Bosta snin ilu, meta bdejna nimplimentaw l-Awditur tal-Bidla f'bank wieħed, innutajna firxa kbira ta' skripts PowerShell li wettqu eżattament l-istess kompitu ta' verifika, iżda użaw metodu improvvisat. Għadda ħafna żmien minn dakinhar, il-klijent għadu juża l-Awditur tal-Bidla u jiftakar l-appoġġ ta’ dawk l-iskripts kollha bħal ħolma ħażina. Dik il-ħolma setgħet tinbidel f’ħmar il-lejl li kieku l-persuna li taqdi l-iskripts f’persuna waħda kienet għadha kif nieqaf, bil-għaġla tinsa li tittrasferixxi għarfien sigriet. Smajna mingħand kollegi li każijiet bħal dawn seħħew hawn u hemm u dan imbagħad ġab kaos sinifikanti fix-xogħol tad-dipartiment tas-sigurtà tal-informazzjoni. F'dan l-artikolu, se nitkellmu dwar il-vantaġġi ewlenin tal-Awditur tal-Bidla u nħabbru webinar fid-29 ta 'Lulju dwar din l-għodda ta' awtomazzjoni tal-awditjar. Taħt il-qatgħa hemm id-dettalji kollha.
Il-screenshot ta 'hawn fuq turi l-interface tal-web tat-Tiftix tas-Sigurtà tal-IT b'bar ta' tfittxija bħal google, li fiha huwa konvenjenti li tissortja l-avvenimenti minn Awditur tal-Bidla u tikkonfigura l-fehmiet.
L-Awditur tal-Bidla hija għodda qawwija għall-awditjar tal-bidliet fl-infrastruttura tal-Microsoft, arrays tad-disk u VMware. Verifika appoġġjata: AD, Azure AD, SQL Server, Skambju, Skambju Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive għan-Negozju, Skype għan-Negozju, VMware, NetApp, EMC, FluidFS. Hemm rapporti installati minn qabel għall-konformità mal-istandards GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
Il-metriċi jinġabru minn servers tal-Windows b'mod ibbażat fuq l-aġent, li jippermetti l-awditjar bl-użu ta' integrazzjoni profonda fis-sejħiet fi ħdan AD u, kif jikteb il-bejjiegħ innifsu, dan il-metodu jiskopri bidliet anke fi gruppi mnaqqsa fil-fond u jintroduċi inqas tagħbija milli meta jikteb, qari u irkupru ta 'zkuk (dak huwa kif jaħdmu ). Tista 'tiċċekkjaha b'tagħbija għolja. Bħala konsegwenza ta' din l-integrazzjoni ta' livell baxx, f'Quest Change Auditor tista' tagħmel veto għal ċerti bidliet għal ċerti oġġetti, anke għall-utenti fil-livell Enterprise Admin. Jiġifieri, ipproteġi lilek innifsek minn amministraturi AD malizzjużi.
Fil-Bidla Awditur, il-bidliet kollha huma normalizzati għat-tip 5W - Min, X'inhu, Fejn, Meta, Workstation (Min, X', Fejn, Meta u fuq liema workstation). Dan il-format jippermettilek tgħaqqad avvenimenti riċevuti minn sorsi differenti.
Fit-2 ta' Ġunju 2020, ġiet rilaxxata verżjoni ġdida ta' Awditur tal-Bidla - 7.1. Għandu t-titjib ewlieni li ġej:
- Sejbien ta' theddid Pass-the-Ticket (identifikazzjoni ta' Biljetti Kerberos b'data ta' skadenza li taqbeż il-politika tad-dominju, li tista' tindika attakk potenzjali Golden Ticket);
- verifika ta' awtentikazzjoni NTLM b'suċċess u mingħajr suċċess (tista' tiddetermina l-verżjoni NTLM u tinnotifika dwar applikazzjonijiet li jużaw v1);
- verifika ta' awtentikazzjoni Kerberos ta' suċċess u ta' suċċess;
- L-iskjerament ta' aġenti tal-awditjar f'foresta AD ġirien.
Il-screenshot turi theddida identifikata b'perjodu twil ta' validità tal-Biljett Kerberos.
Flimkien ma' prodott ieħor minn Quest - On Demand Audit, tista' tivverifika ambjenti ibridi minn interface wieħed u tissorvelja l-logons f'AD, Azure AD u bidliet f'Office 365.
Vantaġġ ieħor ta’ Change Auditor huwa l-possibbiltà ta’ integrazzjoni out-of-box ma’ sistema SIEM direttament jew permezz ta’ prodott Quest ieħor – InTrust. Jekk twaqqaf integrazzjoni bħal din, tista 'twettaq azzjonijiet awtomatizzati biex trażżan attakk permezz ta' InTrust, u fl-istess Elastic Stack tista 'twaqqaf fehmiet u tagħti aċċess lill-kollegi biex jaraw id-dejta storika.
Biex titgħallem aktar dwar l-Awditur tal-Bidla, nistednuk tattendi l-webinar, li se jsir fid-29 ta’ Lulju fil-11 a.m. ħin ta’ Moska. Wara l-webinar tkun tista' tistaqsi kwalunkwe mistoqsija li jista' jkollok.
Aktar artikli dwar is-soluzzjonijiet tas-sigurtà Quest:
Tista' tissottometti talba għal konsultazzjoni, distribuzzjoni jew proġett pilota permezz fuq il-websajt tagħna. Hemm ukoll deskrizzjonijiet tas-soluzzjonijiet proposti.
Sors: www.habr.com