Beberapa tahun yang lalu, apabila kami mula melaksanakan Juruaudit Perubahan dalam satu bank, kami melihat pelbagai besar skrip PowerShell yang melaksanakan tugas audit yang sama, tetapi dengan cara yang artisanal. Banyak masa telah berlalu sejak itu, pelanggan masih menggunakan Juruaudit Perubahan dan mengingati sokongan semua skrip tersebut sebagai mimpi ngeri. Mimpi itu juga boleh menjadi mimpi ngeri jika orang yang menyampaikan skrip pada satu orang akan mengambilnya dan berhenti, terlupa untuk memindahkan pengetahuan rahsia. Daripada rakan sekerja, kami mendengar bahawa kes sebegini berlaku di beberapa tempat dan ini kemudian membawa kekacauan yang besar kepada kerja jabatan keselamatan maklumat. Dalam artikel ini, kita akan bercakap tentang faedah utama Juruaudit Perubahan dan mengumumkan webinar pada 29 Julai tentang alat automasi audit ini. Di bawah potongan semua butiran.
Tangkapan skrin di atas menunjukkan antara muka web Carian Keselamatan IT dengan bar carian seperti google, yang memudahkan untuk mengisih acara daripada Change Auditor dan menyesuaikan paparan.
Change Auditor ialah alat yang berkuasa untuk mengaudit perubahan dalam infrastruktur Microsoft, tatasusunan cakera dan VMware. Pengauditan disokong: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Terdapat laporan prapasang untuk pematuhan dengan piawaian GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
Metrik dikumpul daripada pelayan Windows dalam cara berasaskan ejen, yang membolehkan anda mengaudit menggunakan penyepaduan mendalam ke dalam panggilan dalam AD dan, seperti yang ditulis oleh vendor sendiri, kaedah ini mengesan perubahan walaupun dalam kumpulan bersarang dalam dan memperkenalkan beban yang kurang daripada semasa menulis, membaca dan mengekstrak log (beginilah ia berfungsi ). Anda boleh menyemaknya di bawah beban tinggi. Akibat daripada penyepaduan peringkat rendah ini, dalam Quest Change Auditor, anda boleh memveto perubahan tertentu untuk objek tertentu, walaupun untuk pengguna peringkat Pentadbiran Perusahaan. Iaitu, untuk melindungi diri anda daripada pentadbir AD yang berniat jahat.
Dalam Juruaudit Perubahan, semua perubahan dinormalkan kepada paparan 5W - Siapa, Apa, Di mana, Bila, Stesen Kerja (Siapa, Apa, Di mana, Bila dan di stesen kerja mana). Format ini membolehkan anda menyatukan acara yang diterima daripada sumber yang berbeza.
Pada 2 Jun 2020, versi baharu Juruaudit Perubahan telah dikeluarkan - 7.1. Ia mempunyai penambahbaikan utama berikut:
- Pengesanan ancaman Pass-the-Ticket (pengesanan Tiket Kerberos dengan tarikh tamat tempoh yang melebihi dasar domain, yang mungkin menunjukkan potensi serangan Golden Ticket);
- audit pengesahan NTLM yang berjaya dan tidak berjaya (anda boleh menentukan versi NTLM dan memberitahu tentang aplikasi yang menggunakan v1);
- audit pengesahan Kerberos yang berjaya dan tidak berjaya;
- Mengerahkan ejen pengauditan di hutan AD yang berdekatan.
Tangkapan skrin menunjukkan ancaman yang dikesan dengan tempoh sah Tiket Kerberos yang panjang.
Bersama-sama dengan produk lain daripada Quest - Audit Atas Permintaan, anda boleh mengaudit persekitaran hibrid daripada antara muka tunggal dan memantau log masuk dalam AD, Azure AD dan perubahan dalam Office 365.
Satu lagi kelebihan Change Auditor ialah kemungkinan integrasi luar biasa dengan sistem SIEM secara langsung atau melalui produk Quest lain - InTrust. Jika anda menyediakan penyepaduan sedemikian, anda boleh melakukan tindakan automatik untuk menyekat serangan melalui InTrust dan menyediakan paparan dalam Tindanan Elastik yang sama dan memberi rakan sekerja akses untuk melihat data sejarah.
Untuk mengetahui lebih lanjut tentang Juruaudit Perubahan, kami menjemput anda untuk menghadiri webinar, yang akan berlangsung pada 29 Julai jam 11 pagi waktu Moscow. Selepas webinar, anda akan dapat bertanya soalan anda.
Artikel lain tentang penyelesaian keselamatan Quest:
Anda boleh meninggalkan permintaan untuk perundingan, kit pengedaran atau projek perintis melalui di laman web kami. Terdapat juga penerangan tentang penyelesaian yang dicadangkan.
Sumber: www.habr.com