Бірнеше жыл бұрын, біз бір банкте Аудиторды өзгертуді енгізуді бастағанда, біз дәл сол аудит тапсырмасын орындайтын, бірақ уақытша әдісті қолданатын PowerShell сценарийлерінің үлкен массивін байқадық. Содан бері көп уақыт өтті, тұтынушы әлі де Change Auditor қолданбасын пайдаланады және барлық сценарийлердің қолдауын жаман арман сияқты есте сақтайды. Сценарийлерге бір адамда қызмет еткен адам жасырын білімді беруді асығыс ұмытып кеткен болса, бұл арман қорқынышты арманға айналуы мүмкін еді. Әріптестерімізден мұндай жағдайлардың мұнда да, мұнда да орын алғанын естідік, содан кейін бұл ақпараттық қауіпсіздік басқармасының жұмысына айтарлықтай ретсіздік әкелді. Бұл мақалада біз Аудиторды өзгертудің негізгі артықшылықтары туралы сөйлесеміз және осы аудитті автоматтандыру құралы бойынша 29 шілдеде вебинар жариялаймыз. Кесудің астында барлық мәліметтер бар.
Жоғарыдағы скриншот google-ге ұқсас іздеу жолағы бар IT Security Search веб-интерфейсін көрсетеді, онда Аудиторды өзгерту арқылы оқиғаларды сұрыптауға және көріністерді конфигурациялауға ыңғайлы.
Change Auditor — Microsoft инфрақұрылымындағы, диск массивтеріндегі және VMware жүйесіндегі өзгерістерді тексеруге арналған қуатты құрал. Аудитке қолдау көрсетіледі: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows файл сервері, Бизнеске арналған OneDrive, Бизнеске арналған Skype, VMware, NetApp, EMC, FluidFS. GDPR, SOX, PCI, HIPAA, FISMA, GLBA стандарттарына сәйкестік үшін алдын ала орнатылған есептер бар.
Көрсеткіштер Windows серверлерінен агент негізінде жиналады, бұл AD ішіндегі қоңырауларға терең интеграцияны пайдалану арқылы тексеруге мүмкіндік береді және жеткізушінің өзі жазғандай, бұл әдіс тіпті терең кірістірілген топтардағы өзгерістерді анықтайды және жазу, оқу және жазуға қарағанда аз жүктемені енгізеді. журналдарды шығарып алу (олар осылай жұмыс істейді ). Сіз оны жоғары жүктеме кезінде тексере аласыз. Осындай төмен деңгейлі интеграцияның салдары ретінде Quest Change Auditor бағдарламасында белгілі бір нысандар үшін, тіпті Enterprise Admin деңгейіндегі пайдаланушылар үшін де белгілі бір өзгерістерге вето қоюға болады. Яғни, өзіңізді зиянды AD әкімшілерінен қорғаңыз.
Change Auditor бағдарламасында барлық өзгерістер 5 Вт түріне қалыпқа келтіріледі - Кім, Не, Қайда, Қашан, Жұмыс станциясы (Кім, Не, Қайда, Қашан және қай жұмыс станциясында). Бұл пішім әртүрлі көздерден алынған оқиғаларды біріктіруге мүмкіндік береді.
2 жылдың 2020 маусымында Change Auditor бағдарламасының жаңа нұсқасы шықты - 7.1. Оның келесі негізгі жақсартулары бар:
- Билеттен өту қаупін анықтау (домен саясатынан асатын жарамдылық мерзімі бар Kerberos билеттерін анықтау, бұл ықтимал Алтын билет шабуылын көрсетуі мүмкін);
- сәтті және сәтсіз NTLM аутентификацияларының аудиті (NTLM нұсқасын анықтауға және v1 пайдаланатын қолданбалар туралы хабарлауға болады);
- сәтті және сәтсіз Kerberos аутентификацияларының аудиті;
- Көршілес AD орманында аудит агенттерін орналастыру.
Скриншот Kerberos билетінің жарамдылық мерзімі ұзақ анықталған қауіпті көрсетеді.
Quest - сұраныс бойынша аудит басқа өнімімен бірге гибридті орталарды бір интерфейстен тексеріп, AD, Azure AD жүйесіндегі кірулерді және Office 365 жүйесіндегі өзгерістерді бақылай аласыз.
Change Auditor бағдарламасының тағы бір артықшылығы - SIEM жүйесімен тікелей немесе басқа Quest өнімі - InTrust арқылы қордан тыс интеграциялау мүмкіндігі. Егер осындай біріктіруді орнатсаңыз, InTrust арқылы шабуылды басу үшін автоматтандырылған әрекеттерді орындауға болады және сол Elastic Stack ішінде көріністерді орнатуға және тарихи деректерді көру үшін әріптестерге рұқсат беруге болады.
Аудиторды өзгерту туралы көбірек білу үшін 29 шілдеде Мәскеу уақытымен сағат 11-де өтетін вебинарға қатысуға шақырамыз. Вебинардан кейін сіз өзіңізді қызықтыратын сұрақтарды қоя аласыз.
Quest қауіпсіздік шешімдері туралы қосымша мақалалар:
арқылы кеңес алуға, таратуға немесе пилоттық жобаға сұраныс жібере аласыз біздің веб-сайтта. Сондай-ақ ұсынылған шешімдердің сипаттамалары бар.
Ақпарат көзі: www.habr.com