För flera år sedan, när vi började implementera Change Auditor i en bank, märkte vi ett stort antal PowerShell-skript som utförde exakt samma revisionsuppgift, men med en provisorisk metod. Det har gått mycket tid sedan dess, kunden använder fortfarande Change Auditor och minns stödet från alla dessa skript som en ond dröm. Den drömmen kunde ha förvandlats till en mardröm om personen som skötte manusen i en person precis hade slutat och hastigt glömt att överföra hemlig kunskap. Vi hörde från kollegor att sådana fall hände här och där och detta skapade ett betydande kaos i arbetet på informationssäkerhetsavdelningen. I den här artikeln kommer vi att prata om de viktigaste fördelarna med Change Auditor och tillkännage ett webbseminarium den 29 juli om detta revisionsautomatiseringsverktyg. Under snittet finns alla detaljer.
Skärmdumpen ovan visar webbgränssnittet för IT-säkerhetssökning med ett google-liknande sökfält, där det är bekvämt att sortera händelser från Change Auditor och konfigurera vyer.
Change Auditor är ett kraftfullt verktyg för att granska ändringar i Microsofts infrastruktur, diskarrayer och VMware. Granskning stöds: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows filserver, OneDrive för företag, Skype för företag, VMware, NetApp, EMC, FluidFS. Det finns förinstallerade rapporter för överensstämmelse med GDPR, SOX, PCI, HIPAA, FISMA, GLBA standarder.
Mätvärden samlas in från Windows-servrar på ett agentbaserat sätt, vilket möjliggör granskning med hjälp av djup integration i anrop inom AD och, som leverantören själv skriver, upptäcker denna metod förändringar även i djupt kapslade grupper och introducerar mindre belastning än vid skrivning, läsning och hämta loggar (det är så de fungerar ). Du kan kontrollera det vid hög belastning. Som en konsekvens av denna lågnivåintegrering kan du i Quest Change Auditor lägga veto mot vissa ändringar för vissa objekt, även för användare på Enterprise Admin-nivå. Det vill säga, skydda dig från illvilliga AD-administratörer.
I Change Auditor är alla ändringar normaliserade till 5W-typen - Vem, Vad, Var, När, Arbetsstation (Vem, Vad, Var, När och på vilken arbetsstation). Det här formatet låter dig förena händelser som tas emot från olika källor.
Den 2 juni 2020 släpptes en ny version av Change Auditor - 7.1. Den har följande viktiga förbättringar:
- Pass-the-Ticket-hotdetektering (identifiering av Kerberos-biljetter med ett utgångsdatum som överskrider domänpolicyn, vilket kan indikera en potentiell Golden Ticket-attack);
- granskning av framgångsrika och misslyckade NTLM-autentiseringar (du kan fastställa NTLM-versionen och meddela om applikationer som använder v1);
- granskning av framgångsrika och misslyckade Kerberos-autentiseringar;
- Utplacering av revisionsagenter i en angränsande AD-skog.
Skärmdumpen visar ett identifierat hot med en lång giltighetstid för Kerberos-biljetten.
Tillsammans med en annan produkt från Quest - On Demand Audit kan du granska hybridmiljöer från ett enda gränssnitt och övervaka inloggningar i AD, Azure AD och ändringar i Office 365.
En annan fördel med Change Auditor är möjligheten till out-of-box integration med ett SIEM-system direkt eller genom en annan Quest-produkt - InTrust. Om du sätter upp en sådan integration kan du utföra automatiserade åtgärder för att undertrycka en attack genom InTrust, och i samma Elastic Stack kan du sätta upp vyer och ge åtkomst till kollegor att se historisk data.
För att lära dig mer om Change Auditor, bjuder vi in dig att delta i webbseminariet, som kommer att äga rum den 29 juli klockan 11:XNUMX Moskva-tid. Efter webbinariet kommer du att kunna ställa alla frågor du kan ha.
Fler artiklar om Quest säkerhetslösningar:
Du kan lämna in en begäran om samråd, distribution eller ett pilotprojekt genom på vår hemsida. Det finns även beskrivningar av föreslagna lösningar.
Källa: will.com