Beberapa tahun yang lalu, ketika kami mulai menerapkan Change Auditor di satu bank, kami melihat sejumlah besar skrip PowerShell yang melakukan tugas audit yang persis sama, namun menggunakan metode darurat. Banyak waktu telah berlalu sejak itu, pelanggan masih menggunakan Change Auditor dan mengingat dukungan semua skrip tersebut seperti mimpi buruk. Mimpi itu bisa saja berubah menjadi mimpi buruk jika orang yang melayani skrip dalam satu orang baru saja berhenti, buru-buru lupa mentransfer ilmu rahasia. Kami mendengar dari rekan-rekan bahwa kasus seperti itu terjadi di sana-sini dan kemudian membawa kekacauan yang signifikan pada pekerjaan departemen keamanan informasi. Pada artikel ini, kita akan membahas tentang keuntungan utama Auditor Perubahan dan mengumumkan webinar pada tanggal 29 Juli tentang alat otomatisasi audit ini. Di bawah potongan ada semua detailnya.
Tangkapan layar di atas menunjukkan antarmuka web Pencarian Keamanan TI dengan bilah pencarian mirip Google, yang memudahkan untuk mengurutkan peristiwa dari Auditor Perubahan dan mengonfigurasi tampilan.
Change Auditor adalah alat yang ampuh untuk mengaudit perubahan pada infrastruktur Microsoft, susunan disk, dan VMware. Audit yang didukung: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Ada laporan pra-instal untuk kepatuhan terhadap standar GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
Metrik dikumpulkan dari server Windows dengan cara berbasis agen, yang memungkinkan audit menggunakan integrasi mendalam ke dalam panggilan dalam AD dan, seperti yang ditulis oleh vendor itu sendiri, metode ini mendeteksi perubahan bahkan dalam grup yang sangat bersarang dan menimbulkan beban yang lebih sedikit dibandingkan saat menulis, membaca, dan mengambil log (begitulah cara kerjanya ). Anda dapat memeriksanya pada beban tinggi. Sebagai konsekuensi dari integrasi tingkat rendah ini, di Quest Change Auditor Anda dapat memveto perubahan tertentu untuk objek tertentu, bahkan untuk pengguna di tingkat Admin Perusahaan. Artinya, lindungi diri Anda dari administrator AD yang jahat.
Di Auditor Perubahan, semua perubahan dinormalisasi ke tipe 5W - Siapa, Apa, Di Mana, Kapan, Stasiun Kerja (Siapa, Apa, Di Mana, Kapan, dan di stasiun kerja mana). Format ini memungkinkan Anda menyatukan peristiwa yang diterima dari berbagai sumber.
Pada tanggal 2 Juni 2020, versi baru Change Auditor dirilis - 7.1. Ini memiliki perbaikan utama berikut:
- Deteksi ancaman Pass-the-Ticket (identifikasi Tiket Kerberos dengan tanggal kedaluwarsa yang melebihi kebijakan domain, yang mungkin mengindikasikan potensi serangan Tiket Emas);
- audit otentikasi NTLM yang berhasil dan tidak berhasil (Anda dapat menentukan versi NTLM dan memberi tahu tentang aplikasi yang menggunakan v1);
- audit otentikasi Kerberos yang berhasil dan tidak berhasil;
- Menyebarkan agen audit di hutan AD yang berdekatan.
Tangkapan layar menunjukkan ancaman yang teridentifikasi dengan masa berlaku Tiket Kerberos yang panjang.
Bersama dengan produk lain dari Quest - Audit Sesuai Permintaan, Anda dapat mengaudit lingkungan hibrid dari satu antarmuka dan memantau proses masuk di AD, Azure AD, dan perubahan di Office 365.
Keuntungan lain dari Change Auditor adalah kemungkinan integrasi langsung dengan sistem SIEM secara langsung atau melalui produk Quest lain - InTrust. Jika Anda menyiapkan integrasi seperti itu, Anda dapat melakukan tindakan otomatis untuk menekan serangan melalui InTrust, dan di Elastic Stack yang sama Anda dapat menyiapkan tampilan dan memberikan akses kepada kolega untuk melihat data historis.
Untuk mempelajari lebih lanjut tentang Change Auditor, kami mengundang Anda untuk menghadiri webinar yang akan berlangsung pada tanggal 29 Juli pukul 11 ββpagi waktu Moskow. Setelah webinar, Anda dapat mengajukan pertanyaan apa pun yang Anda miliki.
Lebih banyak artikel tentang solusi keamanan Quest:
Anda dapat mengajukan permintaan konsultasi, pendistribusian atau pilot project melalui di situs web kami. Ada juga penjelasan tentang solusi yang diusulkan.
Sumber: www.habr.com