Há vários anos, quando começamos a implementar o Change Auditor em um banco, notamos uma enorme variedade de scripts do PowerShell que executavam exatamente a mesma tarefa de auditoria, mas usando um método improvisado. Muito tempo se passou desde então, o cliente ainda usa o Change Auditor e se lembra do suporte de todos aqueles scripts como um pesadelo. Esse sonho poderia ter se transformado em pesadelo se a pessoa que atendeu os scripts em uma só pessoa tivesse simplesmente desistido, esquecendo-se às pressas de transferir o conhecimento secreto. Ouvimos de colegas que tais casos aconteceram aqui e ali e isso trouxe um caos significativo ao trabalho do departamento de segurança da informação. Neste artigo falaremos sobre as principais vantagens do Change Auditor e anunciaremos um webinar no dia 29 de julho sobre esta ferramenta de automação de auditoria. Abaixo do corte estão todos os detalhes.
A captura de tela acima mostra a interface da web do IT Security Search com uma barra de pesquisa semelhante ao Google, na qual é conveniente classificar eventos do Change Auditor e configurar visualizações.
Change Auditor é uma ferramenta poderosa para auditar alterações na infraestrutura da Microsoft, matrizes de disco e VMware. Auditoria suportada: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Existem relatórios pré-instalados para conformidade com os padrões GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
As métricas são coletadas de servidores Windows de maneira baseada em agente, o que permite auditar usando integração profunda em chamadas dentro do AD e, conforme o próprio fornecedor escreve, esse método detecta alterações mesmo em grupos profundamente aninhados e introduz menos carga do que ao escrever, ler e recuperando logs (é assim que eles funcionam ). Você pode verificar isso com carga alta. Como consequência dessa integração de baixo nível, no Quest Change Auditor você pode vetar determinadas alterações para determinados objetos, mesmo para usuários no nível Enterprise Admin. Ou seja, proteja-se de administradores maliciosos do AD.
No Change Auditor, todas as alterações são normalizadas para o tipo 5W - Quem, O quê, Onde, Quando, Estação de trabalho (Quem, O quê, Onde, Quando e em qual estação de trabalho). Este formato permite unificar eventos recebidos de diferentes fontes.
Em 2 de junho de 2020, foi lançada uma nova versão do Change Auditor – 7.1. Ele tem as seguintes melhorias principais:
- Detecção de ameaças Pass-the-Ticket (identificação de Tickets Kerberos com data de validade que excede a política do domínio, o que pode indicar um potencial ataque ao Golden Ticket);
- auditoria de autenticações NTLM bem-sucedidas e malsucedidas (você pode determinar a versão NTLM e notificar sobre aplicativos que usam v1);
- auditoria de autenticações Kerberos bem-sucedidas e malsucedidas;
- Implantando agentes de auditoria em uma floresta AD vizinha.
A captura de tela mostra uma ameaça identificada com um longo período de validade do Kerberos Ticket.
Junto com outro produto da Quest – On Demand Audit, você pode auditar ambientes híbridos a partir de uma única interface e monitorar logons no AD, Azure AD e alterações no Office 365.
Outra vantagem do Change Auditor é a possibilidade de integração imediata com um sistema SIEM diretamente ou por meio de outro produto da Quest - InTrust. Se você configurar essa integração, poderá executar ações automatizadas para suprimir um ataque por meio do InTrust e, no mesmo Elastic Stack, poderá configurar visualizações e dar acesso a colegas para visualizar dados históricos.
Para saber mais sobre o Change Auditor, convidamos você a participar do webinar, que acontecerá no dia 29 de julho às 11h, horário de Moscou. Após o webinar você poderá fazer qualquer pergunta que possa ter.
Mais artigos sobre as soluções de segurança da Quest:
Você pode enviar um pedido de consulta, distribuição ou projeto piloto através Em nosso site. Há também descrições de soluções propostas.
Fonte: habr.com