Pirms vairākiem gadiem, kad mēs sākām ieviest Change Auditor vienā bankā, mēs pamanījām milzīgu PowerShell skriptu klāstu, kas veica tieši tādu pašu audita uzdevumu, bet izmantoja pagaidu metodi. Kopš tā laika ir pagājis daudz laika, klients joprojām izmanto Change Auditor un atceras visu šo skriptu atbalstu kā sliktu sapni. Šis sapnis varēja pārvērsties par murgu, ja cilvēks, kurš apkalpoja skriptus vienā personā, tikko būtu pametis darbu, steigā aizmirstot nodot slepenās zināšanas. No kolēģiem dzirdējām, ka šādi gadījumi šur tur gadījušies, un tas pēc tam ienesis būtisku haosu informācijas drošības departamenta darbā. Šajā rakstā mēs runāsim par galvenajām Change Auditor priekšrocībām un izsludināsim vebināru 29. jūlijā par šo audita automatizācijas rīku. Zem griezuma ir visas detaļas.
Augšējā ekrānuzņēmumā redzama IT drošības meklēšanas tīmekļa saskarne ar google līdzīgu meklēšanas joslu, kurā ērti kārtot notikumus no Change Auditor un konfigurēt skatus.
Change Auditor ir spēcīgs rīks, lai pārbaudītu izmaiņas Microsoft infrastruktūrā, disku masīvos un VMware. Audits tiek atbalstīts: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows failu serveris, OneDrive darbam, Skype darbam, VMware, NetApp, EMC, FluidFS. Ir iepriekš instalēti pārskati par atbilstību GDPR, SOX, PCI, HIPAA, FISMA, GLBA standartiem.
Metrika tiek vākta no Windows serveriem uz aģentiem balstītā veidā, kas ļauj veikt auditu, izmantojot dziļu integrāciju izsaukumos AD ietvaros, un, kā raksta pats pārdevējs, šī metode nosaka izmaiņas pat dziļi ligzdotās grupās un rada mazāku slodzi nekā rakstot, lasot un žurnālu izgūšana (tā tie darbojas ). To var pārbaudīt pie lielas slodzes. Šīs zemā līmeņa integrācijas rezultātā programmā Quest Change Auditor varat uzlikt veto noteiktām izmaiņām noteiktiem objektiem, pat lietotājiem uzņēmuma administratora līmenī. Tas ir, pasargājiet sevi no ļaunprātīgiem AD administratoriem.
Programmā Change Auditor visas izmaiņas tiek normalizētas līdz 5W tipam - Kas, kas, kur, kad, darbstacija (kas, ko, kur, kad un kurā darbstacijā). Šis formāts ļauj apvienot notikumus, kas saņemti no dažādiem avotiem.
2. gada 2020. jūnijā tika izlaista jauna Change Auditor versija — 7.1. Tam ir šādi galvenie uzlabojumi:
- Pass-the-Ticket draudu noteikšana (Kerberos Biļešu identifikācija ar derīguma termiņu, kas pārsniedz domēna politiku, kas var liecināt par iespējamu Golden Ticket uzbrukumu);
- veiksmīgu un neveiksmīgu NTLM autentifikāciju audits (var noteikt NTLM versiju un paziņot par lietojumprogrammām, kas izmanto v1);
- veiksmīgu un neveiksmīgu Kerberos autentifikāciju audits;
- Revīzijas aģentu izvietošana blakus esošajā AD mežā.
Ekrānuzņēmumā redzams identificēts apdraudējums ar ilgu Kerberos biļetes derīguma termiņu.
Kopā ar citu produktu no Quest — On Demand Audit varat pārbaudīt hibrīda vidi no viena interfeisa un pārraudzīt pieteikšanos AD, Azure AD un izmaiņas Office 365.
Vēl viena Change Auditor priekšrocība ir iespēja integrēties ar SIEM sistēmu tieši vai caur citu Quest produktu - InTrust. Ja iestatāt šādu integrāciju, varat veikt automatizētas darbības, lai apspiestu uzbrukumu, izmantojot InTrust, un tajā pašā elastīgajā stackā varat iestatīt skatus un piešķirt kolēģiem piekļuvi vēsturisko datu apskatei.
Lai uzzinātu vairāk par Change Auditor, aicinām apmeklēt vebināru, kas notiks 29.jūlijā plkst.11 pēc Maskavas laika. Pēc vebināra varēsiet uzdot visus sev interesējošos jautājumus.
Vairāk rakstu par Quest drošības risinājumiem:
Jūs varat iesniegt pieprasījumu konsultācijai, izplatīšanai vai pilotprojektam caur mūsu mājas lapā. Ir arī piedāvāto risinājumu apraksti.
Avots: www.habr.com