Hai varios anos, cando comezamos a implementar Change Auditor nun banco, observamos unha gran variedade de scripts de PowerShell que realizaban exactamente a mesma tarefa de auditoría, pero usando un método improvisado. Pasou moito tempo desde entón, o cliente aínda usa Change Auditor e lembra o soporte de todos eses guións como un mal soño. Ese soño podería converterse nun pesadelo se a persoa que atendeu os guións nunha persoa acabase de abandonar, esquecendo apresuradamente a transferencia de coñecementos secretos. Escoitamos aos compañeiros que este tipo de casos ocorreron aquí e alí e que logo trouxo un caos significativo ao traballo do departamento de seguridade da información. Neste artigo, falaremos das principais vantaxes de Change Auditor e anunciaremos un webinar o 29 de xullo sobre esta ferramenta de automatización de auditoría. Debaixo do corte están todos os detalles.
A captura de pantalla anterior mostra a interface web da busca de seguridade de TI cunha barra de busca similar a Google, na que é conveniente ordenar eventos desde Change Auditor e configurar vistas.
Change Auditor é unha poderosa ferramenta para auditar os cambios na infraestrutura de Microsoft, as matrices de discos e VMware. Auditoría compatible: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Hai informes preinstalados para o cumprimento dos estándares GDPR, SOX, PCI, HIPAA, FISMA e GLBA.
As métricas recóllense dos servidores Windows dun xeito baseado en axentes, o que permite a auditoría mediante a integración profunda nas chamadas dentro de AD e, tal e como escribe o propio provedor, este método detecta cambios incluso en grupos profundamente aniñados e introduce menos carga que cando se escribe, lee e recuperando rexistros (así funcionan ). Podes comprobalo a alta carga. Como consecuencia de tal integración de baixo nivel, en Quest Change Auditor podes vetar certos cambios para determinados obxectos, incluso para usuarios a nivel de administrador empresarial. É dicir, protexete de administradores de AD maliciosos.
En Change Auditor, todos os cambios normalízanse ao tipo 5W: quen, que, onde, cando, estación de traballo (quen, que, onde, cando e en que estación de traballo). Este formato permítelle unificar eventos recibidos de diferentes fontes.
O 2 de xuño de 2020 lanzouse unha nova versión de Change Auditor: 7.1. Ten as seguintes melloras fundamentais:
- Detección de ameazas Pass-the-Ticket (identificación dos Tickets Kerberos cunha data de caducidade que supera a política de dominio, o que pode indicar un potencial ataque Golden Ticket);
- auditoría de autenticacións NTLM exitosas e sen éxito (pode determinar a versión de NTLM e notificar sobre aplicacións que usan v1);
- auditoría de autenticacións Kerberos exitosas e non;
- Implantación de axentes de auditoría nun bosque AD veciño.
A captura de pantalla mostra unha ameaza identificada cun longo período de validez do Ticket Kerberos.
Xunto con outro produto de Quest - On Demand Audit, pode auditar ambientes híbridos desde unha única interface e supervisar os inicios de sesión en AD, Azure AD e os cambios en Office 365.
Outra vantaxe de Change Auditor é a posibilidade de integrarse fóra da caixa cun sistema SIEM directamente ou a través doutro produto Quest - InTrust. Se configuras tal integración, podes realizar accións automatizadas para suprimir un ataque a través de InTrust, e no mesmo Elastic Stack podes configurar vistas e dar acceso aos compañeiros para ver os datos históricos.
Para saber máis sobre Change Auditor, invitámosche a asistir ao seminario web, que terá lugar o 29 de xullo ás 11:XNUMX horas, hora de Moscova. Despois do seminario web poderás facer calquera dúbida que teñas.
Máis artigos sobre solucións de seguridade Quest:
Podes presentar unha solicitude de consulta, distribución ou proxecto piloto a través de na nosa web. Tamén hai descricións das solucións propostas.
Fonte: www.habr.com