Quest Change Auditor에 대한 웨비나 - 정보 보안 이벤트 감사 솔루션

몇 년 전, 한 은행에서 Change Auditor를 구현하기 시작했을 때 우리는 정확히 동일한 감사 작업을 수행하지만 임시 변통 방법을 사용하는 수많은 PowerShell 스크립트를 발견했습니다. 그 이후로 많은 시간이 지났지만 고객은 여전히 ​​Change Auditor를 사용하고 있으며 모든 스크립트의 지원을 악몽처럼 기억합니다. 만약 한 사람의 대본을 서비스하던 사람이 비밀 지식 전달을 잊어버리고 급히 그만두었다면 그 꿈은 악몽으로 변했을 수도 있다. 이런 사례가 여기저기서 발생해 정보보호 부서 업무에 큰 혼란을 가져왔다는 소식을 동료들에게 들었습니다. 이 기사에서는 Change Auditor의 주요 이점에 대해 설명하고 29월 XNUMX일에 이 감사 자동화 도구에 대한 웹 세미나를 발표할 것입니다. 컷 아래에는 모든 세부 사항이 있습니다.

위 스크린샷은 Google과 유사한 검색 표시줄이 있는 IT 보안 검색 웹 인터페이스를 보여줍니다. 여기서는 Change Auditor의 이벤트를 편리하게 정렬하고 보기를 구성할 수 있습니다.

Change Auditor는 Microsoft 인프라, 디스크 어레이 및 VMware의 변경 사항을 감사하는 강력한 도구입니다. 지원되는 감사: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows 파일 서버, 비즈니스용 OneDrive, 비즈니스용 Skype, VMware, NetApp, EMC, FluidFS. GDPR, SOX, PCI, HIPAA, FISMA, GLBA 표준 준수에 대한 보고서가 사전 설치되어 있습니다.

메트릭은 에이전트 기반 방식으로 Windows 서버에서 수집됩니다. 이를 통해 AD 내의 호출에 대한 심층 통합을 사용하여 감사할 수 있으며 공급업체가 직접 작성하는 것처럼 이 방법은 깊게 중첩된 그룹에서도 변경 사항을 감지하고 쓰기, 읽기 및 쓰기보다 부하가 적습니다. 로그 검색(이것이 작동 방식입니다) 경쟁 솔루션). 높은 부하에서도 확인할 수 있습니다. 이러한 낮은 수준 통합의 결과로 Quest Change Auditor에서는 Enterprise Admin 수준의 사용자에 대해서도 특정 개체에 대한 특정 변경 사항을 거부할 수 있습니다. 즉, 악의적인 AD 관리자로부터 자신을 보호하세요.

Change Auditor에서는 모든 변경 사항이 5W 유형(누가, 무엇을, 어디서, 언제, 워크스테이션(누가, 무엇을, 어디서, 언제, 어떤 워크스테이션에서))으로 정규화됩니다. 이 형식을 사용하면 다양한 소스에서 받은 이벤트를 통합할 수 있습니다.

2년 2020월 7.1일에 Change Auditor의 새 버전인 XNUMX이 출시되었습니다. 다음과 같은 주요 개선 사항이 있습니다.

• Pass-the-Ticket 위협 감지(만료 날짜가 도메인 정책을 초과하는 Kerberos 티켓 식별, 이는 잠재적인 골든 티켓 공격을 나타낼 수 있음)
• 성공 및 실패한 NTLM 인증 감사(NTLM 버전을 확인하고 v1을 사용하는 응용 프로그램에 대해 알릴 수 있음)
• 성공 및 실패한 Kerberos 인증 감사
• 인접한 AD 포리스트에 감사 에이전트를 배포합니다.

스크린샷은 Kerberos 티켓의 유효 기간이 긴 식별된 위협을 보여줍니다.

Quest - On Demand Audit의 다른 제품과 함께 단일 인터페이스에서 하이브리드 환경을 감사하고 AD, Azure AD의 로그온 및 Office 365의 변경 사항을 모니터링할 수 있습니다.

Change Auditor의 또 다른 장점은 SIEM 시스템과 직접 또는 다른 Quest 제품인 InTrust를 통해 즉시 통합할 수 있다는 것입니다. 이러한 통합을 설정하면 자동화된 작업을 수행하여 InTrust를 통해 공격을 억제할 수 있으며, 동일한 Elastic Stack에서 보기를 설정하고 동료에게 기록 데이터를 볼 수 있는 액세스 권한을 부여할 수 있습니다.

Change Auditor에 대해 자세히 알아보려면 모스크바 시간으로 29월 11일 오전 XNUMX시에 열리는 웹 세미나에 참석하시기 바랍니다. 웨비나 후에는 궁금한 사항을 질문하실 수 있습니다.

웨비나 등록

Quest 보안 솔루션에 대한 추가 기사:

누가 그랬나요? 정보 보안 감사를 자동화합니다.

펜치나 덕테이프 없이 사용자의 라이프사이클 추적

Windows 기반 워크스테이션의 로그에서 어떤 유용한 정보를 추출할 수 있나요?

상담, 배포, 파일럿 프로젝트 요청을 통해 접수하실 수 있습니다. 피드백 양식 우리 웹사이트에서. 제안된 솔루션에 대한 설명도 있습니다.

출처 : habr.com