Кілька років тому, на початку впровадження Change Auditor в одному банку, ми звернули увагу на величезний масив PowerShell-скриптів, які виконували те саме завдання аудиту, але кустарним методом. З тих пір пройшло багато часу, замовник так само користується Change Auditor і згадує підтримку всіх тих скриптів як страшний сон. Той сон міг стати і кошмаром, якби людина, яка обслуговувала скрипти в одне обличчя, узяла б та й звільнилася, поспіхом забувши передати таємні знання. Від колег ми чули, що такі випадки траплялися подекуди і це тоді внесло значний хаос у роботу відділу інформаційної безпеки. У цій статті розповімо про основні переваги Change Auditor та анонсуємо вебінар 29 липня за цим інструментом автоматизації аудиту. Під катом усі подробиці.
На скріншоті вище – веб-інтерфейс IT Security Search з рядком пошуку google-like, у якому зручно сортувати події з Change Auditor та налаштовувати уявлення.
Change Auditor – потужний інструмент для аудиту змін в інфраструктурі Microsoft, дискових масивах та VMware. Підтримується аудит: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Є звіти на відповідність стандартам GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
Збір метрик із серверів Windows відбувається агентним способом, що дозволяє виконувати аудит за допомогою глибокої інтеграції у виклики всередині AD і, як пише сам вендор, цей метод виявляє зміни навіть у глибоко вкладених групах і привносить менше навантаження, ніж при записі, читанні та витягуванні логів (так працюють ). Перевірити можна на високому навантаженні. Як наслідок такої низькорівневої інтеграції, у Quest Change Auditor можна накласти вето на внесення певних змін для певних об'єктів навіть користувачам рівня Enterprise Admin. Тобто захиститися від зловмисних адміністраторів AD.
У Change Auditor всі зміни нормалізуються до виду 5W - Who, What, Where, When, Workstation (Хто, Що, Де, Коли і на якій робочій станції). Цей формат дозволяє уніфікувати отримані з різних джерел події.
2 червня 2020 року вийшла нова версія Change Auditor - 7.1. У ній з'явилися такі ключові покращення:
- виявлення загроз Pass-the-Ticket (виявлення Kerberos Tickets з терміном дії, що перевищує політику домену, що може вказувати на потенційну атаку типу Golden Ticket);
- аудит вдалих та невдалих NTLM-аутентифікацій (можна визначати версію NTLM, та сповіщати про додатки, які використовують v1);
- аудит вдалих та невдалих Kerberos аутентифікацій;
- розгортання агентів для аудиту у сусідньому лісі AD.
На скріншоті виявлена загроза із тривалим періодом дії Kerberos Ticket.
Разом з іншим продуктом від Quest — On Demand Audit, можна виконувати аудит гібридних оточень з єдиного інтерфейсу та стежити за логонами в AD, Azure AD та змінах у Office 365.
Ще одна перевага Change Auditor – це можливість коробкової інтеграції із SIEM-системою безпосередньо або через інший продукт Quest – InTrust. Якщо налаштувати подібну інтеграцію, можна через InTrust виконувати автоматизовані дії з придушення атаки, а також Elastic Stack налаштувати уявлення і дати доступ колегам для перегляду історичних даних.
Щоб дізнатися більше про Change Auditor, запрошуємо вас відвідати вебінар, який відбудеться 29 липня об 11 годині за московським часом. Після вебінару ви зможете поставити запитання, що цікавлять.
Інші статті про рішення Quest для безпеки:
Залишити заявку на отримання консультації, дистрибутива або на пілотний проект ви можете через на нашому сайті. Там є описи запропонованих рішень.
Джерело: habr.com