Bir necha yil oldin, biz bankda Change Auditorni joriy qila boshlaganimizda, biz bir xil audit vazifasini bajaradigan, ammo vaqtinchalik usulda bajaradigan juda ko'p PowerShell skriptlarini ko'rdik. O'shandan beri ko'p vaqt o'tdi va mijoz hali ham Change Auditordan foydalanadi va barcha skriptlarni qo'llab-quvvatlashni dahshatli tush sifatida eslaydi. Agar skriptlarni qo'llab-quvvatlovchi shaxs shoshilinch ravishda maxfiy ma'lumotlarni uzatishni unutib, ishdan bo'shaganida, bu dahshatli tush dahshatli tushga aylanishi mumkin edi. Hamkasblarimizdan bunday holatlar ba'zi joylarda sodir bo'lganini va bu axborot xavfsizligi bo'limida jiddiy tartibsizliklarni keltirib chiqarganini eshitdik. Ushbu maqolada biz Change Auditorning asosiy afzalliklarini muhokama qilamiz va 29-iyul kuni ushbu auditni avtomatlashtirish vositasi bo'yicha vebinar e'lon qilamiz. Barcha tafsilotlar uchun o'qing.
Yuqoridagi skrinshotda Google-ga o'xshash qidiruv paneliga ega IT Security Search veb-interfeysi ko'rsatilgan, bu Change Auditor hodisalarini saralashni va ko'rinishlarni sozlashni osonlashtiradi.
Change Auditor Microsoft infratuzilmasi, disk massivlari va VMware’dagi oʻzgarishlarni audit qilish uchun kuchli vositadir. Qoʻllab-quvvatlanadigan auditlar quyidagilarni oʻz ichiga oladi: AD, Azure AD, SQL Server, Exchange, Exchange Online, SharePoint, SharePoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC va FluidFS. GDPR, SOX, PCI, HIPAA, FISMA va GLBA’ga muvofiqligi uchun oldindan belgilangan hisobotlar mavjud.
Windows serverlaridan metriklarni to'plash agentga asoslangan usulda amalga oshiriladi, bu AD ichidagi qo'ng'iroqlarga chuqur integratsiya yordamida audit o'tkazish imkonini beradi va sotuvchining o'zi yozganidek, bu usul hatto chuqur joylashtirilgan guruhlardagi o'zgarishlarni ham aniqlaydi va jurnallarni yozish, o'qish va olishdagiga qaraganda kamroq yukni kiritadi (shu tarzda ). Siz uni yuqori yuk ostida sinab ko'rishingiz mumkin. Ushbu past darajadagi integratsiya natijasida Quest Change Auditor hatto Enterprise Admin foydalanuvchilari uchun ham ma'lum obyektlarga kiritilgan ba'zi o'zgarishlarga veto qo'yishi mumkin. Bu sizni zararli AD administratorlaridan himoya qiladi.
O'zgarishlar auditorida barcha o'zgarishlar 5W formatiga — Kim, Nima, Qayerda, Qachon, Ish stantsiyasiga normallashtiriladi. Ushbu format turli manbalardan olingan voqealarni birlashtirish imkonini beradi.
2020-yil 2-iyunda Change Auditorning yangi versiyasi, 7.1 versiyasi chiqarildi. Unga quyidagi asosiy yaxshilanishlar kiritilgan:
- Pass-the-Ticket tahdidini aniqlash (domen siyosatidan oshib ketgan amal qilish muddatiga ega Kerberos chiptalarini aniqlash, bu esa potentsial Oltin Ticket hujumini ko'rsatishi mumkin);
- muvaffaqiyatli va muvaffaqiyatsiz NTLM autentifikatsiyalarining auditi (siz NTLM versiyasini aniqlashingiz va v1 dan foydalanadigan ilovalar haqida xabar berishingiz mumkin);
- muvaffaqiyatli va muvaffaqiyatsiz Kerberos autentifikatsiyalarining auditi;
- qo'shni AD o'rmoniga auditorlik agentlarini joylashtirish.
Skrinshotda uzoq muddatli Kerberos chiptasi bilan aniqlangan tahdid ko'rsatilgan.
Quest’ning yana bir mahsuloti, On Demand Audit bilan birgalikda siz bitta interfeysdan gibrid muhitlarni tekshirishingiz va AD, Azure AD’da tizimga kirish faolligini va Office 365’dagi o‘zgarishlarni kuzatishingiz mumkin.
Change Auditorning yana bir afzalligi shundaki, u SIEM tizimi bilan to'g'ridan-to'g'ri yoki boshqa Quest mahsuloti InTrust orqali tayyor integratsiyaga ega. Ushbu integratsiyani sozlash orqali siz InTrust orqali avtomatlashtirilgan hujumlarni yumshatish harakatlarini bajarishingiz, Elastic Stackdagi ko'rinishlarni sozlashingiz va tarixiy ma'lumotlarni hamkasblaringiz bilan baham ko'rishingiz mumkin.
Change Auditor haqida ko'proq bilish uchun sizni 29-iyul kuni Moskva vaqti bilan soat 11:00 da bo'lib o'tadigan vebinarda ishtirok etishga taklif qilamiz. Vebinardan so'ng sizda bo'lishi mumkin bo'lgan har qanday savollarni berishingiz mumkin.
Quest xavfsizlik yechimlari haqida boshqa maqolalar:
Siz konsultatsiya, tarqatish yoki sinov loyihasi uchun so'rov yuborishingiz mumkin veb-saytimizda. Taklif qilingan yechimlarning tavsiflari ham u yerda mavjud.
Manba: www.habr.com
