Մի քանի տարի առաջ, երբ մենք սկսեցինք իրականացնել Change Auditor-ը մեկ բանկում, մենք նկատեցինք PowerShell սկրիպտների հսկայական զանգված, որոնք կատարում էին ճիշտ նույն աուդիտի առաջադրանքը, բայց արհեստական ձևով: Այդ ժամանակից ի վեր շատ ժամանակ է անցել, հաճախորդը դեռ օգտագործում է Change Auditor-ը և հիշում է այդ բոլոր սցենարների աջակցությունը որպես մղձավանջ: Այդ երազը կարող էր նաև մղձավանջ դառնալ, եթե սցենարները մեկ անձի մեջ սպասարկողն այն վերցներ ու հեռանա՝ հապճեպ մոռանալով գաղտնի գիտելիքներ փոխանցել։ Գործընկերներից լսեցինք, որ տեղ-տեղ նման դեպքեր են եղել, և դա զգալի քաոս է առաջացրել տեղեկատվական անվտանգության վարչության աշխատանքում։ Այս հոդվածում մենք կխոսենք Change Auditor-ի հիմնական առավելությունների մասին և հուլիսի 29-ին կհայտարարենք վեբինար այս աուդիտի ավտոմատացման գործիքի վերաբերյալ: Կտրվածքի տակ բոլոր մանրամասները:
Վերևի սքրինշոթը ցույց է տալիս IT Security Search վեբ ինտերֆեյսը Google-ի նման որոնման տողով, որտեղ հարմար է տեսակավորել իրադարձությունները Change Auditor-ից և հարմարեցնել դիտումները:
Change Auditor-ը Microsoft-ի ենթակառուցվածքի, սկավառակների զանգվածների և VMware-ի փոփոխությունները ստուգելու հզոր գործիք է: Աուդիտի աջակցություն. AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS: Կան նախապես տեղադրված հաշվետվություններ GDPR, SOX, PCI, HIPAA, FISMA, GLBA ստանդարտներին համապատասխանելու համար:
Չափիչները հավաքվում են Windows սերվերներից գործակալի վրա հիմնված եղանակով, որը թույլ է տալիս աուդիտ կատարել՝ օգտագործելով խորը ինտեգրումը AD-ի ներսում զանգերին և, ինչպես գրում է ինքը՝ վաճառողը, այս մեթոդը հայտնաբերում է փոփոխությունները նույնիսկ խորապես տեղադրված խմբերում և ներմուծում է ավելի քիչ բեռ, քան գրելիս: տեղեկամատյանների ընթերցում և արդյունահանում (այսպես են աշխատում
Change Auditor-ում բոլոր փոփոխությունները կարգավորվում են 5W տեսադաշտին` Ով, Ինչ, Որտեղ, Երբ, Աշխատանքային կայան (Ով, Ինչ, Որտեղ, Երբ և որ աշխատակայանում): Այս ձևաչափը թույլ է տալիս միավորել տարբեր աղբյուրներից ստացված իրադարձությունները։
2 թվականի հունիսի 2020-ին թողարկվեց Change Auditor-ի նոր տարբերակը՝ 7.1: Այն ունի հետևյալ հիմնական բարելավումները.
- Pass-the-Ticket սպառնալիքի հայտնաբերում (Kerberos Tickets-ի հայտնաբերում, որի ժամկետի ժամկետը գերազանցում է տիրույթի քաղաքականությունը, ինչը կարող է վկայել պոտենցիալ Golden Ticket-ի հարձակման մասին);
- NTLM-ի հաջող և անհաջող վավերացումների աուդիտ (կարող եք որոշել NTLM-ի տարբերակը և տեղեկացնել v1 օգտագործող հավելվածների մասին);
- Kerberos-ի հաջող և անհաջող վավերացումների աուդիտ;
- Աուդիտորական գործակալների տեղակայում հարևան AD անտառում:
Սքրինշոթը ցույց է տալիս հայտնաբերված սպառնալիք՝ Kerberos Ticket-ի երկար վավերականության ժամկետով:
Quest - On Demand Audit-ի մեկ այլ արտադրանքի հետ միասին դուք կարող եք ստուգել հիբրիդային միջավայրերը մեկ ինտերֆեյսից և վերահսկել մուտքերը AD-ում, Azure AD-ում և Office 365-ում կատարված փոփոխությունները:
Change Auditor-ի մեկ այլ առավելություն է SIEM համակարգի հետ ինտեգրվելու հնարավորությունը ուղղակիորեն կամ մեկ այլ Quest արտադրանքի՝ InTrust-ի միջոցով: Եթե դուք ստեղծեք նման ինտեգրում, կարող եք կատարել ավտոմատ գործողություններ՝ հարձակումը ճնշելու համար InTrust-ի միջոցով, և տեղադրել դիտումներ նույն Elastic Stack-ում և գործընկերներին հնարավորություն տալ դիտելու պատմական տվյալները:
Change Auditor-ի մասին ավելին իմանալու համար հրավիրում ենք ձեզ մասնակցելու վեբինարին, որը տեղի կունենա հուլիսի 29-ին Մոսկվայի ժամանակով ժամը 11-ին: Վեբինարից հետո դուք կկարողանաք ուղղել ձեր հարցերը:
Quest անվտանգության լուծումների մասին այլ հոդվածներ.
Դուք կարող եք խնդրանք թողնել խորհրդատվության, բաշխման փաթեթի կամ փորձնական ծրագրի միջոցով
Source: www.habr.com