ไม่กี่ปีที่ผ่านมา เมื่อเราเริ่มใช้ Change Auditor ในธนาคารแห่งหนึ่ง เราสังเกตเห็นสคริปต์ PowerShell จำนวนมากที่ทำงานตรวจสอบแบบเดียวกันทุกประการ แต่ด้วยวิธีการแบบช่างฝีมือ เวลาผ่านไปนานมากแล้ว ลูกค้ายังคงใช้ Change Auditor และจดจำการสนับสนุนของสคริปต์เหล่านั้นทั้งหมดเหมือนฝันร้าย ความฝันนั้นอาจกลายเป็นฝันร้ายได้หากคนที่ทำหน้าที่เขียนสคริปต์ในคน ๆ เดียวจะรับมันและเลิกเล่นโดยรีบลืมที่จะถ่ายทอดความรู้ที่เป็นความลับ จากเพื่อนร่วมงาน เราได้ยินมาว่ากรณีดังกล่าวเกิดขึ้นในบางแห่ง และสิ่งนี้ได้นำความโกลาหลมาสู่งานของแผนกรักษาความปลอดภัยข้อมูล ในบทความนี้ เราจะพูดถึงประโยชน์หลักของ Change Auditor และประกาศการสัมมนาผ่านเว็บในวันที่ 29 กรกฎาคมเกี่ยวกับเครื่องมือการตรวจสอบอัตโนมัตินี้ ภายใต้การตัดรายละเอียดทั้งหมด
ภาพหน้าจอด้านบนแสดงเว็บอินเตอร์เฟส IT Security Search ที่มีแถบค้นหาคล้าย Google ซึ่งสะดวกในการจัดเรียงเหตุการณ์จาก Change Auditor และปรับแต่งมุมมอง
Change Auditor เป็นเครื่องมือที่มีประสิทธิภาพสำหรับการตรวจสอบการเปลี่ยนแปลงในโครงสร้างพื้นฐานของ Microsoft, ดิสก์อาร์เรย์ และ VMware รองรับการตรวจสอบ: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS มีรายงานที่ติดตั้งไว้ล่วงหน้าเพื่อให้สอดคล้องกับมาตรฐาน GDPR, SOX, PCI, HIPAA, FISMA, GLBA
เมตริกถูกรวบรวมจากเซิร์ฟเวอร์ Windows ในลักษณะที่อิงตามตัวแทน ซึ่งช่วยให้คุณตรวจสอบโดยใช้การผสานรวมเชิงลึกเข้ากับการโทรภายใน AD และตามที่ผู้จำหน่ายเขียนเอง วิธีนี้ตรวจพบการเปลี่ยนแปลงแม้ในกลุ่มที่ซ้อนกันลึก และแนะนำการโหลดน้อยกว่าเมื่อเขียน การอ่านและการแยกบันทึก (นี่คือวิธีการทำงาน ). คุณสามารถตรวจสอบได้ภายใต้โหลดสูง ผลจากการผสานรวมระดับต่ำนี้ ใน Quest Change Auditor คุณสามารถยับยั้งการเปลี่ยนแปลงบางอย่างสำหรับอ็อบเจกต์บางอย่าง แม้แต่ผู้ใช้ระดับ Enterprise Admin นั่นคือเพื่อป้องกันตัวเองจากผู้ดูแลระบบ AD ที่เป็นอันตราย
ใน Change Auditor การเปลี่ยนแปลงทั้งหมดจะถูกทำให้เป็นมาตรฐานในมุมมอง 5W - Who, What, Where, When, Workstation (ใคร อะไร ที่ไหน เมื่อไร และบนเวิร์กสเตชันใด) รูปแบบนี้ทำให้คุณสามารถรวมกิจกรรมที่ได้รับจากแหล่งต่างๆ
เมื่อวันที่ 2 มิถุนายน 2020 Change Auditor เวอร์ชันใหม่เปิดตัว - 7.1 มีการปรับปรุงที่สำคัญดังต่อไปนี้:
- การตรวจจับภัยคุกคาม Pass-the-Ticket (การตรวจจับ Kerberos Tickets ที่มีวันหมดอายุเกินนโยบายโดเมน ซึ่งอาจบ่งชี้ถึงการโจมตี Golden Ticket ที่อาจเกิดขึ้น)
- การตรวจสอบการรับรองความถูกต้อง NTLM ที่สำเร็จและไม่สำเร็จ (คุณสามารถกำหนดเวอร์ชันของ NTLM และแจ้งเกี่ยวกับแอปพลิเคชันที่ใช้ v1)
- การตรวจสอบการพิสูจน์ตัวตน Kerberos ที่สำเร็จและไม่สำเร็จ
- การปรับใช้ตัวแทนการตรวจสอบในฟอเรสต์ AD ที่อยู่ใกล้เคียง
สกรีนช็อตแสดงภัยคุกคามที่ตรวจพบโดยมีอายุการใช้งานของ Kerberos Ticket ที่ยาวนาน
เมื่อใช้ร่วมกับผลิตภัณฑ์อื่นจาก Quest - On Demand Audit คุณสามารถตรวจสอบสภาพแวดล้อมแบบไฮบริดจากอินเทอร์เฟซเดียวและตรวจสอบการเข้าสู่ระบบใน AD, Azure AD และการเปลี่ยนแปลงใน Office 365
ข้อดีอีกประการของ Change Auditor คือความเป็นไปได้ของการผสานรวมกับระบบ SIEM โดยตรงหรือผ่านผลิตภัณฑ์ Quest อื่น - InTrust หากคุณตั้งค่าการผสานรวมดังกล่าว คุณสามารถดำเนินการอัตโนมัติเพื่อระงับการโจมตีผ่าน InTrust และตั้งค่ามุมมองใน Elastic Stack เดียวกัน และให้สิทธิ์เพื่อนร่วมงานเข้าถึงเพื่อดูข้อมูลประวัติ
หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ Change Auditor เราขอเชิญคุณเข้าร่วมการสัมมนาผ่านเว็บ ซึ่งจะจัดขึ้นในวันที่ 29 กรกฎาคม เวลา 11 น. ตามเวลามอสโกว หลังจากการสัมมนาผ่านเว็บ คุณจะสามารถถามคำถามของคุณได้
บทความอื่นๆ เกี่ยวกับโซลูชันการรักษาความปลอดภัยของ Quest:
คุณสามารถฝากคำขอรับคำปรึกษา ชุดแจกจ่าย หรือโครงการนำร่องผ่าน บนเว็บไซต์ของเรา นอกจากนี้ยังมีคำอธิบายของโซลูชันที่นำเสนอ
ที่มา: will.com