Ilang taon na ang nakalipas, noong sinimulan naming ipatupad ang Change Auditor sa isang bangko, napansin namin ang isang malaking hanay ng mga PowerShell script na gumanap nang eksakto sa parehong gawain sa pag-audit, ngunit gumagamit ng pansamantalang paraan. Maraming oras na ang lumipas mula noon, ginagamit pa rin ng customer ang Change Auditor at naaalala ang suporta ng lahat ng script na iyon na parang isang masamang panaginip. Ang panaginip na iyon ay maaaring maging isang bangungot kung ang taong nagsilbi ng mga script sa isang tao ay huminto lamang, na nagmamadaling nakalimutan na ilipat ang lihim na kaalaman. Narinig namin mula sa mga kasamahan na ang mga ganitong kaso ay nangyari dito at doon at ito ay nagdulot ng malaking kaguluhan sa gawain ng departamento ng seguridad ng impormasyon. Sa artikulong ito, pag-uusapan natin ang mga pangunahing bentahe ng Change Auditor at mag-aanunsyo ng webinar sa Hulyo 29 sa tool na ito ng audit automation. Sa ibaba ng hiwa ay ang lahat ng mga detalye.
Ipinapakita ng screenshot sa itaas ang web interface ng IT Security Search na may katulad na google na search bar, kung saan ito ay maginhawa upang ayusin ang mga kaganapan mula sa Change Auditor at i-configure ang mga view.
Ang Change Auditor ay isang mahusay na tool para sa pag-audit ng mga pagbabago sa imprastraktura ng Microsoft, mga disk array at VMware. Sinusuportahan ang pag-audit: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. May mga paunang na-install na ulat para sa pagsunod sa mga pamantayan ng GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
Kinokolekta ang mga sukatan mula sa mga server ng Windows sa paraang nakabatay sa ahente, na nagbibigay-daan sa pag-audit gamit ang malalim na pagsasama sa mga tawag sa loob ng AD at, habang ang vendor mismo ang nagsusulat, ang paraang ito ay nakakakita ng mga pagbabago kahit na sa malalim na nested na mga grupo at nagpapakilala ng mas kaunting load kaysa kapag nagsusulat, nagbabasa at pagkuha ng mga log (ganyan sila gumagana ). Maaari mong suriin ito sa mataas na pagkarga. Bilang resulta ng mababang antas na pagsasama na ito, sa Quest Change Auditor maaari mong i-veto ang ilang partikular na pagbabago para sa ilang partikular na bagay, kahit na para sa mga user sa antas ng Enterprise Admin. Iyon ay, protektahan ang iyong sarili mula sa mga malisyosong AD administrator.
Sa Change Auditor, ang lahat ng mga pagbabago ay na-normalize sa 5W na uri - Sino, Ano, Saan, Kailan, Workstation (Sino, Ano, Saan, Kailan at sa aling workstation). Binibigyang-daan ka ng format na ito na pag-isahin ang mga kaganapang natanggap mula sa iba't ibang pinagmulan.
Noong Hunyo 2, 2020, isang bagong bersyon ng Change Auditor ang inilabas - 7.1. Mayroon itong mga sumusunod na pangunahing pagpapabuti:
- Pag-detect ng banta sa Pass-the-Ticket (pagkilala sa Mga Kerberos Ticket na may petsa ng pag-expire na lumampas sa patakaran ng domain, na maaaring magpahiwatig ng potensyal na pag-atake ng Golden Ticket);
- pag-audit ng matagumpay at hindi matagumpay na pagpapatotoo ng NTLM (maaari mong matukoy ang bersyon ng NTLM at ipaalam ang tungkol sa mga application na gumagamit ng v1);
- pag-audit ng matagumpay at hindi matagumpay na mga pagpapatotoo ng Kerberos;
- Naglalagay ng mga ahente ng pag-audit sa isang kalapit na kagubatan ng AD.
Ang screenshot ay nagpapakita ng natukoy na banta na may mahabang panahon ng bisa ng Kerberos Ticket.
Kasama ng isa pang produkto mula sa Quest - On Demand Audit, maaari mong i-audit ang mga hybrid na kapaligiran mula sa iisang interface at subaybayan ang mga logon sa AD, Azure AD at mga pagbabago sa Office 365.
Ang isa pang bentahe ng Change Auditor ay ang posibilidad ng out-of-box na pagsasama sa isang SIEM system nang direkta o sa pamamagitan ng isa pang produkto ng Quest - InTrust. Kung magse-set up ka ng ganoong pagsasama, maaari kang magsagawa ng mga awtomatikong pagkilos upang sugpuin ang isang pag-atake sa pamamagitan ng InTrust, at sa parehong Elastic Stack maaari kang mag-set up ng mga view at magbigay ng access sa mga kasamahan upang tingnan ang makasaysayang data.
Upang matuto nang higit pa tungkol sa Change Auditor, iniimbitahan ka naming dumalo sa webinar, na magaganap sa Hulyo 29 sa 11 a.m. oras ng Moscow. Pagkatapos ng webinar maaari kang magtanong ng anumang mga katanungan na maaaring mayroon ka.
Higit pang mga artikulo sa mga solusyon sa seguridad ng Quest:
Maaari kang magsumite ng kahilingan para sa konsultasyon, pamamahagi o isang pilot project sa pamamagitan ng sa aming website. Mayroon ding mga paglalarawan ng mga iminungkahing solusyon.
Pinagmulan: www.habr.com