Prije nekoliko godina, kada smo počeli implementirati Change Auditor u jednoj banci, primijetili smo ogroman niz PowerShell skripti koje su obavljale potpuno isti zadatak revizije, ali na zanatski način. Od tada je prošlo dosta vremena, kupac još uvijek koristi Change Auditor i podršku svih tih skripti sjeća kao noćnu moru. Taj san bi mogao postati i noćna mora ako bi ga osoba koja je servirala skripte u jednoj osobi prihvatila i odustala, brzopleto zaboravivši prenijeti tajna znanja. Od kolega smo čuli da su se takvi slučajevi ponegdje događali i to je onda unijelo popriličan kaos u rad odjela informacijske sigurnosti. U ovom ćemo članku govoriti o glavnim prednostima Change Auditora i najaviti webinar 29. srpnja o ovom alatu za automatizaciju revizije. Ispod kroja svi detalji.
Gornja snimka zaslona prikazuje web sučelje IT Security Search s trakom za pretraživanje nalik na Google, u kojoj je zgodno sortirati događaje iz Change Auditora i prilagoditi poglede.
Change Auditor je moćan alat za reviziju promjena u Microsoftovoj infrastrukturi, diskovnim poljima i VMware-u. Podržana revizija: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Postoje unaprijed instalirana izvješća za usklađenost sa standardima GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
Mjerni podaci se prikupljaju s Windows poslužitelja na način temeljen na agentima, što vam omogućuje reviziju korištenjem duboke integracije u pozive unutar AD-a i, kako sam dobavljač piše, ova metoda otkriva promjene čak iu duboko ugniježđenim grupama i uvodi manje opterećenja nego kod pisanja, čitanje i izdvajanje dnevnika (ovako rade ). Možete ga provjeriti pod velikim opterećenjem. Kao posljedica ove integracije na niskoj razini, u Quest Change Auditoru možete staviti veto na određene promjene za određene objekte, čak i za korisnike razine Enterprise Admin. Odnosno, da se zaštitite od zlonamjernih AD administratora.
U Change Auditoru sve promjene su normalizirane na 5W prikaz - Tko, Što, Gdje, Kada, Radna stanica (Tko, Što, Gdje, Kada i na kojoj radnoj stanici). Ovaj format vam omogućuje objedinjavanje događaja primljenih iz različitih izvora.
2. lipnja 2020. objavljena je nova verzija Change Auditora - 7.1. Ima sljedeća ključna poboljšanja:
- Otkrivanje prijetnje Pass-the-Ticket (otkrivanje Kerberos ulaznica s datumom isteka koji premašuje politiku domene, što može ukazivati na potencijalni napad Golden Ticket);
- revizija uspješnih i neuspješnih NTLM autentifikacija (možete odrediti verziju NTLM-a, te obavijestiti o aplikacijama koje koriste v1);
- revizija uspješnih i neuspješnih Kerberos autentifikacija;
- Postavljanje agenata revizije u susjednu AD šumu.
Snimka zaslona prikazuje otkrivenu prijetnju s dugim razdobljem valjanosti Kerberos ulaznice.
Zajedno s još jednim proizvodom iz Questa - On Demand Audit, možete revidirati hibridna okruženja iz jednog sučelja i pratiti prijave u AD, Azure AD i promjene u Office 365.
Još jedna prednost Change Auditora je mogućnost vanjske integracije sa SIEM sustavom izravno ili putem drugog Quest proizvoda - InTrust. Ako postavite takvu integraciju, možete izvršiti automatizirane radnje za suzbijanje napada putem InTrusta i postaviti poglede u isti Elastic Stack te dati kolegama pristup za pregled povijesnih podataka.
Kako biste saznali više o Change Auditoru, pozivamo vas da prisustvujete webinaru koji će se održati 29. srpnja u 11 sati po moskovskom vremenu. Nakon webinara moći ćete postaviti svoja pitanja.
Ostali članci o Quest sigurnosnim rješenjima:
Možete ostaviti zahtjev za konzultacije, distribucijski komplet ili pilot projekt putem na našoj web stranici. Tu su i opisi predloženih rješenja.
Izvor: www.habr.com