Pred niekoľkými rokmi, keď sme začali implementovať nástroj Change Auditor v jednej banke, sme si všimli obrovské množstvo skriptov PowerShell, ktoré vykonávali presne rovnakú úlohu auditu, ale používali provizórnu metódu. Odvtedy ubehlo veľa času, zákazník stále používa Change Auditor a na podporu všetkých tých skriptov spomína ako na zlý sen. Ten sen sa mohol zmeniť na nočnú moru, ak by osoba, ktorá obsluhovala scenáre v jednej osobe, práve skončila a rýchlo zabudla odovzdať tajné znalosti. Od kolegov sme počuli, že sem-tam sa takéto prípady stali a to potom vnieslo do práce oddelenia informačnej bezpečnosti značný chaos. V tomto článku si povieme o hlavných výhodách Change Auditor a ohlásime webinár na 29. júla o tomto nástroji na automatizáciu auditu. Pod strihom sú všetky detaily.
Snímka obrazovky vyššie zobrazuje webové rozhranie IT Security Search s vyhľadávacím panelom podobným google, v ktorom je pohodlné triediť udalosti z Auditora zmien a konfigurovať zobrazenia.
Change Auditor je výkonný nástroj na auditovanie zmien v infraštruktúre Microsoftu, diskových poliach a VMware. Podporovaný audit: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. K dispozícii sú predinštalované reporty pre dodržiavanie noriem GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
Metriky sa zbierajú zo serverov Windows spôsobom založeným na agentoch, čo umožňuje auditovanie pomocou hlbokej integrácie do volaní v rámci AD a ako píše samotný predajca, táto metóda zisťuje zmeny aj v hlboko vnorených skupinách a prináša menšie zaťaženie ako pri zápise, čítaní a načítanie denníkov (takto fungujú ). Môžete to skontrolovať pri vysokej záťaži. V dôsledku tejto nízkoúrovňovej integrácie môžete v nástroji Quest Change Auditor vetovať určité zmeny pre určité objekty, dokonca aj pre používateľov na úrovni Enterprise Admin. To znamená, že sa chráňte pred škodlivými správcami AD.
V Change Auditor sú všetky zmeny normalizované na typ 5W - Kto, Čo, Kde, Kedy, Pracovná stanica (Kto, Čo, Kde, Kedy a na ktorej pracovnej stanici). Tento formát vám umožňuje zjednotiť udalosti prijaté z rôznych zdrojov.
Dňa 2. júna 2020 bola vydaná nová verzia Change Auditor - 7.1. Má nasledujúce kľúčové vylepšenia:
- Detekcia hrozby Pass-the-Ticket (identifikácia lístkov Kerberos s dátumom vypršania platnosti, ktorý presahuje pravidlá domény, čo môže naznačovať potenciálny útok Golden Ticket);
- audit úspešných a neúspešných overení NTLM (môžete určiť verziu NTLM a upozorniť na aplikácie, ktoré používajú v1);
- audit úspešných a neúspešných overení Kerberos;
- Nasadenie audítorských agentov v susednom lese AD.
Snímka obrazovky zobrazuje identifikovanú hrozbu s dlhou dobou platnosti lístka Kerberos.
Spolu s ďalším produktom od Quest – On Demand Audit môžete auditovať hybridné prostredia z jedného rozhrania a monitorovať prihlásenia v AD, Azure AD a zmeny v Office 365.
Ďalšou výhodou Change Auditor je možnosť out-of-box integrácie so systémom SIEM priamo alebo prostredníctvom iného produktu Quest - InTrust. Ak nastavíte takúto integráciu, môžete vykonávať automatizované akcie na potlačenie útoku prostredníctvom InTrust a v rovnakom Elastic Stacku môžete nastaviť zobrazenia a poskytnúť kolegom prístup na prezeranie historických údajov.
Ak sa chcete dozvedieť viac o Change Auditor, pozývame vás na webinár, ktorý sa uskutoční 29. júla o 11:XNUMX moskovského času. Po webinári sa budete môcť opýtať na akékoľvek otázky.
Ďalšie články o bezpečnostných riešeniach Quest:
Žiadosť o konzultáciu, distribúciu alebo pilotný projekt môžete podať prostredníctvom na našej webovej stránke. Nechýbajú ani popisy navrhovaných riešení.
Zdroj: hab.com