చాలా సంవత్సరాల క్రితం, మేము ఒక బ్యాంక్లో చేంజ్ ఆడిటర్ని అమలు చేయడం ప్రారంభించినప్పుడు, అదే ఆడిట్ టాస్క్ను ప్రదర్శించిన పవర్షెల్ స్క్రిప్ట్ల యొక్క భారీ శ్రేణిని మేము గమనించాము, కానీ తాత్కాలిక పద్ధతిని ఉపయోగిస్తాము. అప్పటి నుండి చాలా సమయం గడిచిపోయింది, కస్టమర్ ఇప్పటికీ చేంజ్ ఆడిటర్ని ఉపయోగిస్తున్నారు మరియు ఆ స్క్రిప్ట్ల మద్దతును చెడు కలలా గుర్తుంచుకుంటారు. ఒక వ్యక్తిలో స్క్రిప్ట్లను సర్వీసింగ్ చేసిన వ్యక్తి రహస్య జ్ఞానాన్ని బదిలీ చేయడం త్వరగా మరచిపోతే, ఆ కల ఒక పీడకలగా మారేది. ఇలాంటి కేసులు అక్కడక్కడ జరిగాయని సహోద్యోగుల నుండి మేము విన్నాము మరియు ఇది సమాచార భద్రతా విభాగం యొక్క పనిలో గణనీయమైన గందరగోళాన్ని తెచ్చిపెట్టింది. ఈ కథనంలో, ఆడిటర్ని మార్చడం యొక్క ప్రధాన ప్రయోజనాల గురించి మేము మాట్లాడుతాము మరియు ఈ ఆడిట్ ఆటోమేషన్ సాధనంపై జూలై 29న వెబ్నార్ను ప్రకటిస్తాము. కట్ క్రింద అన్ని వివరాలు ఉన్నాయి.
పైన ఉన్న స్క్రీన్షాట్ IT సెక్యూరిటీ సెర్చ్ వెబ్ ఇంటర్ఫేస్ని గూగుల్ లాంటి సెర్చ్ బార్తో చూపుతుంది, దీనిలో మార్పు ఆడిటర్ నుండి ఈవెంట్లను క్రమబద్ధీకరించడం మరియు వీక్షణలను కాన్ఫిగర్ చేయడం సౌకర్యంగా ఉంటుంది.
చేంజ్ ఆడిటర్ అనేది మైక్రోసాఫ్ట్ ఇన్ఫ్రాస్ట్రక్చర్, డిస్క్ శ్రేణులు మరియు VMwareలో మార్పులను తనిఖీ చేయడానికి శక్తివంతమైన సాధనం. ఆడిట్ మద్దతు: AD, Azure AD, SQL సర్వర్, ఎక్స్ఛేంజ్, ఎక్స్ఛేంజ్ ఆన్లైన్, షేర్పాయింట్, షేర్పాయింట్ ఆన్లైన్, విండోస్ ఫైల్ సర్వర్, వ్యాపారం కోసం వన్డ్రైవ్, వ్యాపారం కోసం స్కైప్, VMware, NetApp, EMC, FluidFS. GDPR, SOX, PCI, HIPAA, FISMA, GLBA ప్రమాణాలకు అనుగుణంగా ముందస్తుగా ఇన్స్టాల్ చేసిన నివేదికలు ఉన్నాయి.
విండోస్ సర్వర్ల నుండి ఏజెంట్-ఆధారిత పద్ధతిలో కొలమానాలు సేకరించబడతాయి, ఇది AD లోపల కాల్లలో లోతైన అనుసంధానాన్ని ఉపయోగించి ఆడిటింగ్ని అనుమతిస్తుంది మరియు విక్రేత స్వయంగా వ్రాసినట్లుగా, ఈ పద్ధతి లోతైన సమూహ సమూహాలలో కూడా మార్పులను గుర్తిస్తుంది మరియు వ్రాయడం, చదవడం మరియు చదివేటప్పుడు కంటే తక్కువ లోడ్ను పరిచయం చేస్తుంది. లాగ్లను తిరిగి పొందడం (అవి ఎలా పని చేస్తాయి ) మీరు అధిక లోడ్ వద్ద తనిఖీ చేయవచ్చు. ఈ తక్కువ-స్థాయి ఏకీకరణ యొక్క పర్యవసానంగా, క్వెస్ట్ చేంజ్ ఆడిటర్లో మీరు ఎంటర్ప్రైజ్ అడ్మిన్ స్థాయిలోని వినియోగదారుల కోసం కూడా నిర్దిష్ట వస్తువుల కోసం నిర్దిష్ట మార్పులను వీటో చేయవచ్చు. అంటే, హానికరమైన AD నిర్వాహకుల నుండి మిమ్మల్ని మీరు రక్షించుకోండి.
మార్పు ఆడిటర్లో, అన్ని మార్పులు 5W రకానికి సాధారణీకరించబడతాయి - ఎవరు, ఏమి, ఎక్కడ, ఎప్పుడు, వర్క్స్టేషన్ (ఎవరు, ఏమి, ఎక్కడ, ఎప్పుడు మరియు ఏ వర్క్స్టేషన్లో). ఈ ఫార్మాట్ వివిధ మూలాల నుండి అందుకున్న ఈవెంట్లను ఏకీకృతం చేయడానికి మిమ్మల్ని అనుమతిస్తుంది.
జూన్ 2, 2020న, చేంజ్ ఆడిటర్ యొక్క కొత్త వెర్షన్ విడుదల చేయబడింది - 7.1. ఇది క్రింది కీలక మెరుగుదలలను కలిగి ఉంది:
- పాస్-ది-టికెట్ ముప్పు గుర్తింపు (డొమైన్ విధానాన్ని మించిన గడువు తేదీతో కెర్బెరోస్ టిక్కెట్ల గుర్తింపు, ఇది సంభావ్య గోల్డెన్ టిక్కెట్ దాడిని సూచిస్తుంది);
- విజయవంతమైన మరియు విజయవంతం కాని NTLM ప్రమాణీకరణల ఆడిట్ (మీరు NTLM సంస్కరణను నిర్ణయించవచ్చు మరియు v1ని ఉపయోగించే అప్లికేషన్ల గురించి తెలియజేయవచ్చు);
- విజయవంతమైన మరియు విజయవంతం కాని Kerberos ప్రమాణీకరణల ఆడిట్;
- పొరుగున ఉన్న AD అడవిలో ఆడిట్ ఏజెంట్లను మోహరించడం.
స్క్రీన్షాట్ కెర్బెరోస్ టికెట్ యొక్క సుదీర్ఘ కాలం చెల్లుబాటుతో గుర్తించబడిన ముప్పును చూపుతుంది.
క్వెస్ట్ - ఆన్ డిమాండ్ ఆడిట్ నుండి మరొక ఉత్పత్తితో కలిపి, మీరు ఒకే ఇంటర్ఫేస్ నుండి హైబ్రిడ్ ఎన్విరాన్మెంట్లను ఆడిట్ చేయవచ్చు మరియు AD, Azure ADలో లాగాన్లను మరియు Office 365లో మార్పులను పర్యవేక్షించవచ్చు.
చేంజ్ ఆడిటర్ యొక్క మరొక ప్రయోజనం ఏమిటంటే, SIEM సిస్టమ్తో నేరుగా లేదా మరొక క్వెస్ట్ ఉత్పత్తి - InTrust ద్వారా అవుట్-ఆఫ్-బాక్స్ ఇంటిగ్రేషన్ అవకాశం. మీరు అటువంటి ఏకీకరణను సెటప్ చేస్తే, మీరు InTrust ద్వారా దాడిని అణచివేయడానికి స్వయంచాలక చర్యలను చేయవచ్చు మరియు అదే సాగే స్టాక్లో మీరు వీక్షణలను సెటప్ చేయవచ్చు మరియు చారిత్రక డేటాను వీక్షించడానికి సహోద్యోగులకు ప్రాప్యతను ఇవ్వవచ్చు.
ఆడిటర్ని మార్చడం గురించి మరింత తెలుసుకోవడానికి, జూలై 29న మాస్కో సమయం ఉదయం 11 గంటలకు జరిగే వెబ్నార్కు హాజరు కావాలని మేము మిమ్మల్ని ఆహ్వానిస్తున్నాము. వెబ్నార్ తర్వాత మీరు ఏవైనా ప్రశ్నలు అడగవచ్చు.
క్వెస్ట్ భద్రతా పరిష్కారాలపై మరిన్ని కథనాలు:
మీరు సంప్రదింపులు, పంపిణీ లేదా పైలట్ ప్రాజెక్ట్ కోసం అభ్యర్థనను సమర్పించవచ్చు మా వెబ్సైట్లో. ప్రతిపాదిత పరిష్కారాల వివరణలు కూడా ఉన్నాయి.
మూలం: www.habr.com