וובינר בנושא Quest Change Auditor - פתרון לביקורת אירועי אבטחת מידע

לפני מספר שנים, כשהתחלנו ליישם את Change Auditor בבנק אחד, הבחנו במגוון עצום של סקריפטים של PowerShell שביצעו בדיוק את אותה משימת ביקורת, אך תוך שימוש בשיטה מאולתרת. הרבה זמן עבר מאז, הלקוח עדיין משתמש ב- Change Auditor וזוכר את התמיכה בכל התסריטים האלה כמו חלום רע. החלום הזה יכול היה להפוך לסיוט אם האדם שטיפל בתסריטים באדם אחד פשוט היה מתפטר, שוכח בחופזה להעביר ידע סודי. שמענו מעמיתים שמקרים כאלה קרו פה ושם וזה הביא אז כאוס משמעותי לעבודה של מחלקת אבטחת מידע. במאמר זה, נדבר על היתרונות העיקריים של Change Auditor ונכריז על סמינר מקוון ב-29 ביולי על כלי אוטומציית ביקורת זה. מתחת לגזרה כל הפרטים.

צילום המסך למעלה מציג את ממשק האינטרנט של IT Security Search עם סרגל חיפוש דמוי גוגל, בו נוח למיין אירועים מ- Change Auditor ולהגדיר תצוגות.

Change Auditor הוא כלי רב עוצמה לביקורת שינויים בתשתית Microsoft, מערכי דיסקים ו-VMware. ביקורת נתמכת: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. ישנם דוחות מותקנים מראש לעמידה בתקני GDPR, SOX, PCI, HIPAA, FISMA, GLBA.

מדדים נאספים משרתי Windows בצורה מבוססת סוכן, המאפשרת ביקורת באמצעות אינטגרציה עמוקה לשיחות בתוך AD, וכפי שהספק עצמו כותב, שיטה זו מזהה שינויים אפילו בקבוצות מקוננות עמוקות ומכניסה פחות עומס מאשר בעת כתיבה, קריאה ו אחזור יומנים (ככה הם עובדים פתרונות מתחרים). אתה יכול לבדוק את זה בעומס גבוה. כתוצאה משילוב ברמה נמוכה כזו, ב-Quest Change Auditor אתה יכול להטיל וטו על שינויים מסוימים עבור אובייקטים מסוימים, אפילו עבור משתמשים ברמת Enterprise Admin. כלומר, הגן על עצמך מפני מנהלי AD זדוניים.

ב-Change Auditor, כל השינויים מנורמלים לסוג 5W - מי, מה, איפה, מתי, תחנת עבודה (מי, מה, איפה, מתי ובאיזה תחנת עבודה). פורמט זה מאפשר לך לאחד אירועים שהתקבלו ממקורות שונים.

ב-2 ביוני 2020, שוחררה גרסה חדשה של Change Auditor - 7.1. יש לו את השיפורים העיקריים הבאים:

• זיהוי איום מעבר-הכרטיס (זיהוי כרטיסי Kerberos עם תאריך תפוגה החורג ממדיניות הדומיין, מה שעשוי להצביע על התקפת כרטיס גולדן פוטנציאלית);
• ביקורת של אימותי NTLM מוצלחים ולא מוצלחים (תוכל לקבוע את גרסת NTLM ולהודיע ​​על יישומים המשתמשים ב-v1);
• ביקורת של אימותי Kerberos מוצלחים ולא מוצלחים;
• פריסת סוכני ביקורת ביער AD סמוך.

צילום המסך מציג איום מזוהה עם תקופה ארוכה של תוקף של כרטיס Kerberos.

יחד עם מוצר נוסף מבית Quest - On Demand Audit, ניתן לבקר סביבות היברידיות מממשק יחיד ולנטר כניסות ב-AD, Azure AD ושינויים ב-Office 365.

יתרון נוסף של Change Auditor הוא האפשרות לאינטגרציה מחוץ לקופסה עם מערכת SIEM ישירות או דרך מוצר אחר של Quest - InTrust. אם תגדיר אינטגרציה כזו, תוכל לבצע פעולות אוטומטיות לדיכוי התקפה דרך InTrust, ובאותה Elastic Stack תוכל להגדיר תצוגות ולתת גישה לעמיתים לצפייה בנתונים היסטוריים.

כדי ללמוד עוד על Change Auditor, אנו מזמינים אותך להשתתף בסמינר המקוון, שיתקיים ב-29 ביולי בשעה 11:XNUMX לפי שעון מוסקבה. לאחר הוובינר תוכל לשאול כל שאלה שתהיה לך.

הרשמה לסמינר המקוון

מאמרים נוספים על פתרונות אבטחה של Quest:

מי עשה את זה? אנו עושים אוטומציה של ביקורת אבטחת מידע

מעקב אחר מחזור החיים של משתמשים ללא פלייר או סרט דביק

אילו דברים שימושיים ניתן לחלץ מהיומנים של תחנת עבודה מבוססת Windows?

ניתן להגיש בקשה לייעוץ, הפצה או פרויקט פיילוט דרך טופס משוב באתר שלנו. יש גם תיאורים של פתרונות מוצעים.

מקור: www.habr.com