Fyrir nokkrum árum, þegar við byrjuðum að innleiða Change Auditor í einum banka, tókum við eftir gríðarlegu úrvali af PowerShell forskriftum sem framkvæma nákvæmlega sama endurskoðunarverkefni, en með bráðabirgðaaðferð. Mikill tími hefur liðið síðan þá, viðskiptavinurinn notar enn Change Auditor og man eftir stuðningi allra þessara handrita eins og vondan draum. Sá draumur hefði getað breyst í martröð ef sá sem þjónustaði handritin í einni manneskju hefði bara hætt og gleymt í skyndi að flytja leynilega þekkingu. Við heyrðum frá samstarfsfólki að svona mál hafi gerst hér og þar og það hafi síðan skapað verulega ringulreið í starfi upplýsingaöryggisdeildar. Í þessari grein munum við tala um helstu kosti Change Auditor og tilkynna vefnámskeið þann 29. júlí um þetta sjálfvirkni endurskoðunartæki. Fyrir neðan skurðinn eru öll smáatriðin.
Skjáskotið hér að ofan sýnir vefviðmót upplýsingatækniöryggisleitar með leitarstiku sem líkist Google, þar sem þægilegt er að flokka atburði frá Change Auditor og stilla útsýni.
Change Auditor er öflugt tól til að endurskoða breytingar á Microsoft innviðum, diskafylkingum og VMware. Endurskoðun studd: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Það eru fyrirfram uppsettar skýrslur um samræmi við GDPR, SOX, PCI, HIPAA, FISMA, GLBA staðla.
Mælingum er safnað frá Windows netþjónum á umboðsbundinn hátt, sem gerir endurskoðun kleift með því að nota djúpa samþættingu í símtölum innan AD og, eins og seljandinn skrifar sjálfur, greinir þessi aðferð breytingar jafnvel í djúpt hreiðri hópum og kynnir minna álag en þegar skrifað er, lestur og að sækja logs (þannig virka þeir ). Þú getur athugað það við mikið álag. Sem afleiðing af þessari samþættingu á lágu stigi geturðu í Quest Change Auditor beitt neitunarvaldi gegn ákveðnum breytingum fyrir ákveðna hluti, jafnvel fyrir notendur á Enterprise Admin stigi. Það er, vernda þig gegn illgjarn AD stjórnendum.
Í Change Auditor eru allar breytingar staðlaðar í 5W gerð - Hver, Hvað, Hvar, Hvenær, Vinnustöð (Hver, Hvað, Hvar, Hvenær og á hvaða vinnustöð). Þetta snið gerir þér kleift að sameina atburði sem berast frá mismunandi aðilum.
Þann 2. júní 2020 kom út ný útgáfa af Change Auditor - 7.1. Það hefur eftirfarandi helstu endurbætur:
- Pass-the-Ticket ógnunargreining (auðkenning Kerberos miða með fyrningardagsetningu sem fer yfir lénsstefnuna, sem gæti bent til hugsanlegrar Golden Ticket árásar);
- endurskoðun á heppnuðum og misheppnuðum NTLM auðkenningum (þú getur ákvarðað NTLM útgáfuna og tilkynnt um forrit sem nota v1);
- endurskoðun á árangursríkum og misheppnuðum Kerberos auðkenningum;
- Sendi endurskoðunarfulltrúa í AD-skógi í nágrenninu.
Skjáskotið sýnir auðkennda ógn með langan gildistíma Kerberos miðans.
Ásamt annarri vöru frá Quest - On Demand Audit geturðu endurskoðað blendingsumhverfi úr einu viðmóti og fylgst með innskráningum í AD, Azure AD og breytingum á Office 365.
Annar kostur Change Auditor er möguleikinn á samþættingu beint úr kassanum við SIEM kerfi beint eða í gegnum aðra Quest vöru - InTrust. Ef þú setur upp slíka samþættingu geturðu framkvæmt sjálfvirkar aðgerðir til að bæla niður árás í gegnum InTrust og í sama Elastic Stack geturðu sett upp skoðanir og veitt samstarfsmönnum aðgang til að skoða söguleg gögn.
Til að læra meira um Change Auditor, bjóðum við þér að mæta á vefnámskeiðið sem verður 29. júlí klukkan 11 að Moskvutíma. Eftir vefnámskeiðið muntu geta spurt allra spurninga sem þú gætir haft.
Fleiri greinar um Quest öryggislausnir:
Hægt er að senda inn beiðni um samráð, dreifingu eða tilraunaverkefni í gegnum á heimasíðunni okkar. Einnig eru lýsingar á fyrirhuguðum lausnum.
Heimild: www.habr.com