幾年前,當我們開始在銀行實施 Change Auditor 時,我們注意到大量 PowerShell 腳本執行完全相同的審計任務,但使用的是臨時方法。 從那時起已經過去了很多時間,客戶仍然使用 Change Auditor,並像噩夢一樣記得所有這些腳本的支援。 如果為一個人提供腳本的人剛剛退出,匆忙忘記轉移秘密知識,那麼這個夢想可能會變成一場噩夢。 聽同事反映,此類案件時有發生,給資訊安全部門的工作帶來了很大的混亂。 在本文中,我們將討論 Change Auditor 的主要優勢,並宣布將於 29 月 XNUMX 日舉辦有關此審計自動化工具的網路研討會。 切口下方是所有細節。
上面的螢幕截圖顯示了 IT 安全搜尋 Web 介面,帶有類似 google 的搜尋欄,可以輕鬆地對來自 Change Auditor 的事件進行排序並配置視圖。
Change Auditor 是一款功能強大的工具,用於審核 Microsoft 基礎架構、磁碟陣列和 VMware 中的變更。 支援審核:AD、Azure AD、SQL Server、Exchange、Exchange Online、Sharepoint、Sharepoint Online、Windows 檔案伺服器、OneDrive for Business、Skype for Business、VMware、NetApp、EMC、FluidFS。 預先安裝了符合 GDPR、SOX、PCI、HIPAA、FISMA、GLBA 標準的報告。
指標以基於代理的方式從Windows 伺服器收集,這允許使用深度整合到AD 內的呼叫進行審核,並且正如供應商自己所寫,這種方法甚至可以檢測深度嵌套群組中的更改,並且比寫入、讀取和讀取時引入的負載更少。檢索日誌(這就是它們的工作方式 )。 您可以在高負載下檢查它。 由於這種低階集成,在 Quest Change Auditor 中,您可以否決某些物件的某些更改,甚至對於企業管理員等級的使用者也是如此。 也就是說,保護自己免受惡意 AD 管理員的侵害。
在 Change Auditor 中,所有變更均標準化為 5W 類型 - Who、What、Where、When、Workstation(誰、什麼、何地、何時以及在哪個工作站上)。 此格式可讓您統一從不同來源收到的事件。
2年2020月7.1日,發布了新版本的Change Auditor - XNUMX。 它有以下主要改進:
- 傳遞票證威脅偵測(識別過期日期超過網域策略的 Kerberos 票證,這可能表示存在潛在的金票攻擊);
- 審核成功且不成功的 NTLM 驗證(您可以確定 NTLM 版本並通知使用 v1 的應用程式);
- 審核成功和不成功的 Kerberos 身份驗證;
- 在相鄰的 AD 林中部署審核代理程式。
該螢幕截圖顯示了已識別的威脅,其 Kerberos 票證的有效期較長。
與 Quest 的另一款產品 - 按需審核結合使用,您可以從單一介面審核混合環境,並監控 AD、Azure AD 中的登入以及 Office 365 中的變更。
Change Auditor 的另一個優點是可以直接或透過另一個 Quest 產品 - InTrust 與 SIEM 系統進行開箱即用的整合。 如果您設定這樣的集成,則可以透過 InTrust 執行自動化操作來抑制攻擊,並且在同一個 Elastic Stack 中,您可以設定視圖並授予同事查看歷史資料的權限。
要了解有關 Change Auditor 的更多信息,我們邀請您參加將於莫斯科時間 29 月 11 日上午 XNUMX 點舉行的網路研討會。 網路研討會結束後,您將可以提出任何問題。
有關 Quest 安全解決方案的更多文章:
您可以透過以下方式提交諮詢、分發或試點專案的請求 在我們的網站上。 還有建議的解決方案的描述。
來源: www.habr.com