Kilka lat temu, kiedy zaczęliśmy wdrażać Change Auditor w jednym banku, zauważyliśmy ogromną liczbę skryptów PowerShell, które wykonywały dokładnie to samo zadanie audytowe, ale w sposób rzemieślniczy. Od tego czasu minęło sporo czasu, klient nadal korzysta z Change Auditora i obsługę tych wszystkich skryptów wspomina jako koszmar. Ten sen mógłby też stać się koszmarem, gdyby osoba, która serwowała scenariusze w jednej osobie, wzięła go i zrezygnowała, pospiesznie zapominając o przekazaniu tajemnej wiedzy. Słyszeliśmy od kolegów, że takie przypadki zdarzały się w niektórych miejscach, co spowodowało spory chaos w pracy działu bezpieczeństwa informacji. W tym artykule porozmawiamy o głównych zaletach Change Auditora i ogłosimy webinarium, które odbędzie się 29 lipca na temat tego narzędzia do automatyzacji audytów. Pod rozcięciem wszystkie detale.
Powyższy zrzut ekranu pokazuje interfejs sieciowy IT Security Search z paskiem wyszukiwania podobnym do Google, w którym wygodnie jest sortować zdarzenia z Change Auditor i dostosowywać widoki.
Change Auditor to potężne narzędzie do audytu zmian w infrastrukturze Microsoft, macierzach dyskowych i VMware. Obsługiwane audyty: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Istnieją preinstalowane raporty zgodności ze standardami RODO, SOX, PCI, HIPAA, FISMA, GLBA.
Metryki zbierane są z serwerów Windows w sposób agentowy, co pozwala na audyt z wykorzystaniem głębokiej integracji z wywołaniami w ramach AD i jak pisze sam sprzedawca metoda ta wykrywa zmiany nawet w głęboko zagnieżdżonych grupach i wprowadza mniejsze obciążenie niż przy pisaniu, odczytywanie i wyodrębnianie dzienników (tak to działa ). Możesz to sprawdzić pod dużym obciążeniem. W wyniku tej niskopoziomowej integracji w Quest Change Auditor można zawetować pewne zmiany w określonych obiektach, nawet w przypadku użytkowników na poziomie administratora przedsiębiorstwa. To znaczy, aby chronić się przed złośliwymi administratorami AD.
W Change Auditor wszystkie zmiany są znormalizowane do widoku 5W - Kto, Co, Gdzie, Kiedy, Stacja Robocza (Kto, Co, Gdzie, Kiedy i na której stacji roboczej). Ten format umożliwia ujednolicenie zdarzeń otrzymanych z różnych źródeł.
2 czerwca 2020 została wydana nowa wersja Change Auditora - 7.1. Posiada następujące kluczowe ulepszenia:
- Wykrywanie zagrożeń typu Pass-the-Ticket (wykrywanie biletów Kerberos z datą wygaśnięcia wykraczającą poza politykę domeny, co może wskazywać na potencjalny atak Golden Ticket);
- audyt udanych i nieudanych uwierzytelnień NTLM (można określić wersję NTLM i powiadomić o aplikacjach korzystających z v1);
- audyt udanych i nieudanych uwierzytelnień Kerberos;
- Wdrażanie agentów audytu w sąsiednim lesie AD.
Zrzut ekranu pokazuje wykryte zagrożenie z długim okresem ważności biletu Kerberos.
Razem z innym produktem Quest – On Demand Audit, możesz przeprowadzać audyt środowisk hybrydowych z jednego interfejsu i monitorować logowanie w AD, Azure AD oraz zmiany w Office 365.
Kolejną zaletą Change Auditora jest możliwość integracji z systemem SIEM bezpośrednio lub poprzez inny produkt Quest - InTrust. Jeśli skonfigurujesz taką integrację, możesz wykonywać zautomatyzowane działania w celu powstrzymania ataku za pośrednictwem InTrust i skonfigurować widoki w tym samym stosie elastycznym oraz zapewnić współpracownikom dostęp do przeglądania danych historycznych.
Aby dowiedzieć się więcej o Change Auditor, zapraszamy na webinarium, które odbędzie się 29 lipca o godzinie 11:XNUMX czasu moskiewskiego. Po webinarze będziesz mógł zadawać pytania.
Inne artykuły o rozwiązaniach zabezpieczających Quest:
Możesz zostawić prośbę o konsultację, pakiet dystrybucyjny lub projekt pilotażowy poprzez na naszej stronie internetowej. Znajdują się tam również opisy proponowanych rozwiązań.
Źródło: www.habr.com