Néhány évvel ezelőtt, amikor elkezdtük a Change Auditor implementálását egy bankban, hatalmas tömbnyi PowerShell-szkriptet vettünk észre, amelyek pontosan ugyanazt az ellenőrzési feladatot hajtották végre, de rögtönzött módszerrel. Azóta sok idő telt el, az ügyfél még mindig használja a Change Auditort, és úgy emlékszik a szkriptek támogatására, mint egy rossz álomra. Ez az álom rémálommá változhatott volna, ha a forgatókönyveket egy személyben kiszolgáló személy éppen kilép, és sietve elfelejtette átadni a titkos tudást. A kollégáktól hallottuk, hogy itt-ott előfordultak ilyen esetek, és ez aztán jelentős káoszt hozott az információbiztonsági osztály munkájába. Ebben a cikkben a Change Auditor fő előnyeiről fogunk beszélni, és július 29-én webináriumot hirdetünk erről az audit automatizálási eszközről. A vágás alatt minden részlet megtalálható.
A fenti képernyőképen az IT Security Search webes felülete látható google-szerű keresősávval, amelyben kényelmesen lehet a Change Auditorból rendezni az eseményeket és konfigurálni a nézeteket.
A Change Auditor egy hatékony eszköz a Microsoft infrastruktúrájában, a lemeztömbökben és a VMware-ben bekövetkezett változások ellenőrzésére. Támogatott auditálás: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive Vállalati verzió, Skype Vállalati verzió, VMware, NetApp, EMC, FluidFS. Vannak előre telepített jelentések a GDPR, SOX, PCI, HIPAA, FISMA, GLBA szabványoknak való megfelelésről.
A metrikákat a Windows szerverekről ügynök alapú módon gyűjtik össze, ami lehetővé teszi az AD-n belüli hívásokba való mély integrációval történő auditálást, és ahogy maga a szállító is írja, ez a módszer még a mélyen beágyazott csoportokban is észleli a változásokat, és kisebb terhelést jelent, mint írás, olvasás és olvasás közben. naplók lekérése (így működnek ). Nagy terhelésnél ellenőrizheti. Ennek az alacsony szintű integrációnak köszönhetően a Quest Change Auditorban megvétózhat bizonyos objektumokat érintő változtatásokat, még az Enterprise Admin szintű felhasználók számára is. Vagyis védje meg magát a rosszindulatú AD-rendszergazdáktól.
A Change Auditorban minden változás az 5W-os típusra normalizálódik – Ki, mit, hol, mikor, munkaállomás (Ki, mit, hol, mikor és melyik munkaállomáson). Ez a formátum lehetővé teszi a különböző forrásokból kapott események egyesítését.
2. június 2020-án megjelent a Change Auditor új verziója – a 7.1. A következő főbb fejlesztésekkel rendelkezik:
- Pass-the-Ticket fenyegetés észlelése (olyan Kerberos jegyek azonosítása, amelyek lejárati ideje meghaladja a domain szabályzatát, ami potenciális Golden Ticket támadást jelezhet);
- sikeres és sikertelen NTLM-hitelesítések auditálása (meghatározhatja az NTLM-verziót, és értesítheti a v1-et használó alkalmazásokat);
- sikeres és sikertelen Kerberos hitelesítések auditja;
- Audit ügynökök telepítése egy szomszédos AD-erdőben.
A képernyőképen egy azonosított fenyegetés látható, a Kerberos jegy hosszú érvényességi idejével.
A Quest – On Demand Audit egy másik termékével együtt egyetlen felületről auditálhatja a hibrid környezeteket, és figyelheti a bejelentkezéseket az AD-ben, az Azure AD-ben és az Office 365 változásait.
A Change Auditor másik előnye a SIEM rendszerrel való azonnali integráció lehetősége közvetlenül vagy egy másik Quest terméken – az InTruston – keresztül. Ha beállít egy ilyen integrációt, akkor automatizált műveleteket hajthat végre az InTruston keresztüli támadások visszaszorítására, és ugyanabban az Elastic Stackben nézeteket állíthat be, és hozzáférést biztosíthat a kollégáknak az előzményadatok megtekintéséhez.
Ha többet szeretne megtudni a Change Auditorról, kérjük, vegyen részt a webináriumon, amelyre július 29-én, moszkvai idő szerint 11 órakor kerül sor. A webinárium után felteheted a kérdéseidet.
További cikkek a Quest biztonsági megoldásairól:
Konzultációra, terjesztésre vagy kísérleti projektre irányuló kérelmet nyújthat be honlapunkon. A javasolt megoldások leírása is megtalálható.
Forrás: will.com