Virun e puer Joer, wéi mir ugefaang hunn Change Auditor an enger Bank ëmzesetzen, hu mir eng rieseg Gamme vu PowerShell Scripte gemierkt, déi genau déiselwecht Audit Aufgab gemaach hunn, awer mat enger provisorescher Method. Vill Zäit ass zënterhier vergaang, de Client benotzt ëmmer nach Change Auditor an erënnert un d'Ënnerstëtzung vun all deene Skripte wéi e schlechten Dram. Dësen Dram kéint zu engem Albtraum ëmgewandelt ginn, wann déi Persoun, déi d'Skripte an enger Persoun servéiert huet, just opgehalen huet, séier vergiess ze geheime Wëssen ze transferéieren. Mir hunn vu Kollegen héieren, datt esou Fäll hei an do geschitt sinn an dat huet dunn e wesentleche Chaos an d'Aarbecht vun der Informatiounssécherheet bruecht. An dësem Artikel wäerte mir iwwer d'Haaptvirdeeler vum Change Auditor schwätzen an e Webinar den 29. Juli iwwer dëst Auditautomatiséierungsinstrument annoncéieren. Ënnert dem Schnëtt sinn all Detailer.
De Screenshot hei uewen weist d'IT Security Search Web Interface mat enger Google-ähnlecher Sichbar, an där et bequem ass Eventer vum Change Auditor ze sortéieren an Meenungen ze konfiguréieren.
Change Auditor ass e mächtegt Tool fir Ännerungen an der Microsoft Infrastruktur, Disk Arrays a VMware z'iwwerpréiwen. Audit ënnerstëtzt: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive fir Business, Skype fir Business, VMware, NetApp, EMC, FluidFS. Et gi virinstalléiert Berichter fir d'Konformitéit mat GDPR, SOX, PCI, HIPAA, FISMA, GLBA Standards.
Metriken gi vu Windows Server op eng Agent-baséiert Manéier gesammelt, wat d'Audit erlaabt mat déif Integratioun an Uruff bannent AD ze kontrolléieren an, wéi de Verkeefer selwer schreift, erkennt dës Method Ännerungen och an déif nestet Gruppen a féiert manner Belaaschtung wéi beim Schreiwen, Liesen a Logbicher zréckzéien (dat ass wéi se funktionnéieren ). Dir kënnt et bei héijer Belaaschtung kontrolléieren. Als Konsequenz vun dëser niddereg-Niveau Integratioun, am Quest Change Auditor kënnt Dir bestëmmte Ännerungen fir bestëmmten Objete Veto, och fir Benotzer um Enterprise Admin Niveau. Dat ass, schützt Iech virun béiswëlleg AD Administrateuren.
Am Change Auditor ginn all Ännerungen op den 5W Typ normaliséiert - Wien, Wat, Wou, Wéini, Workstation (Wien, Wat, Wou, Wéini an op wéi enger Aarbechtsstatioun). Dëst Format erlaabt Iech Evenementer aus verschiddene Quellen ze vereenegen.
Den 2. Juni 2020 gouf eng nei Versioun vum Change Auditor verëffentlecht - 7.1. Et huet déi folgend Schlësselverbesserungen:
- Pass-the-Ticket Bedrohungserkennung (Identifikatioun vu Kerberos Ticketen mat engem Verfallsdatum deen d'Domainpolitik iwwerschreift, wat e potenziellen Golden Ticket Attack uginn kann);
- Audit vun erfollegräichen an net erfollegräichen NTLM Authentifikatiounen (Dir kënnt d'NTLM Versioun bestëmmen an iwwer Uwendungen informéieren déi v1 benotzen);
- Audit vun erfollegräichen an net erfollegräichen Kerberos Authentifikatiounen;
- Deployéieren Audit Agenten an engem Nopeschlänner AD Bësch.
De Screenshot weist eng identifizéiert Bedrohung mat enger laanger Validitéit vum Kerberos Ticket.
Zesumme mat engem anere Produkt vu Quest - On Demand Audit, kënnt Dir Hybrid-Ëmfeld vun enger eenzeger Interface iwwerpréiwen a Login an AD, Azure AD an Ännerungen am Office 365 iwwerwaachen.
En anere Virdeel vum Change Auditor ass d'Méiglechkeet vun der Out-of-Box Integratioun mat engem SIEM System direkt oder duerch en anert Quest Produkt - InTrust. Wann Dir esou eng Integratioun opstellt, kënnt Dir automatiséiert Aktiounen ausféieren fir en Attack duerch InTrust z'ënnerdrécken, an am selwechte Elastic Stack kënnt Dir Usiichten opsetzen an Zougang zu Kollegen ginn fir historesch Daten ze gesinn.
Fir méi iwwer Change Auditor ze léieren, invitéiere mir Iech op de Webinar deelzehuelen, deen den 29. Juli um 11 Auer Moskauer Zäit stattfënnt. Nom Webinar kënnt Dir all Froen stellen déi Dir hutt.
Méi Artikelen iwwer Quest Sécherheetsléisungen:
Dir kënnt eng Demande fir Consultatioun, Verdeelung oder e Pilotprojet duerch op eiser Websäit. Et ginn och Beschreiwunge vu proposéierte Léisungen.
Source: will.com
