For flere år siden, da vi begynte å implementere Change Auditor i én bank, la vi merke til et stort utvalg av PowerShell-skript som utførte nøyaktig samme revisjonsoppgave, men med en provisorisk metode. Det har gått mye tid siden den gang, kunden bruker fortsatt Change Auditor og husker støtten til alle disse skriptene som en vond drøm. Den drømmen kunne ha blitt til et mareritt hvis personen som betjente manusene hos én person nettopp hadde sluttet, og raskt glemt å overføre hemmelig kunnskap. Vi hørte fra kolleger at slike saker skjedde her og der og dette førte da til betydelig kaos i arbeidet til informasjonssikkerhetsavdelingen. I denne artikkelen vil vi snakke om hovedfordelene med Change Auditor og kunngjøre et webinar 29. juli om dette revisjonsautomatiseringsverktøyet. Under kuttet er alle detaljene.
Skjermbildet ovenfor viser IT Security Search-nettgrensesnittet med en google-lignende søkelinje, der det er praktisk å sortere hendelser fra Change Auditor og konfigurere visninger.
Change Auditor er et kraftig verktøy for å revidere endringer i Microsofts infrastruktur, diskarrayer og VMware. Revisjon støttet: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Det er forhåndsinstallerte rapporter for samsvar med GDPR, SOX, PCI, HIPAA, FISMA, GLBA standarder.
Beregninger samles inn fra Windows-servere på en agentbasert måte, noe som tillater revisjon ved bruk av dyp integrasjon i anrop i AD, og som leverandøren selv skriver, oppdager denne metoden endringer selv i dypt nestede grupper og introduserer mindre belastning enn ved skriving, lesing og hente logger (det er slik de fungerer ). Du kan sjekke det ved høy belastning. Som en konsekvens av denne integrasjonen på lavt nivå kan du i Quest Change Auditor nedlegge veto mot visse endringer for visse objekter, selv for brukere på Enterprise Admin-nivå. Det vil si, beskytt deg mot ondsinnede AD-administratorer.
I Change Auditor er alle endringer normalisert til 5W-typen - Hvem, Hva, Hvor, Når, Arbeidsstasjon (Hvem, Hva, Hvor, Når og på hvilken arbeidsstasjon). Dette formatet lar deg forene hendelser mottatt fra forskjellige kilder.
2. juni 2020 ble en ny versjon av Change Auditor utgitt - 7.1. Den har følgende viktige forbedringer:
- Pass-the-Ticket-trusseldeteksjon (identifikasjon av Kerberos-billetter med en utløpsdato som overskrider domenepolicyen, noe som kan indikere et potensielt Golden Ticket-angrep);
- revisjon av vellykkede og mislykkede NTLM-autentiseringer (du kan bestemme NTLM-versjonen og varsle om applikasjoner som bruker v1);
- revisjon av vellykkede og mislykkede Kerberos-autentiseringer;
- Utplassering av revisjonsagenter i en nærliggende AD-skog.
Skjermbildet viser en identifisert trussel med en lang gyldighetsperiode for Kerberos-billetten.
Sammen med et annet produkt fra Quest - On Demand Audit kan du overvåke hybridmiljøer fra ett enkelt grensesnitt og overvåke pålogginger i AD, Azure AD og endringer i Office 365.
En annen fordel med Change Auditor er muligheten for out-of-box integrasjon med et SIEM-system direkte eller gjennom et annet Quest-produkt - InTrust. Setter du opp en slik integrasjon kan du utføre automatiserte handlinger for å undertrykke et angrep gjennom InTrust, og i samme Elastic Stack kan du sette opp visninger og gi tilgang til kolleger for å se historiske data.
For å lære mer om Change Auditor, inviterer vi deg til å delta på webinaret, som finner sted 29. juli kl. 11 Moskva-tid. Etter webinaret vil du kunne stille spørsmål du måtte ha.
Flere artikler om Quest sikkerhetsløsninger:
Du kan sende inn en forespørsel om høring, distribusjon eller et pilotprosjekt gjennom på nettsiden vår. Det er også beskrivelser av forslag til løsninger.
Kilde: www.habr.com