几年前,当我们开始在一家银行实施 Change Auditor 时,我们注意到大量 PowerShell 脚本执行完全相同的审计任务,但使用的是临时方法。 从那时起已经过去了很多时间,客户仍然使用 Change Auditor,并像噩梦一样记得所有这些脚本的支持。 如果为一个人提供脚本的人刚刚退出,匆忙忘记转移秘密知识,那么这个梦想可能会变成一场噩梦。 听同事反映,此类案件时有发生,给信息安全部门的工作带来了很大的混乱。 在本文中,我们将讨论 Change Auditor 的主要优势,并宣布将于 29 月 XNUMX 日举办有关此审计自动化工具的网络研讨会。 切口下方是所有细节。
上面的屏幕截图显示了 IT 安全搜索 Web 界面,带有类似 google 的搜索栏,可以方便地对来自 Change Auditor 的事件进行排序并配置视图。
Change Auditor 是一款功能强大的工具,用于审核 Microsoft 基础架构、磁盘阵列和 VMware 中的更改。 支持审核:AD、Azure AD、SQL Server、Exchange、Exchange Online、Sharepoint、Sharepoint Online、Windows 文件服务器、OneDrive for Business、Skype for Business、VMware、NetApp、EMC、FluidFS。 预装了符合 GDPR、SOX、PCI、HIPAA、FISMA、GLBA 标准的报告。
指标以基于代理的方式从 Windows 服务器收集,这允许使用深度集成到 AD 内的调用进行审核,并且正如供应商自己所写,这种方法甚至可以检测深度嵌套组中的更改,并且比写入、读取和读取时引入的负载更少。检索日志(这就是它们的工作方式 )。 您可以在高负载下检查它。 由于这种低级集成,在 Quest Change Auditor 中,您可以否决某些对象的某些更改,甚至对于企业管理员级别的用户也是如此。 也就是说,保护自己免受恶意 AD 管理员的侵害。
在 Change Auditor 中,所有变更均标准化为 5W 类型 - Who、What、Where、When、Workstation(谁、什么、何地、何时以及在哪个工作站上)。 此格式允许您统一从不同来源收到的事件。
2年2020月7.1日,发布了新版本的Change Auditor - XNUMX。 它有以下主要改进:
- 传递票证威胁检测(识别过期日期超过域策略的 Kerberos 票证,这可能表明存在潜在的金票攻击);
- 审核成功和不成功的 NTLM 身份验证(您可以确定 NTLM 版本并通知使用 v1 的应用程序);
- 审核成功和不成功的 Kerberos 身份验证;
- 在相邻的 AD 林中部署审核代理。
该屏幕截图显示了已识别的威胁,其 Kerberos 票证的有效期较长。
与 Quest 的另一款产品 - 按需审核结合使用,您可以从单个界面审核混合环境,并监控 AD、Azure AD 中的登录以及 Office 365 中的更改。
Change Auditor 的另一个优点是可以直接或通过另一个 Quest 产品 - InTrust 与 SIEM 系统进行开箱即用的集成。 如果您设置这样的集成,则可以通过 InTrust 执行自动化操作来抑制攻击,并且在同一个 Elastic Stack 中,您可以设置视图并授予同事查看历史数据的权限。
要了解有关 Change Auditor 的更多信息,我们邀请您参加将于莫斯科时间 29 月 11 日上午 XNUMX 点举行的网络研讨会。 网络研讨会结束后,您将可以提出任何问题。
有关 Quest 安全解决方案的更多文章:
您可以通过以下方式提交咨询、分发或试点项目的请求 在我们的网站上。 还有对建议的解决方案的描述。
来源: habr.com