Disa vite më parë, kur filluam të zbatonim Change Auditor në një bankë, vumë re një grup të madh skriptesh PowerShell që kryenin saktësisht të njëjtën detyrë auditimi, por duke përdorur një metodë të improvizuar. Ka kaluar shumë kohë që atëherë, klienti ende përdor Change Auditor dhe e kujton mbështetjen e të gjithë atyre skripteve si një ëndërr e keqe. Ajo ëndërr mund të ishte kthyer në një makth nëse personi që i servisoi skenarët në një person sapo do të kishte hequr dorë, duke harruar me ngut të transferonte njohuritë sekrete. Kemi dëgjuar nga kolegët se raste të tilla kanë ndodhur aty-këtu dhe kjo më pas ka sjellë kaos të madh në punën e departamentit të sigurisë së informacionit. Në këtë artikull, ne do të flasim për avantazhet kryesore të Change Auditor dhe do të shpallim një webinar më 29 korrik mbi këtë mjet automatizimi auditimi. Poshtë prerjes janë të gjitha detajet.
Pamja e mësipërme e ekranit tregon ndërfaqen e uebit të Kërkimit të Sigurisë IT me një shirit kërkimi të ngjashëm me Google, në të cilin është i përshtatshëm për të renditur ngjarjet nga Ndrysho Auditorin dhe për të konfiguruar pamjet.
Change Auditor është një mjet i fuqishëm për auditimin e ndryshimeve në infrastrukturën e Microsoft, grupet e diskut dhe VMware. Auditimi i mbështetur: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive për Biznes, Skype për Biznes, VMware, NetApp, EMC, FluidFS. Ka raporte të parainstaluara për përputhjen me standardet GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
Metrikat mblidhen nga serverët e Windows në një mënyrë të bazuar në agjentë, e cila lejon auditimin duke përdorur integrimin e thellë në thirrjet brenda AD dhe, siç shkruan vetë shitësi, kjo metodë zbulon ndryshimet edhe në grupet e vendosura thellë dhe sjell më pak ngarkesë sesa kur shkruani, lexoni dhe marrja e shkrimeve (kështu funksionojnë ). Mund ta kontrolloni me ngarkesë të lartë. Si pasojë e këtij integrimi të nivelit të ulët, në Quest Change Auditor ju mund të vendosni veton ndaj disa ndryshimeve për objekte të caktuara, madje edhe për përdoruesit në nivelin e administratorit të ndërmarrjes. Kjo do të thotë, mbroni veten nga administratorët e dëmshëm të AD.
Në Change Auditor, të gjitha ndryshimet normalizohen në llojin 5W - Who, What, Where, When, Workstation (Kush, Çfarë, Ku, Kur dhe në cilin stacion pune). Ky format ju lejon të bashkoni ngjarjet e marra nga burime të ndryshme.
Më 2 qershor 2020, u publikua një version i ri i Change Auditor - 7.1. Ai ka përmirësimet kryesore të mëposhtme:
- Zbulimi i kërcënimit të biletës (identifikimi i biletave Kerberos me një datë skadimi që tejkalon politikën e domenit, gjë që mund të tregojë një sulm të mundshëm të Biletës së Artë);
- auditimi i vërtetimeve të suksesshme dhe të pasuksesshme NTLM (mund të përcaktoni versionin NTLM dhe të njoftoni për aplikacionet që përdorin v1);
- auditimi i vërtetimeve të suksesshme dhe të pasuksesshme të Kerberos;
- Vendosja e agjentëve të auditimit në një pyll fqinj AD.
Pamja e ekranit tregon një kërcënim të identifikuar me një periudhë të gjatë vlefshmërie të Biletës Kerberos.
Së bashku me një produkt tjetër nga Quest - On Demand Audit, ju mund të auditoni mjediset hibride nga një ndërfaqe e vetme dhe të monitoroni hyrjet në AD, Azure AD dhe ndryshimet në Office 365.
Një avantazh tjetër i Change Auditor është mundësia e integrimit jashtë kutisë me një sistem SIEM drejtpërdrejt ose përmes një produkti tjetër Quest - InTrust. Nëse konfiguroni një integrim të tillë, mund të kryeni veprime të automatizuara për të shtypur një sulm përmes InTrust dhe në të njëjtin Stack Elastic mund të konfiguroni pamjet dhe t'u jepni akses kolegëve për të parë të dhënat historike.
Për të mësuar më shumë rreth Change Auditor, ju ftojmë të merrni pjesë në webinarin, i cili do të zhvillohet më 29 korrik në orën 11:XNUMX me orën e Moskës. Pas webinarit do të mund të bëni çdo pyetje që mund të keni.
Më shumë artikuj mbi zgjidhjet e sigurisë Quest:
Ju mund të paraqisni një kërkesë për konsultim, shpërndarje ose një projekt pilot përmes në faqen tonë të internetit. Ka edhe përshkrime të zgjidhjeve të propozuara.
Burimi: www.habr.com