Sawetara taun kepungkur, nalika kita miwiti ngleksanakake Change Auditor ing sawijining bank, kita weruh akeh skrip PowerShell sing nindakake tugas audit sing padha, nanging nggunakake metode makeshift. A akèh wektu wis liwati wiwit iku, customer isih nggunakake Ganti Auditor lan elinga dhukungan saka kabeh script kaya ngimpi ala. Ngimpi kasebut bisa dadi ngipi elek yen wong sing nglayani naskah ing wong siji mung mandheg, cepet-cepet lali nransfer kawruh rahasia. Kita krungu saka kanca-kanca yen kasus kaya mengkono kedadeyan ing kene lan banjur nyebabake kekacauan sing signifikan ing departemen keamanan informasi. Ing artikel iki, kita bakal ngomong babagan kaluwihan utama Change Auditor lan ngumumake webinar tanggal 29 Juli babagan alat otomatisasi audit iki. Ing ngisor potong kabeh rincian.
Gambar ing ndhuwur nuduhake antarmuka web Panelusuran Keamanan IT kanthi garis telusuran kaya google, sing trep kanggo ngurutake acara saka Ganti Auditor lan ngatur tampilan.
Ganti Auditor minangka alat sing kuat kanggo ngawasi owah-owahan ing infrastruktur Microsoft, susunan disk lan VMware. Didhukung audit: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Ana laporan sing wis diinstal kanggo netepi standar GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
Metrik diklumpukake saka server Windows kanthi cara adhedhasar agen, sing ngidini audit nggunakake integrasi jero menyang telpon ing AD lan, kaya sing ditulis vendor dhewe, metode iki ndeteksi owah-owahan sanajan ing grup sing nested banget lan ngenalake beban sing luwih murah tinimbang nalika nulis, maca lan njupuk log (iku cara kerjane ). Sampeyan bisa mriksa ing beban dhuwur. Minangka akibat saka integrasi tingkat rendah iki, ing Quest Change Auditor sampeyan bisa veto owah-owahan tartamtu kanggo obyek tartamtu, malah kanggo pangguna ing tingkat Admin Enterprise. Yaiku, nglindhungi dhewe saka administrator AD sing jahat.
Ing Ganti Auditor, kabeh owah-owahan dinormalisasi menyang jinis 5W - Who, What, Where, When, Workstation (Who, What, Where, When and on which workstation). Format iki ngidini sampeyan nggabungake acara sing ditampa saka macem-macem sumber.
Ing tanggal 2 Juni 2020, versi anyar saka Change Auditor dirilis - 7.1. Nduwe perbaikan utama ing ngisor iki:
- Deteksi ancaman Pass-the-Ticket (identifikasi Tiket Kerberos kanthi tanggal kadaluwarsa sing ngluwihi kabijakan domain, sing bisa nunjukake potensial serangan Tiket Emas);
- audit otentikasi NTLM sing sukses lan ora kasil (sampeyan bisa nemtokake versi NTLM lan menehi kabar babagan aplikasi sing nggunakake v1);
- audit otentikasi Kerberos sing sukses lan ora kasil;
- Nganggo agen audit ing alas AD tetanggan.
Gambar kasebut nuduhake ancaman sing diidentifikasi kanthi wektu validitas Tiket Kerberos sing dawa.
Bebarengan karo produk liyane saka Quest - On Demand Audit, sampeyan bisa audit lingkungan hibrida saka antarmuka siji lan ngawasi logon ing AD, Azure AD lan owah-owahan ing Office 365.
Kauntungan liyane saka Change Auditor yaiku kamungkinan integrasi metu saka kothak karo sistem SIEM langsung utawa liwat produk Quest liyane - InTrust. Yen sampeyan nyiyapake integrasi kasebut, sampeyan bisa nindakake tindakan otomatis kanggo nyegah serangan liwat InTrust, lan ing Elastic Stack sing padha sampeyan bisa nyetel tampilan lan menehi akses menyang kolega kanggo ndeleng data sejarah.
Kanggo mangerteni sing luwih lengkap babagan Ganti Auditor, kita ngajak sampeyan rawuh ing webinar, sing bakal dianakake tanggal 29 Juli ing 11 am wektu Moskow. Sawise webinar sampeyan bakal bisa takon apa wae sing sampeyan duwe.
Artikel liyane babagan solusi keamanan Quest:
Sampeyan bisa ngirim panjalukan kanggo konsultasi, distribusi utawa proyek pilot liwat ing situs web kita. Ana uga katrangan babagan solusi sing diusulake.
Source: www.habr.com