Diversi anni fa, quando abbiamo iniziato a implementare Change Auditor in una banca, abbiamo notato una vasta gamma di script PowerShell che eseguivano esattamente la stessa attività di audit, ma utilizzando un metodo improvvisato. È passato molto tempo da allora, il cliente utilizza ancora Change Auditor e ricorda il supporto di tutti quegli script come un brutto sogno. Quel sogno avrebbe potuto trasformarsi in un incubo se la persona che ha servito le sceneggiature in una sola persona si fosse licenziata, dimenticandosi frettolosamente di trasferire la conoscenza segreta. Abbiamo sentito dai colleghi che casi del genere si sono verificati qua e là e questo ha portato un notevole caos nel lavoro del dipartimento di sicurezza delle informazioni. In questo articolo parleremo dei principali vantaggi di Change Auditor e annunceremo un webinar il 29 luglio su questo strumento di automazione dell'audit. Sotto il taglio ci sono tutti i dettagli.
Lo screenshot sopra mostra l'interfaccia web di IT Security Search con una barra di ricerca simile a Google, in cui è conveniente ordinare gli eventi da Change Auditor e configurare le visualizzazioni.
Change Auditor è un potente strumento per controllare le modifiche nell'infrastruttura Microsoft, negli array di dischi e in VMware. Controllo supportato: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Sono disponibili report preinstallati per la conformità agli standard GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
Le metriche vengono raccolte dai server Windows in modo basato su agenti, il che consente il controllo utilizzando una profonda integrazione nelle chiamate all'interno di AD e, come scrive lo stesso fornitore, questo metodo rileva le modifiche anche in gruppi profondamente annidati e introduce meno carico rispetto a quando si scrive, si legge e si recupero dei log (ecco come funzionano ). Puoi controllarlo a carico elevato. Come conseguenza di questa integrazione di basso livello, in Quest Change Auditor puoi porre il veto su determinate modifiche per determinati oggetti, anche per gli utenti a livello di amministratore aziendale. Cioè, proteggiti dagli amministratori AD dannosi.
In Change Auditor, tutte le modifiche sono normalizzate al tipo 5W: Chi, Cosa, Dove, Quando, Workstation (Chi, Cosa, Dove, Quando e su quale workstation). Questo formato consente di unificare gli eventi ricevuti da fonti diverse.
Il 2 giugno 2020 è stata rilasciata una nuova versione di Change Auditor: 7.1. Presenta i seguenti miglioramenti chiave:
- Rilevamento delle minacce Pass-the-Ticket (identificazione dei Ticket Kerberos con una data di scadenza che supera la policy del dominio, che potrebbe indicare un potenziale attacco Golden Ticket);
- controllo delle autenticazioni NTLM riuscite e non riuscite (è possibile determinare la versione NTLM e inviare notifiche sulle applicazioni che utilizzano v1);
- verifica delle autenticazioni Kerberos riuscite e non riuscite;
- Distribuzione di agenti di controllo in una foresta AD vicina.
Lo screenshot mostra una minaccia identificata con un lungo periodo di validità del Ticket Kerberos.
Insieme a un altro prodotto Quest - On Demand Audit, puoi controllare ambienti ibridi da un'unica interfaccia e monitorare gli accessi in AD, Azure AD e le modifiche in Office 365.
Un altro vantaggio di Change Auditor è la possibilità di integrazione immediata con un sistema SIEM direttamente o tramite un altro prodotto Quest: InTrust. Se configuri tale integrazione, puoi eseguire azioni automatizzate per sopprimere un attacco tramite InTrust e nello stesso Elastic Stack puoi impostare visualizzazioni e consentire l'accesso ai colleghi per visualizzare i dati storici.
Per saperne di più su Change Auditor, ti invitiamo a partecipare al webinar, che si svolgerà il 29 luglio alle 11:XNUMX, ora di Mosca. Dopo il webinar potrai porre tutte le domande che potresti avere.
Altri articoli sulle soluzioni di sicurezza Quest:
Puoi inviare una richiesta di consultazione, distribuzione o un progetto pilota tramite sul nostro sito web. Sono presenti anche le descrizioni delle soluzioni proposte.
Fonte: habr.com