te sortearjen fan Change Auditor en werjeften te konfigurearjen.
Change Auditor is in krêftich ark foar it kontrolearjen fan feroaringen yn Microsoft-ynfrastruktuer, skiif-arrays en VMware. Audit stipe: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. D'r binne foarôf ynstalleare rapporten foar neilibjen fan GDPR, SOX, PCI, HIPAA, FISMA, GLBA noarmen.
Metriken wurde sammele fan Windows-tsjinners op in agent-basearre manier, wêrtroch auditing mooglik makket mei djippe yntegraasje yn petearen binnen AD en, lykas de ferkeaper sels skriuwt, detektearret dizze metoade feroarings sels yn djip nestele groepen en yntroduseart minder lading dan by skriuwen, lêzen en logs ophelje (dat is hoe't se wurkje ). Jo kinne it kontrolearje by hege lading. As gefolch fan dizze yntegraasje op leech nivo kinne jo yn Quest Change Auditor bepaalde feroarings foar bepaalde objekten veto, sels foar brûkers op it Enterprise Admin-nivo. Dat is, beskermje josels tsjin kweade AD-behearders.
Yn Change Auditor wurde alle wizigingen normalisearre nei it 5W-type - Wa, Wat, Wêr, Wannear, Wurkstasjon (Wa, Wat, Wêr, Wannear en op hokker wurkstasjon). Dit formaat lit jo eveneminten ferienigje dy't ûntfongen binne fan ferskate boarnen.
Op 2 juny 2020 waard in nije ferzje fan Change Auditor frijlitten - 7.1. It hat de folgjende wichtige ferbetterings:
- Pass-the-Ticket bedriging detection (identifikaasje fan Kerberos Tickets mei in ferfaldatum dy't grutter is as it domein belied, dat kin oanjaan op in potinsjele Golden Ticket oanfal);
- kontrôle fan suksesfolle en net-suksesfolle NTLM-autentikaasjes (jo kinne de NTLM-ferzje bepale en ynformearje oer applikaasjes dy't v1 brûke);
- kontrôle fan suksesfolle en net suksesfolle Kerberos-autentikaasjes;
- Ynsette audit aginten yn in oanbuorjende AD bosk.
It skermôfbylding toant in identifisearre bedriging mei in lange perioade fan jildigens fan it Kerberos Ticket.
Tegearre mei in oar produkt fan Quest - On Demand Audit kinne jo hybride omjouwings kontrolearje fanút ien ynterface en oanmelden kontrolearje yn AD, Azure AD en feroarings yn Office 365.
In oar foardiel fan Change Auditor is de mooglikheid fan out-of-box yntegraasje mei in SIEM systeem direkt of fia in oar Quest produkt - InTrust. As jo sa'n yntegraasje ynstelle, kinne jo automatyske aksjes útfiere om in oanfal te ûnderdrukken fia InTrust, en yn deselde Elastic Stack kinne jo werjeften ynstelle en tagong jaan oan kollega's om histoaryske gegevens te besjen.
Om mear te learen oer Change Auditor, noegje wy jo út om it webinar by te wenjen, dat sil plakfine op 29 july om 11 oere Moskouske tiid. Nei it webinar kinne jo alle fragen stelle dy't jo hawwe.
Mear artikels oer Quest-befeiligingsoplossingen:
Jo kinne in fersyk yntsjinje foar oerlis, distribúsje of in pilotprojekt fia op ús webside. Der binne ek beskriuwingen fan foarstelde oplossings.
Boarne: www.habr.com