Prieš kelerius metus, kai viename banke pradėjome diegti „Change Auditor“, pastebėjome daugybę „PowerShell“ scenarijų, kurie atliko lygiai tą pačią audito užduotį, tačiau naudojo laikiną metodą. Nuo to laiko praėjo daug laiko, klientas vis dar naudojasi „Change Auditor“ ir visų tų scenarijų palaikymą prisimena kaip blogą sapną. Tas sapnas galėjo virsti košmaru, jei scenarijus viename asmenyje aptarnavęs žmogus būtų ką tik pasitraukęs, paskubomis pamiršęs perduoti slaptas žinias. Iš kolegų girdėjome, kad tokių atvejų pasitaikydavo šen bei ten ir tai įnešdavo didelį chaosą informacijos saugos skyriaus darbe. Šiame straipsnyje kalbėsime apie pagrindinius „Change Auditor“ privalumus ir liepos 29 d. paskelbsime internetinį seminarą apie šį audito automatizavimo įrankį. Po pjūviu yra visos detalės.
Aukščiau esančioje ekrano kopijoje pavaizduota IT saugos paieškos žiniatinklio sąsaja su į google panašia paieškos juosta, kurioje patogu rūšiuoti įvykius iš Change Auditor ir konfigūruoti rodinius.
„Change Auditor“ yra galingas „Microsoft“ infrastruktūros, diskų masyvų ir „VMware“ pakeitimų audito įrankis. Palaikomas auditas: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Yra iš anksto įdiegtos ataskaitos apie atitiktį GDPR, SOX, PCI, HIPAA, FISMA, GLBA standartams.
Metrika iš „Windows“ serverių renkama agentų pagrindu, o tai leidžia atlikti auditą naudojant gilią integraciją į AD skambučius, ir, kaip rašo pats pardavėjas, šis metodas aptinka pokyčius net giliai įdėtose grupėse ir įveda mažiau apkrovos nei rašant, skaitant ir žurnalų gavimas (taip jie veikia ). Galite patikrinti esant didelei apkrovai. Dėl šios žemo lygio integracijos Quest Change Auditor galite vetuoti tam tikrus tam tikrų objektų pakeitimus, net ir įmonės administratoriaus lygio naudotojams. Tai yra, apsisaugokite nuo kenkėjiškų AD administratorių.
„Change Auditor“ programoje visi pakeitimai normalizuojami pagal 5W tipą – kas, kas, kur, kada, darbo vieta (kas, kas, kur, kada ir kurioje darbo vietoje). Šis formatas leidžia suvienyti įvykius, gautus iš skirtingų šaltinių.
2 m. birželio 2020 d. buvo išleista nauja „Change Auditor“ versija – 7.1. Jame yra šie pagrindiniai patobulinimai:
- „Pass-the-Ticket“ grėsmės aptikimas (Kerberos bilietų, kurių galiojimo laikas viršija domeno politiką, identifikavimas, o tai gali reikšti galimą „Golden Ticket“ ataką);
- sėkmingų ir nesėkmingų NTLM autentifikacijų auditas (galite nustatyti NTLM versiją ir pranešti apie programas, kurios naudoja v1);
- sėkmingų ir nesėkmingų Kerberos autentifikacijų auditas;
- Audito agentų dislokavimas kaimyniniame AD miške.
Ekrano kopijoje rodoma identifikuota grėsmė, kuri ilgą laiką galioja Kerberos bilietas.
Kartu su kitu produktu iš Quest – On Demand Audit galite tikrinti hibridines aplinkas naudodami vieną sąsają ir stebėti prisijungimus AD, Azure AD ir pakeitimus „Office 365“.
Kitas „Change Auditor“ privalumas yra galimybė tiesiogiai arba per kitą „Quest“ produktą – „InTrust“ integruoti iš SIEM sistemą. Jei nustatote tokią integraciją, galite atlikti automatizuotus veiksmus, kad sustabdytumėte ataką per InTrust, o tame pačiame Elastic Stack galite nustatyti rodinius ir suteikti prieigą kolegoms peržiūrėti istorinius duomenis.
Norėdami sužinoti daugiau apie „Change Auditor“, kviečiame dalyvauti internetiniame seminare, kuris vyks liepos 29 d., 11 val. Maskvos laiku. Po webinaro galėsite užduoti visus jums rūpimus klausimus.
Daugiau straipsnių apie Quest saugumo sprendimus:
Prašymą dėl konsultacijos, platinimo ar bandomojo projekto galite pateikti per mūsų svetainėje. Taip pat yra siūlomų sprendimų aprašymai.
Šaltinis: www.habr.com