ááœááºáá²á·áá±á¬ááŸá
áºáá»á¬ážá
áœá¬á áá»áœááºá¯ááºááá¯á·ááẠáááºáá
áºáá¯ááœáẠChange Auditor ááᯠá
áááºá¡áá±á¬ááºá¡áááºáá±á¬áºáá±á¬á¡áá«ááœáẠáá°áá®áá±á¬á
á¬áááºážá
á
áºáá¯ááºáááºážááᯠáá¯ááºáá±á¬ááºáá±á¬áºáááºáž áá¬áá®áááºážáááºážááᯠá¡áá¯á¶ážááŒá¯áá¬ážááá·áº PowerShell script á¡áá»á¬ážá¡ááŒá¬ážááᯠáááááŒá¯áááá«áááºá ááá¯á¡áá»áááºááŸá
á á¡áá»áááºáá»á¬ážá
áœá¬áá¯ááºááœá¬ážáááºá áá±á¬ááºáááºááẠChange Auditor ááá¯á¡áá¯á¶ážááŒá¯áá²ááŒá
áºááŒá®áž á¡áááºáááºááá¯ážáá
áºáá¯ááᯠáá¬ááºááœáŸááºážáá»á¬ážá¡á¬ážáá¯á¶ážááá¶á·ááá¯ážááŸá¯ááᯠááŸááºáááá±áá±ážáááºá áá°áá
áºáŠážááœáẠáá¬ááºááœáŸááºážáá±ážáá±ážáá°ááẠáá»áŸáá¯á·ááŸááºá¡ááááá¬ááœáŸá²ááŒá±á¬ááºážááẠá¡áá»ááºá¡ááŒáẠáá±á·ááœá¬ážáá«á ááá¯á¡áááºáááºááẠá¡áááºáááºááá¯ážáá
áºáá¯á¡ááŒá
áºááá¯á· ááŒá±á¬ááºážáá²ááœá¬ážááá¯ááºáááºá áá®ááá¯ááá
á¹á
áá»áá¯ážááœá± áá®ááŸá¬áá±á¬ ááá¯ááŸá¬ ááŒá
áºáá»ááºáá²á·áá¬ááᯠáá¯ááºáá±á¬áºááá¯ááºáááºááœá±áá®á ááŒá¬ážáááááŒá®áž áá«á ááááºážá¡áá»ááºá¡ááẠáá¯á¶ááŒá¯á¶áá±ážáá¬ááá²á· á¡áá¯ááºá¡ááœáẠáááááá¬áᬠááŸá¯ááºááœááœá¬ážáá²á·áááºá á€áá±á¬ááºážáá«ážááœááºá áá»áœááºá¯ááºááá¯á·ááẠChange Auditor áá¡áááá¡á¬ážáá¬áá»ááºáá»á¬ážá¡ááŒá±á¬ááºážááŒá±á¬ááŒá®áž á€á
á¬áááºážá
á
áºá¡ááá¯á¡áá»á±á¬ááºáá¯ááºáá±á¬ááºááá·áºáááááá¬á¡ááœáẠáá°ááá¯ááºá áá áááºáá±á·ááœáẠwebinar áá
áºáá¯ááá¯ááŒá±ááŒá¬áá«áááºá ááŒááºáá±á¬ááºáá¯á¶á¡á±á¬ááºááœáẠá¡áá±ážá
áááºá¡áá»ááºáá»á¬ážáá«ááŸááááºá
á¡áááºáá±á¬áºááŒáá« áááºáá¬ážááŒááºáá¬ááºáá¯á¶ááẠChange Auditor á០ááŒá
áºáááºáá»á¬ážááᯠá
á®ááẠááŸáá·áº á¡ááŒááºáá»á¬ážááᯠá
á®á
ááºáááºááŸááºááẠá¡áááºááŒá±ááá·áº google-like search bar ááŒáá·áº IT Security Search áááºá¡ááºáá¬áá±á·á
áºááᯠááŒááá¬ážáááºá
Change Auditor ááẠMicrosoft á¡ááŒá±áá¶á¡áá±á¬ááºá¡á¡á¯á¶á disk arrays ááŸáá·áº VMware ááœáẠá¡ááŒá±á¬ááºážá¡áá²áá»á¬ážááᯠá á áºáá±ážááŒááºážá¡ááœáẠá¡á áœááºážáááºáá±á¬áááááá¬áá áºáá¯ááŒá áºáááºá á á¬áááºážá á áºááᯠáá¶á·ááá¯ážáá¬ážáááº- ADá Azure ADá SQL Serverá Exchangeá Exchange Onlineá Sharepointá Sharepoint Onlineá Windows File Serverá Business á¡ááœáẠOneDriveá áá¯ááºáááºážá¡ááœáẠSkypeá VMwareá NetAppá EMCá FluidFSá GDPRá SOXá PCIá HIPAAá FISMAá GLBA á á¶ááŸá¯ááºážáá»á¬ážááŸáá·áº ááá¯ááºáá®ááŸá¯á¡ááœáẠááŒáá¯áááºááá·áºááœááºážáá¬ážáá±á¬ á¡á á®áááºáá¶á á¬áá»á¬áž ááŸááá«áááºá
áááºááá
áºáá»á¬ážááᯠAD á¡ááœááºáž áá±á«áºááá¯ááŸá¯áá»á¬ážááá¯á· áááºááŸáá¯ááºážá
áœá¬ áá±á«ááºážá
ááºá¡áá¯á¶ážááŒá¯á á
á¬áááºážá
á
áºááŒááºážá¡á¬áž ááœáá·áºááŒá¯ááá·áº á¡á±ážáá»áá·áºá¡ááŒá±áá¶áááºážáááºážááŒáá·áº Windows áá¬áá¬áá»á¬ážá០á
á¯áá±á¬ááºážááá°ááŒá®áž áá±á¬ááºážáá»áá°ááá¯ááºááá¯ááºáá±ážáá¬ážááá·áºá¡ááá¯ááºážá á€áááºážáááºážááẠáááºááŸáá¯ááºážá
áœá¬ á¡ááá¯ááºá¡áááºážááŸáááá·áº á¡á¯ááºá
á¯áá»á¬ážááœááºááẠá¡ááŒá±á¬ááºážá¡áá²áá»á¬ážááᯠááááŸáááá¯ááºááŒá®áž á
á¬áá±ážááŒááºážá á
á¬áááºááŒááºážááŸáá·áº ááááºáááºááá·áºá¡áá«ááẠáááºááá¯áááºážáá«áááºá ááŸááºáááºážáá»á¬ážááŒááºáááºááá°ááŒááºáž (áááºážááá¯á·áá¯ááºáá±á¬ááºáá¯á¶ááŒá
áºáááºá
Change Auditor ááœáẠááŒá±á¬ááºážáá²ááŸá¯á¡á¬ážáá¯á¶ážááᯠ5W á¡áá»áá¯ážá¡á á¬áž - Who, What, Where, When, Workstation (Who, What, Where, When and which on which workstation) ááá¯á· áá¯á¶ááŸááºáá¯ááºáá±á¬ááºáááºá á€áá±á¬áºáááºááẠááá·áºá¡á¬áž ááá°áá®áá±á¬áááºážááŒá áºáá»á¬ážá០áááºáá¶áááŸáááá·áº á¡ááŒá áºá¡áá»ááºáá»á¬ážááᯠáá±á«ááºážá ááºážááá¯ááºá á±áá«áááºá
2 áá¯ááŸá Ạááœááºá 2020 áááºáá±á·ááœáẠChange Auditor áá¬ážááŸááºážá¡áá Ạ- 7.1 ááᯠáá¯ááºááŒááºáá²á·áááºá áááºážááœáẠá¡á±á¬ááºáá« á¡ááá ááá¯ážáááºááŸá¯áá»á¬áž ááŸááááºá
- Pass-the-Ticket ááŒáááºážááŒá±á¬ááºááŸá¯ááᯠáá±á¬ááºááŸááºážááŒááºáž (á¡áá¬ážá¡áá¬ááŸááá±á¬ Golden Ticket ááá¯ááºááá¯ááºááŸá¯ááᯠááœáŸááºááŒááá¯ááºááá·áº ááá¯ááááºážáá°áá«ááááºáá»á±á¬áºááœááºááá·áº áááºáááºážáá¯ááºáá¯á¶ážáááºá áœá²áá« Kerberos áááºááŸááºáá»á¬ážááᯠáá±á¬áºáá¯ááºááŒááºáž)
- á¡á±á¬ááºááŒááºááŒá®áž áá¡á±á¬ááºááŒááºáá±á¬ NTLM á á áºááŸááºááŒá±á¬ááºáž á á áºááŸááºááŒá±á¬ááºáž á á áºáá±ážááŒááºáž (NTLM áá¬ážááŸááºážááᯠáááºáá¯á¶ážááŒááºááá¯ááºááŒá®áž v1 á¡áá¯á¶ážááŒá¯ááá·áº á¡ááá®áá±ážááŸááºážáá»á¬ážá¡ááŒá±á¬ááºáž á¡áááá±ážááá¯ááºáááº)á
- á¡á±á¬ááºááŒááºááŒá®áž áá¡á±á¬ááºááŒááºáá±á¬ Kerberos á á áºááŸááºááŒá±á¬ááºáž á á áºááŸááºááŒá±á¬ááºáž á á áºáá±ážááŒááºážá
- á¡áááºáá®ážáá»ááºáž á¡á±áá®áá áºáá±á¬ááœáẠá á¬áááºážá á áºá¡á±ážáá»áá·áºáá»á¬ážááᯠááŒáá·áºáá»ááºáá»áá¬ážááŒááºážá
áááºáá¬ážááŒááºáá¬ááºáá¯á¶ááœáẠKerberos áááºááŸááºá áá¬áááŒá¬ááŸááºá
áœá¬ ááá¬ážáááºááŸá¯ááŒáá·áº ááœá²ááŒá¬ážáááºááŸááºáá¬ážáá±á¬ ááŒáááºážááŒá±á¬ááºááŸá¯ááᯠááŒááááºá
Quest - On Demand Audit á០á¡ááŒá¬ážáá¯ááºáá¯ááºáá áºáá¯ááŸáá·áºá¡áá°á áááºááẠáá»ááºááŸá¬ááŒááºáá áºáá¯áááºážá០ááá¯ááºááá áºáááºáááºážáá»ááºáá»á¬ážááᯠá á áºáá±ážááá¯ááºááŒá®áž ADá Azure AD ááœáẠáá±á¬á·ááºá¡ááºáá»á¬ážááŸáá·áº Office 365 ááœáẠááŒá±á¬ááºážáá²ááŸá¯áá»á¬ážááᯠá á±á¬áá·áºááŒáá·áºááá¯ááºáááºá
Change Auditor ááá±á¬ááºáááºá¡á¬ážáá¬áá»ááºááŸá¬ SIEM á áá áºááŒáá·áº ááá¯ááºááá¯áẠááá¯á·ááá¯áẠá¡ááŒá¬ážáá±á¬ Quest áá¯ááºáá¯áẠ- InTrust ááŸáááá·áº ááŒááºáááœáẠáá±á«ááºážá ááºááá¯ááºááŒá±ááŒá áºáááºá ááá¯ááá¯á·áá±á¬ áá±á«ááºážá ááºááŸá¯ááᯠáááºááá·áºááœááºážáá«áá áááºááẠInTrust ááŸáá áºááá·áº ááá¯ááºááá¯ááºááŸá¯ááᯠááááŸáááºááẠá¡ááá¯á¡áá»á±á¬áẠáá¯ááºáá±á¬ááºááŸá¯áá»á¬áž áá¯ááºáá±á¬ááºááá¯ááºááŒá®áž áá°áá®áá±á¬ Elastic Stack ááœáẠáááºááẠá¡ááŒááºáá»á¬ážááᯠá áá áºááá·áºááœááºážááá¯ááºááŒá®áž áááá¯ááºážááá¯ááºáᬠá¡áá»ááºá¡áááºáá»á¬ážááᯠááŒáá·áºááŸá¯ááẠáá¯ááºáá±á¬áºááá¯ááºáááºáá»á¬ážáᶠáááºáá±á¬ááºááœáá·áº áá±ážááá¯ááºáá«áááºá
Change Auditor á¡ááŒá±á¬ááºážááá¯ááá¯áá±á·áá¬áááºá áá°ááá¯áẠáá ááẠáá±á¬áºá
ááá¯á
á¶áá±á¬áºáá»ááẠáá¶ááẠáá áá¬áá®ááœááºáá»ááºážáááá·áº webinar ááá¯á· áááºáá±á¬ááºááẠááá·áºá¡á¬áž ááááºááŒá¬ážá¡ááºáá«áááºá webinar á¡ááŒá®ážááœáẠááá·áºááœááºááŸáááá¯ááºááá·áº áá±ážááœááºážáá»á¬ážááᯠáá±ážááŒááºážááá¯ááºáááºááŒá
áºáááºá
Quest áá¯á¶ááŒá¯á¶áá±ážááŒá±ááŸááºážáá»ááºááá¯ááºáᬠáá±á¬ááºáááºáá±á¬ááºážáá«ážáá»á¬áž-
ááá¯ááºáááºááœá±ážááœá±ážááŒááºážá ááŒáá·áºááŒá°ážááŒááºáž ááá¯á·ááá¯áẠááŸá±á·ááŒá±ážááá±á¬áá»ááºá¡ááœáẠáá±á¬ááºážááá¯áá»ááºáá
áºáá¯ááᯠáááºáááºááŒááá¯ááºáááºá
source: www.habr.com