Miaka kadhaa iliyopita, tulipoanza kutekeleza Mkaguzi wa Mabadiliko katika benki moja, tuliona safu kubwa ya hati za PowerShell ambazo zilifanya kazi sawa kabisa ya ukaguzi, lakini kwa kutumia mbinu ya muda. Muda mwingi umepita tangu wakati huo, mteja bado anatumia Change Auditor na anakumbuka usaidizi wa hati hizo zote kama ndoto mbaya. Ndoto hiyo inaweza kugeuka kuwa ndoto ikiwa mtu ambaye alihudumia maandiko katika mtu mmoja alikuwa ameacha tu, akisahau haraka kuhamisha ujuzi wa siri. Tulisikia kutoka kwa wenzetu kwamba visa kama hivyo vilitokea hapa na pale na hii ikaleta mtafaruku mkubwa katika kazi ya idara ya usalama wa habari. Katika nakala hii, tutazungumza juu ya faida kuu za Mkaguzi wa Mabadiliko na kutangaza wavuti mnamo Julai 29 kwenye zana hii ya ukaguzi wa otomatiki. Chini ya kukata ni maelezo yote.
Picha ya skrini iliyo hapo juu inaonyesha kiolesura cha wavuti cha Utafutaji wa Usalama wa IT chenye upau wa utafutaji unaofanana na google, ambamo ni rahisi kupanga matukio kutoka kwa Kikaguzi cha Badilisha na kusanidi mionekano.
Mkaguzi wa Mabadiliko ni zana yenye nguvu ya kukagua mabadiliko katika miundombinu ya Microsoft, safu za diski na VMware. Ukaguzi unatumika: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Kuna ripoti zilizosakinishwa awali za kufuata viwango vya GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
Vipimo hukusanywa kutoka kwa seva za Windows kwa njia inayotegemea wakala, ambayo inaruhusu ukaguzi kwa kutumia ujumuishaji wa kina katika simu ndani ya AD na, kama muuzaji mwenyewe anavyoandika, njia hii hugundua mabadiliko hata katika vikundi vilivyowekwa kiota na huleta mzigo mdogo kuliko wakati wa kuandika, kusoma na. kupata kumbukumbu (ndivyo wanavyofanya kazi ) Unaweza kukiangalia kwa mzigo wa juu. Kama matokeo ya muunganisho huu wa kiwango cha chini, katika Kikaguzi cha Mabadiliko ya Jitihada unaweza kupinga mabadiliko fulani kwa vitu fulani, hata kwa watumiaji katika kiwango cha Msimamizi wa Biashara. Hiyo ni, jilinde kutoka kwa wasimamizi wa AD wenye nia mbaya.
Katika Mkaguzi wa Mabadiliko, mabadiliko yote yanarekebishwa kwa aina ya 5W - Nani, Nini, Wapi, Lini, Kituo cha Kazi (Nani, Nini, Wapi, Lini na kwenye kituo gani cha kazi). Umbizo hili hukuruhusu kuunganisha matukio yaliyopokelewa kutoka kwa vyanzo tofauti.
Mnamo Juni 2, 2020, toleo jipya la Mkaguzi wa Mabadiliko lilitolewa - 7.1. Ina maboresho muhimu yafuatayo:
- Utambuzi wa tishio la Pass-the-Tiketi (utambulisho wa Tiketi za Kerberos zilizo na tarehe ya mwisho wa matumizi ambayo inazidi sera ya kikoa, ambayo inaweza kuonyesha uwezekano wa shambulio la Tiketi ya Dhahabu);
- ukaguzi wa uthibitishaji uliofaulu na ambao haujafaulu wa NTLM (unaweza kubainisha toleo la NTLM na kuarifu kuhusu programu zinazotumia v1);
- ukaguzi wa uthibitishaji uliofaulu na ambao haukufanikiwa wa Kerberos;
- Kupeleka mawakala wa ukaguzi katika msitu jirani wa AD.
Picha ya skrini inaonyesha tishio lililotambuliwa kwa muda mrefu wa uhalali wa Tiketi ya Kerberos.
Pamoja na bidhaa nyingine kutoka Quest - On Demand Audit, unaweza kukagua mazingira mseto kutoka kwa kiolesura kimoja na kufuatilia nembo katika AD, Azure AD na mabadiliko katika Office 365.
Faida nyingine ya Change Auditor ni uwezekano wa kuunganishwa nje ya kisanduku na mfumo wa SIEM moja kwa moja au kupitia bidhaa nyingine ya Quest - InTrust. Ukiweka muunganisho kama huo, unaweza kufanya vitendo vya kiotomatiki ili kukandamiza shambulio kupitia InTrust, na katika Stack sawa ya Elastic unaweza kuweka mionekano na kuwapa wenzako idhini ya kufikia data ya kihistoria.
Ili kujifunza zaidi kuhusu Mkaguzi wa Mabadiliko, tunakualika kuhudhuria mtandao, ambao utafanyika Julai 29 saa 11 asubuhi kwa saa za Moscow. Baada ya mtandao utaweza kuuliza maswali yoyote ambayo unaweza kuwa nayo.
Nakala zaidi juu ya suluhisho za usalama za Quest:
Unaweza kuwasilisha ombi la mashauriano, usambazaji au mradi wa majaribio kupitia kwenye tovuti yetu. Pia kuna maelezo ya suluhisho zilizopendekezwa.
Chanzo: mapenzi.com