Хэдэн жилийн өмнө бид Change Auditor-ийг нэг банкинд хэрэгжүүлж эхлэхэд яг ижил аудитын ажлыг гүйцэтгэдэг боловч түр зуурын аргыг ашигласан PowerShell скриптүүдийн асар их массивыг анзаарсан. Түүнээс хойш маш их цаг хугацаа өнгөрсөн ч үйлчлүүлэгч Change Auditor-г ашигладаг хэвээр байгаа бөгөөд эдгээр бүх скриптүүдийн дэмжлэгийг муу зүүд шиг санаж байна. Хэрэв нэг хүнд скриптээр үйлчилж байсан хүн нууц мэдлэгээ шилжүүлэхээ яаран мартсан бол энэ мөрөөдөл хар дарсан зүүд болж хувирах байсан. Ийм хэрэг энд тэнд гарч, улмаар мэдээллийн аюулгүй байдлын албаны ажилд ихээхэн эмх замбараагүй байдал авчирсныг бид хамтран ажиллагсдаас сонссон. Энэ нийтлэлд бид Change Auditor-ийн гол давуу талуудын талаар ярих бөгөөд 29-р сарын XNUMX-нд энэхүү аудитын автоматжуулалтын хэрэглүүрийн талаар вебинар зарлах болно. Зүсэлтийн доор бүх нарийн ширийн зүйлс байна.
Дээрх дэлгэцийн агшинд google-тэй төстэй хайлтын талбар бүхий IT Security Search вэб интерфэйсийг харуулсан бөгөөд энэ нь Change Auditor-аас үйл явдлыг эрэмбэлэх, харагдацыг тохируулахад тохиромжтой.
Change Auditor нь Microsoft-ын дэд бүтэц, дискний массив болон VMware-ийн өөрчлөлтийг шалгах хүчирхэг хэрэгсэл юм. Дэмжигдсэн аудит: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. GDPR, SOX, PCI, HIPAA, FISMA, GLBA стандартуудтай нийцэж байгаа эсэхийг урьдчилан суулгасан тайлангууд байдаг.
Хэмжилтийг Windows серверүүдээс агент дээр суурилсан байдлаар цуглуулдаг бөгөөд энэ нь AD доторх дуудлагад гүн гүнзгий нэгтгэх замаар аудит хийх боломжийг олгодог бөгөөд борлуулагч өөрөө бичсэнээр энэ арга нь гүнзгий үүрлэсэн бүлгүүдэд ч өөрчлөлтийг илрүүлж, бичих, унших, бичихээс бага ачаалал өгдөг. бүртгэлийг татаж авах (тэд ингэж ажилладаг ). Та үүнийг өндөр ачаалалтай үед шалгаж болно. Энэхүү доод түвшний интеграцчлалын үр дүнд Quest Change Auditor-д та зарим объектын зарим өөрчлөлтийг, тэр дундаа Enterprise Admin түвшний хэрэглэгчдэд хүртэл хориглох боломжтой. Өөрөөр хэлбэл, хортой AD администраторуудаас өөрийгөө хамгаалах.
Change Auditor-д бүх өөрчлөлтийг 5W төрөлд тохируулсан - Хэн, Юу, Хаана, Хэзээ, Ажлын станц (Хэн, Юу, Хаана, Хэзээ, аль ажлын станц дээр). Энэ формат нь янз бүрийн эх сурвалжаас хүлээн авсан үйл явдлуудыг нэгтгэх боломжийг танд олгоно.
2 оны 2020-р сарын 7.1-нд Change Auditor-ийн шинэ хувилбар гарсан - XNUMX. Үүнд дараах гол сайжруулалтууд бий.
- Тасалбарыг нэвтрүүлэх аюулыг илрүүлэх (домайны бодлогоос хэтэрсэн хугацаа нь дууссан Kerberos тасалбарыг тодорхойлох, энэ нь боломжит Алтан тасалбарын халдлагыг илтгэнэ);
- амжилттай болон амжилтгүй болсон NTLM баталгаажуулалтын аудит (та NTLM хувилбарыг тодорхойлж, v1 ашигладаг програмуудын талаар мэдэгдэх боломжтой);
- Kerberos-ийн амжилттай болон амжилтгүй баталгаажуулалтын аудит;
- Хөрш зэргэлдээх МЭ ойд аудитын агентуудыг байршуулж байна.
Дэлгэцийн агшинд Kerberos тасалбарын хүчинтэй хугацаа нь тодорхойлогдсон аюулыг харуулж байна.
Quest - On Demand Audit-ын өөр бүтээгдэхүүнтэй хамт та нэг интерфэйсээс эрлийз орчныг шалгаж, AD, Azure AD болон Office 365 дээрх өөрчлөлтүүдийг хянах боломжтой.
Өөрчлөлтийн аудиторын өөр нэг давуу тал бол SIEM системтэй шууд эсвэл өөр Quest бүтээгдэхүүн болох InTrust-ээр дамжуулан шууд нэгтгэх боломж юм. Хэрэв та ийм интеграцийг тохируулсан бол InTrust-ээр дамжуулан халдлагыг дарах автоматжуулсан үйлдлүүдийг хийж болох ба ижил Elastic Stack-д та харагдацыг тохируулж, хамтран ажиллагсаддаа түүхэн өгөгдлийг үзэх боломжийг олгох боломжтой.
Аудиторын өөрчлөлтийн талаар илүү ихийг мэдэхийг хүсвэл 29-р сарын 11-ний Москвагийн цагаар XNUMX:XNUMX цагт болох вебинарт оролцохыг урьж байна. Вебинарын дараа та өөрт байгаа асуултаа асуух боломжтой.
Quest-ийн аюулгүй байдлын шийдлүүдийн талаархи бусад нийтлэлүүд:
Та дамжуулан зөвлөгөө өгөх, түгээх эсвэл туршилтын төсөл авах хүсэлт гаргаж болно манай вэбсайт дээр. Мөн санал болгож буй шийдлүүдийн тайлбарууд байдаг.
Эх сурвалж: www.habr.com