Pred nekaj leti, ko smo začeli izvajati Change Auditor v eni banki, smo opazili ogromno število skriptov PowerShell, ki so izvajali popolnoma enako revizijsko nalogo, vendar z uporabo začasne metode. Od takrat je minilo že veliko časa, stranka še vedno uporablja Change Auditor in se podpore vseh teh skript spominja kot slabe sanje. Te sanje bi se lahko spremenile v nočno moro, če bi oseba, ki je servisirala scenarije v eni osebi, kar odnehala in naglo pozabila prenesti skrivno znanje. Od kolegov smo slišali, da so se takšni primeri tu in tam zgodili in to je potem vneslo velik kaos v delo službe za informacijsko varnost. V tem članku bomo govorili o glavnih prednostih Change Auditorja in napovedali webinar 29. julija o tem orodju za avtomatizacijo revizije. Pod izrezom so vse podrobnosti.
Zgornji posnetek zaslona prikazuje spletni vmesnik IT Security Search z iskalno vrstico, podobno Googlu, v kateri je priročno razvrščati dogodke iz Change Auditorja in konfigurirati poglede.
Change Auditor je zmogljivo orodje za nadzor sprememb v Microsoftovi infrastrukturi, diskovnih poljih in VMware. Podprta revizija: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Obstajajo vnaprej nameščena poročila za skladnost s standardi GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
Meritve se zbirajo s strežnikov Windows na način, ki temelji na agentih, kar omogoča revizijo z uporabo globoke integracije v klice znotraj AD in, kot piše prodajalec sam, ta metoda zaznava spremembe tudi v globoko ugnezdenih skupinah in predstavlja manjšo obremenitev kot pri pisanju, branju in pridobivanje dnevnikov (tako delujejo ). Lahko preverite pri visoki obremenitvi. Kot posledica te integracije na nizki ravni lahko v Quest Change Auditorju zavrnete določene spremembe za določene objekte, tudi za uporabnike na ravni skrbnika podjetja. To pomeni, da se zaščitite pred zlonamernimi skrbniki AD.
V Change Auditorju so vse spremembe normalizirane na tip 5W - Who, What, Where, When, Workstation (Kdo, Kaj, Kje, Kdaj in na kateri delovni postaji). Ta oblika vam omogoča poenotenje dogodkov, prejetih iz različnih virov.
2. junija 2020 je bila izdana nova različica Change Auditorja - 7.1. Ima naslednje ključne izboljšave:
- Zaznavanje groženj Pass-the-Ticket (identifikacija vstopnic Kerberos z datumom poteka, ki presega pravilnik domene, kar lahko nakazuje morebiten napad z zlato vstopnico);
- revizija uspešnih in neuspešnih avtentikacij NTLM (lahko določite različico NTLM in obvestite o aplikacijah, ki uporabljajo v1);
- revizija uspešnih in neuspešnih avtentikacij Kerberos;
- Namestitev revizijskih agentov v sosednji gozd AD.
Posnetek zaslona prikazuje prepoznano grožnjo z dolgim obdobjem veljavnosti vstopnice Kerberos.
Skupaj z drugim izdelkom podjetja Quest – On Demand Audit lahko nadzirate hibridna okolja iz enega samega vmesnika in spremljate prijave v AD, Azure AD in spremembe v Office 365.
Druga prednost Change Auditorja je možnost neposredne integracije s sistemom SIEM ali prek drugega izdelka Quest - InTrust. Če nastavite takšno integracijo, lahko izvajate avtomatizirana dejanja za zatiranje napada prek InTrusta, v istem Elastic Stacku pa lahko nastavite poglede in omogočite dostop sodelavcem za ogled zgodovinskih podatkov.
Če želite izvedeti več o Change Auditorju, vas vabimo, da se udeležite spletnega seminarja, ki bo potekal 29. julija ob 11. uri po moskovskem času. Po webinarju boste lahko zastavili vsa morebitna vprašanja.
Več člankov o varnostnih rešitvah Quest:
Zahtevo za svetovanje, distribucijo ali pilotni projekt lahko oddate preko na naši spletni strani. Obstajajo tudi opisi predlaganih rešitev.
Vir: www.habr.com