کئی سال پہلے، جب ہم نے ایک بینک میں چینج آڈیٹر کو لاگو کرنا شروع کیا، تو ہم نے پاور شیل اسکرپٹس کی ایک بہت بڑی صف دیکھی جس نے بالکل وہی آڈٹ کام انجام دیا، لیکن ایک عارضی طریقہ استعمال کیا۔ تب سے کافی وقت گزر چکا ہے، گاہک اب بھی چینج آڈیٹر کا استعمال کرتا ہے اور ان تمام اسکرپٹس کی حمایت کو ایک برے خواب کی طرح یاد رکھتا ہے۔ یہ خواب ایک ڈراؤنے خواب میں تبدیل ہو سکتا تھا اگر وہ شخص جس نے ایک شخص میں اسکرپٹس کی خدمت کی تھی وہ صرف چھوڑ دیتا، جلد بازی میں خفیہ علم کی منتقلی کو بھول جاتا۔ ہم نے ساتھیوں سے سنا ہے کہ اس طرح کے معاملات یہاں اور وہاں ہوتے ہیں اور اس کے بعد انفارمیشن سیکیورٹی ڈیپارٹمنٹ کے کام میں خاصی افراتفری پھیل گئی۔ اس مضمون میں، ہم چینج آڈیٹر کے اہم فوائد کے بارے میں بات کریں گے اور اس آڈٹ آٹومیشن ٹول پر 29 جولائی کو ایک ویبینار کا اعلان کریں گے۔ کٹ کے نیچے تمام تفصیلات ہیں۔
اوپر دیا گیا اسکرین شاٹ آئی ٹی سیکیورٹی سرچ ویب انٹرفیس کو گوگل جیسے سرچ بار کے ساتھ دکھاتا ہے، جس میں تبدیلی آڈیٹر سے واقعات کو ترتیب دینا اور آراء کو ترتیب دینا آسان ہے۔
چینج آڈیٹر مائیکروسافٹ انفراسٹرکچر، ڈسک اری اور وی ایم ویئر میں تبدیلیوں کے آڈٹ کے لیے ایک طاقتور ٹول ہے۔ تعاون یافتہ آڈٹ: AD، Azure AD، SQL Server، Exchange، Exchange Online، SharePoint، SharePoint Online، Windows File Server، OneDrive for Business، Skype for Business، VMware، NetApp، EMC، FluidFS۔ GDPR, SOX, PCI, HIPAA, FISMA, GLBA معیارات کی تعمیل کے لیے پہلے سے نصب شدہ رپورٹس موجود ہیں۔
ونڈوز سرورز سے ایجنٹ پر مبنی طریقے سے میٹرکس جمع کیے جاتے ہیں، جو AD کے اندر کالوں میں گہرے انضمام کا استعمال کرتے ہوئے آڈیٹنگ کی اجازت دیتا ہے اور جیسا کہ وینڈر خود لکھتا ہے، یہ طریقہ گہرے نیسٹڈ گروپس میں بھی تبدیلیوں کا پتہ لگاتا ہے اور لکھنے، پڑھنے اور کرنے کے مقابلے میں کم بوجھ متعارف کراتا ہے۔ لاگز کو بازیافت کرنا (اس طرح وہ کام کرتے ہیں۔ )۔ آپ اسے زیادہ بوجھ پر چیک کر سکتے ہیں۔ اس نچلی سطح کے انضمام کے نتیجے میں، Quest Change Auditor میں آپ بعض چیزوں کے لیے کچھ تبدیلیوں کو ویٹو کر سکتے ہیں، یہاں تک کہ انٹرپرائز ایڈمن کی سطح کے صارفین کے لیے۔ یعنی اپنے آپ کو بدنیتی پر مبنی AD منتظمین سے بچائیں۔
چینج آڈیٹر میں، تمام تبدیلیاں 5W قسم میں معمول کی جاتی ہیں - کون، کیا، کہاں، کب، ورک سٹیشن (کون، کیا، کہاں، کب اور کس ورک سٹیشن پر)۔ یہ فارمیٹ آپ کو مختلف ذرائع سے موصول ہونے والے واقعات کو یکجا کرنے کی اجازت دیتا ہے۔
2 جون 2020 کو، چینج آڈیٹر کا ایک نیا ورژن - 7.1 جاری کیا گیا۔ اس میں درج ذیل کلیدی اصلاحات ہیں:
- پاس-دی-ٹکٹ خطرے کا پتہ لگانا (کربروس ٹکٹ کی معیاد ختم ہونے کی تاریخ کے ساتھ شناخت جو ڈومین پالیسی سے زیادہ ہے، جو ممکنہ گولڈن ٹکٹ حملے کی نشاندہی کر سکتی ہے)؛
- کامیاب اور ناکام NTLM تصدیقوں کا آڈٹ (آپ NTLM ورژن کا تعین کر سکتے ہیں اور v1 استعمال کرنے والی ایپلیکیشنز کے بارے میں مطلع کر سکتے ہیں)؛
- کربروس کی کامیاب اور ناکام تصدیقوں کا آڈٹ؛
- پڑوسی AD جنگل میں آڈٹ ایجنٹوں کو تعینات کرنا۔
اسکرین شاٹ کربروس ٹکٹ کی طویل مدت کے ساتھ ایک شناخت شدہ خطرہ دکھاتا ہے۔
Quest - آن ڈیمانڈ آڈٹ کے ایک اور پروڈکٹ کے ساتھ، آپ ایک ہی انٹرفیس سے ہائبرڈ ماحول کا آڈٹ کر سکتے ہیں اور AD، Azure AD اور Office 365 میں ہونے والی تبدیلیوں میں لاگ ان کی نگرانی کر سکتے ہیں۔
چینج آڈیٹر کا ایک اور فائدہ SIEM سسٹم کے ساتھ براہ راست یا کسی اور کویسٹ پروڈکٹ - InTrust کے ذریعے آؤٹ آف باکس انضمام کا امکان ہے۔ اگر آپ ایسا انضمام قائم کرتے ہیں، تو آپ InTrust کے ذریعے حملے کو دبانے کے لیے خودکار کارروائیاں کر سکتے ہیں، اور اسی Elastic Stack میں آپ ویوز سیٹ کر سکتے ہیں اور ساتھیوں کو تاریخی ڈیٹا دیکھنے کے لیے رسائی دے سکتے ہیں۔
چینج آڈیٹر کے بارے میں مزید جاننے کے لیے، ہم آپ کو ویبنار میں شرکت کی دعوت دیتے ہیں، جو 29 جولائی کو ماسکو کے وقت کے مطابق صبح 11 بجے ہوگا۔ ویبنار کے بعد آپ کوئی بھی سوال پوچھ سکیں گے۔
کویسٹ سیکیورٹی حل پر مزید مضامین:
آپ مشاورت، تقسیم یا پائلٹ پروجیکٹ کے لیے درخواست جمع کرا سکتے ہیں۔ ہماری ویب سائٹ پر. مجوزہ حل کی تفصیل بھی موجود ہے۔
ماخذ: www.habr.com