Há vários anos, quando começamos a implementar o Change Auditor em um banco, notamos uma enorme variedade de scripts do PowerShell que executavam exatamente a mesma tarefa de auditoria, mas usando um método improvisado. Muito tempo se passou desde então, o cliente ainda usa o Change Auditor e se lembra do suporte de todos aqueles scripts como um pesadelo. Esse sonho poderia ter se transformado em pesadelo se a pessoa que atendeu os scripts em uma só pessoa tivesse simplesmente desistido, esquecendo-se às pressas de transferir o conhecimento secreto. Ouvimos de colegas que tais casos aconteceram aqui e ali e isso trouxe um caos significativo ao trabalho do departamento de segurança da informação. Neste artigo falaremos sobre as principais vantagens do Change Auditor e anunciaremos um webinar no dia 29 de julho sobre esta ferramenta de automação de auditoria. Abaixo do corte estão todos os detalhes.
A captura de tela acima mostra a interface da web do IT Security Search com uma barra de pesquisa semelhante ao Google, na qual é conveniente classificar eventos do Change Auditor e configurar visualizações.
Change Auditor é uma ferramenta poderosa para auditar alterações na infraestrutura da Microsoft, matrizes de disco e VMware. Auditoria suportada: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Existem relatórios pré-instalados para conformidade com os padrões GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
As métricas são coletadas de servidores Windows de maneira baseada em agente, o que permite auditar usando integração profunda em chamadas dentro do AD e, conforme o próprio fornecedor escreve, esse método detecta alterações mesmo em grupos profundamente aninhados e introduz menos carga do que ao escrever, ler e recuperando logs (é assim que eles funcionam
No Change Auditor, todas as alterações são normalizadas para o tipo 5W - Quem, O quê, Onde, Quando, Estação de trabalho (Quem, O quê, Onde, Quando e em qual estação de trabalho). Este formato permite unificar eventos recebidos de diferentes fontes.
Em 2 de junho de 2020, foi lançada uma nova versão do Change Auditor – 7.1. Ele tem as seguintes melhorias principais:
- Detecção de ameaças Pass-the-Ticket (identificação de Tickets Kerberos com data de validade que excede a política do domínio, o que pode indicar um potencial ataque ao Golden Ticket);
- auditoria de autenticações NTLM bem-sucedidas e malsucedidas (você pode determinar a versão NTLM e notificar sobre aplicativos que usam v1);
- auditoria de autenticações Kerberos bem-sucedidas e malsucedidas;
- Implantando agentes de auditoria em uma floresta AD vizinha.
A captura de tela mostra uma ameaça identificada com um longo período de validade do Kerberos Ticket.
Junto com outro produto da Quest – On Demand Audit, você pode auditar ambientes híbridos a partir de uma única interface e monitorar logons no AD, Azure AD e alterações no Office 365.
Outra vantagem do Change Auditor é a possibilidade de integração imediata com um sistema SIEM diretamente ou por meio de outro produto da Quest - InTrust. Se você configurar essa integração, poderá executar ações automatizadas para suprimir um ataque por meio do InTrust e, no mesmo Elastic Stack, poderá configurar visualizações e dar acesso a colegas para visualizar dados históricos.
Para saber mais sobre o Change Auditor, convidamos você a participar do webinar, que acontecerá no dia 29 de julho às 11h, horário de Moscou. Após o webinar você poderá fazer qualquer pergunta que possa ter.
Mais artigos sobre as soluções de segurança da Quest:
Você pode enviar um pedido de consulta, distribuição ou projeto piloto através
Fonte: habr.com