Vài năm trước, khi chúng tôi bắt đầu triển khai Change Auditor trong một ngân hàng, chúng tôi nhận thấy có rất nhiều tập lệnh PowerShell thực hiện chính xác cùng một nhiệm vụ kiểm tra nhưng sử dụng một phương pháp tạm thời. Đã rất nhiều thời gian trôi qua kể từ đó, khách hàng vẫn sử dụng Change Auditor và ghi nhớ sự hỗ trợ của tất cả các tập lệnh đó như một cơn ác mộng. Giấc mơ đó có thể đã trở thành cơn ác mộng nếu người phục vụ kịch bản cho một người vừa nghỉ việc, vội vàng quên truyền thụ những kiến thức bí mật. Chúng tôi nghe đồng nghiệp nói rằng những trường hợp như vậy xảy ra đây đó và điều này sau đó đã gây ra sự hỗn loạn đáng kể cho công việc của bộ phận an ninh thông tin. Trong bài viết này, chúng tôi sẽ nói về những ưu điểm chính của Change Auditor và công bố hội thảo trực tuyến vào ngày 29 tháng XNUMX về công cụ tự động hóa kiểm tra này. Bên dưới vết cắt là tất cả các chi tiết.
Ảnh chụp màn hình ở trên hiển thị giao diện web Tìm kiếm Bảo mật CNTT với thanh tìm kiếm giống như google, trong đó rất thuận tiện để sắp xếp các sự kiện từ Change Auditor và định cấu hình các chế độ xem.
Change Auditor là một công cụ mạnh mẽ để kiểm tra các thay đổi trong cơ sở hạ tầng của Microsoft, mảng đĩa và VMware. Hỗ trợ kiểm tra: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Có các báo cáo được cài đặt sẵn về việc tuân thủ các tiêu chuẩn GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
Số liệu được thu thập từ máy chủ Windows theo cách dựa trên tác nhân, cho phép kiểm tra bằng cách sử dụng tích hợp sâu vào các cuộc gọi trong AD và như chính nhà cung cấp viết, phương pháp này phát hiện các thay đổi ngay cả trong các nhóm được lồng sâu và đưa ra ít tải hơn so với khi ghi, đọc và truy xuất nhật ký (đó là cách chúng hoạt động ). Bạn có thể kiểm tra nó khi tải cao. Do sự tích hợp cấp thấp này, trong Quest Change Auditor, bạn có thể phủ quyết một số thay đổi nhất định đối với một số đối tượng nhất định, ngay cả đối với người dùng ở cấp Quản trị viên doanh nghiệp. Tức là bảo vệ bạn khỏi các quản trị viên AD độc hại.
Trong Change Auditor, tất cả các thay đổi được chuẩn hóa thành loại 5W - Ai, Cái gì, Ở đâu, Khi nào, Máy trạm (Ai, Cái gì, Ở đâu, Khi nào và trên máy trạm nào). Định dạng này cho phép bạn thống nhất các sự kiện nhận được từ các nguồn khác nhau.
Vào ngày 2 tháng 2020 năm 7.1, phiên bản mới của Change Auditor đã được phát hành - XNUMX. Nó có những cải tiến chính sau:
- Phát hiện mối đe dọa từ Pass-the-Ticket (xác định Vé Kerberos có ngày hết hạn vượt quá chính sách tên miền, điều này có thể cho thấy một cuộc tấn công Vé Vàng tiềm ẩn);
- kiểm tra xác thực NTLM thành công và không thành công (bạn có thể xác định phiên bản NTLM và thông báo về các ứng dụng sử dụng v1);
- kiểm tra xác thực Kerberos thành công và không thành công;
- Triển khai các đại lý kiểm toán trong khu rừng AD lân cận.
Ảnh chụp màn hình hiển thị một mối đe dọa đã được xác định với thời gian hiệu lực dài của Vé Kerberos.
Cùng với một sản phẩm khác từ Quest - Kiểm tra theo yêu cầu, bạn có thể kiểm tra môi trường kết hợp từ một giao diện duy nhất và giám sát các lần đăng nhập trong AD, Azure AD cũng như các thay đổi trong Office 365.
Một ưu điểm khác của Change Auditor là khả năng tích hợp ngay lập tức với hệ thống SIEM trực tiếp hoặc thông qua một sản phẩm Quest khác - InTrust. Nếu thiết lập tích hợp như vậy, bạn có thể thực hiện các hành động tự động để ngăn chặn cuộc tấn công thông qua InTrust và trong cùng Elastic Stack, bạn có thể thiết lập chế độ xem và cấp quyền truy cập cho đồng nghiệp để xem dữ liệu lịch sử.
Để tìm hiểu thêm về Change Auditor, chúng tôi mời bạn tham dự hội thảo trực tuyến sẽ diễn ra vào ngày 29 tháng 11 lúc XNUMX giờ sáng theo giờ Moscow. Sau hội thảo trên web, bạn sẽ có thể hỏi bất kỳ câu hỏi nào bạn có thể có.
Các bài viết khác về giải pháp bảo mật của Quest:
Bạn có thể gửi yêu cầu tư vấn, phân phối hoặc một dự án thí điểm thông qua trên trang web của chúng tôi. Ngoài ra còn có mô tả về các giải pháp được đề xuất.
Nguồn: www.habr.com