Toen we enkele jaren geleden Change Auditor bij één bank begonnen te implementeren, merkten we een enorme reeks PowerShell-scripts op die precies dezelfde audittaak uitvoerden, maar dan met behulp van een geïmproviseerde methode. Sindsdien is er veel tijd verstreken, de klant gebruikt nog steeds Change Auditor en herinnert zich de ondersteuning van al die scripts als een nare droom. Die droom had in een nachtmerrie kunnen veranderen als de persoon die de scripts in één persoon bediende gewoon was gestopt en haastig had vergeten geheime kennis over te dragen. We hoorden van collega's dat dergelijke gevallen hier en daar voorkwamen en dit bracht vervolgens grote chaos in het werk van de afdeling informatiebeveiliging. In dit artikel zullen we het hebben over de belangrijkste voordelen van Change Auditor en op 29 juli een webinar aankondigen over deze auditautomatiseringstool. Onder de snit bevinden zich alle details.
De bovenstaande schermafbeelding toont de IT Security Search-webinterface met een Google-achtige zoekbalk, waarin het handig is om gebeurtenissen uit Change Auditor te sorteren en weergaven te configureren.
Change Auditor is een krachtig hulpmiddel voor het controleren van wijzigingen in de Microsoft-infrastructuur, disk-arrays en VMware. Door audit ondersteund: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive voor Bedrijven, Skype voor Bedrijven, VMware, NetApp, EMC, FluidFS. Er zijn vooraf geïnstalleerde rapporten voor naleving van de AVG-, SOX-, PCI-, HIPAA-, FISMA- en GLBA-normen.
Metrieken worden op een agent-gebaseerde manier verzameld van Windows-servers, wat auditing mogelijk maakt met behulp van diepe integratie in oproepen binnen AD. Deze methode, zoals de leverancier zelf schrijft, detecteert zelfs veranderingen in diep geneste groepen en introduceert minder belasting dan bij schrijven, lezen en logs ophalen (zo werken ze ). Je kunt het controleren bij hoge belasting. Als gevolg van deze integratie op laag niveau kunt u in Quest Change Auditor een veto uitspreken over bepaalde wijzigingen voor bepaalde objecten, zelfs voor gebruikers op Enterprise Admin-niveau. Dat wil zeggen: bescherm uzelf tegen kwaadwillende AD-beheerders.
In Change Auditor worden alle wijzigingen genormaliseerd naar het 5W-type: Wie, Wat, Waar, Wanneer, Werkstation (Wie, Wat, Waar, Wanneer en op welk werkstation). Met dit formaat kunt u gebeurtenissen die u uit verschillende bronnen ontvangt, samenvoegen.
Op 2 juni 2020 werd een nieuwe versie van Change Auditor uitgebracht: 7.1. Het heeft de volgende belangrijke verbeteringen:
- Pass-the-Ticket-bedreigingsdetectie (identificatie van Kerberos-tickets met een vervaldatum die het domeinbeleid overschrijdt, wat kan duiden op een potentiële Golden Ticket-aanval);
- audit van succesvolle en niet-succesvolle NTLM-authenticaties (u kunt de NTLM-versie bepalen en op de hoogte stellen van toepassingen die v1 gebruiken);
- audit van succesvolle en niet-succesvolle Kerberos-authenticaties;
- Auditagenten implementeren in een naburig AD-forest.
De schermafbeelding toont een geïdentificeerde dreiging met een lange geldigheidsduur van het Kerberos Ticket.
Samen met een ander product van Quest - On Demand Audit kunt u hybride omgevingen auditeren vanuit één enkele interface en aanmeldingen in AD, Azure AD en wijzigingen in Office 365 monitoren.
Een ander voordeel van Change Auditor is de mogelijkheid tot out-of-box integratie met een SIEM-systeem, rechtstreeks of via een ander Quest-product - InTrust. Als je zo’n integratie inricht, kun je via InTrust geautomatiseerde acties uitvoeren om een aanval te onderdrukken, en in dezelfde Elastic Stack kun je views instellen en collega’s toegang geven om historische data in te zien.
Voor meer informatie over Change Auditor nodigen wij u uit om het webinar bij te wonen, dat plaatsvindt op 29 juli om 11 uur Moskouse tijd. Na het webinar kunt u al uw vragen stellen.
Meer artikelen over Quest-beveiligingsoplossingen:
Een verzoek voor advies, verspreiding of een pilot kunt u indienen via op onze website. Ook zijn er beschrijvingen van voorgestelde oplossingen.
Bron: www.habr.com