プロホスト > ブログ > 行政 > Quest Change Auditor に関するウェビナー - 情報セキュリティ イベントを監査するためのソリューション

Quest Change Auditor に関するウェビナー - 情報セキュリティ イベントを監査するためのソリューション

Quest Change Auditor に関するウェビナー - 情報セキュリティ イベントを監査するためのソリューション

数年前、ある銀行で Change Auditor の実装を開始したとき、まったく同じ監査タスクを職人的な方法で実行する膨大な PowerShell スクリプトに気づきました。 それから長い時間が経ちましたが、お客様は依然として Change Auditor を使用しており、これらすべてのスクリプトのサポートが悪夢として覚えています。 一人で台本を提供した人がそれを受け取って辞め、秘密の知識を伝達することを急いで忘れた場合、その夢は悪夢になる可能性もあります。 同僚からは、一部の場所でそのような事件が発生し、情報セキュリティ部門の業務に大きな混乱が生じたと聞いています。 この記事では、Change Auditor の主な利点について説明し、この監査自動化ツールに関する 29 月 XNUMX 日のウェビナーを発表します。 カットの下にすべての詳細が表示されます。

上のスクリーンショットは、Google のような検索バーを備えた IT セキュリティ検索 Web インターフェイスを示しています。このバーでは、Change Auditor からのイベントを並べ替えたり、ビューをカスタマイズしたりするのに便利です。

Change Auditor は、Microsoft インフラストラクチャ、ディスク アレイ、VMware の変更を監査するための強力なツールです。 サポートされる監査: AD、Azure AD、SQL Server、Exchange、Exchange Online、Sharepoint、Sharepoint Online、Windows File Server、OneDrive for Business、Skype for Business、VMware、NetApp、EMC、FluidFS。 GDPR、SOX、PCI、HIPAA、FISMA、GLBA 標準への準拠に関するレポートが事前にインストールされています。

メトリクスはエージェント ベースの方法で Windows サーバーから収集されます。これにより、AD 内の呼び出しへの深い統合を使用して監査できます。ベンダー自身が書いているように、この方法は深くネストされたグループ内でも変更を検出し、書き込み時よりも負荷が低くなります。ログの読み取りと抽出 (これがどのように機能するか) 競合するソリューション)。 高負荷時でも確認できます。 この低レベルの統合の結果として、Quest Change Auditor では、エンタープライズ管理者レベルのユーザーであっても、特定のオブジェクトに対する特定の変更を拒否できます。 つまり、悪意のある AD 管理者から身を守るためです。

Change Auditor では、すべての変更が 5W ビュー (誰が、何を、どこで、いつ、ワークステーション (誰が、何を、どこで、いつ、どのワークステーション上で) ) に正規化されます。 この形式を使用すると、さまざまなソースから受信したイベントを統合できます。

2 年 2020 月 7.1 日に、Change Auditor の新しいバージョン XNUMX がリリースされました。 次のような重要な改良点が加えられています。

  • Pass-the-Ticket 脅威の検出 (ドメイン ポリシーを超える有効期限を持つ Kerberos チケットの検出。ゴールデン チケット攻撃の可能性を示している可能性があります)。
  • NTLM 認証の成功および失敗の監査 (NTLM のバージョンを特定し、v1 を使用するアプリケーションについて通知できます)。
  • Kerberos 認証の成功と失敗の監査。
  • 隣接する AD フォレストに監査エージェントを展開します。

Quest Change Auditor に関するウェビナー - 情報セキュリティ イベントを監査するためのソリューション
スクリーンショットは、Kerberos チケットの有効期間が長い、検出された脅威を示しています。

Quest の別の製品 - On Demand Audit と併用すると、単一のインターフェイスからハイブリッド環境を監査し、AD、Azure AD のログオン、および Office 365 の変更を監視できます。

Change Auditor のもう XNUMX つの利点は、SIEM システムと直接、または別の Quest 製品である InTrust を介してすぐに統合できることです。 このような統合を設定すると、自動アクションを実行して InTrust を通じて攻撃を抑制したり、同じ Elastic Stack 内にビューを設定して、同僚に履歴データを表示するためのアクセスを許可したりできます。

Quest Change Auditor に関するウェビナー - 情報セキュリティ イベントを監査するためのソリューション

Change Auditor について詳しく知りたい場合は、29 月 11 日午前 XNUMX 時 (モスクワ時間) に開催されるウェビナーにご参加ください。 ウェビナー終了後は、ご質問も可能です。

ウェビナーへの登録

Quest セキュリティ ソリューションに関するその他の記事:

そして誰がやったの? 情報セキュリティ監査を自動化します

ペンチやダクトテープを使わずにユーザーのライフサイクルを追跡

Windows OS ベースのワークステーションのログから役立つこと

コンサルティング、配布キット、パイロット プロジェクトのリクエストは、次の方法で送信できます。 フィードバックフォーム 当社のウェブサイトで。 提案された解決策についての説明もあります。

出所: habr.com

コメントを追加します