Als wir vor einigen Jahren mit der Implementierung von Change Auditor in einer Bank begannen, stellten wir eine Vielzahl von PowerShell-Skripten fest, die genau dieselbe Prüfungsaufgabe ausführten, jedoch mit einer provisorischen Methode. Seitdem ist viel Zeit vergangen, der Kunde verwendet immer noch Change Auditor und erinnert sich an die Unterstützung all dieser Skripte als schlechten Traum. Dieser Traum hätte zu einem Albtraum werden können, wenn die Person, die die Skripte in einer Person bediente, in Eile vergessen und vergessen würde, geheimes Wissen weiterzugeben. Wir haben von Kollegen gehört, dass solche Fälle hier und da passiert sind und dass dies die Arbeit der Abteilung für Informationssicherheit erheblich durcheinander gebracht hat. In diesem Artikel werden wir die wichtigsten Vorteile von Change Auditor hervorheben und am 29. Juli ein Webinar zu diesem Tool zur Automatisierung von Audits ankündigen. Alle Details sind unter dem Schnitt.
— - IT Security Search google-like, Change Auditor .
Change Auditor ist ein leistungsstarkes Tool zum Überwachen von Änderungen an der Microsoft-Infrastruktur, den Festplatten-Arrays und VMware. Unterstützte Überwachung: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows-Dateiserver, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Es gibt vorinstallierte Berichte zur Einhaltung der Standards GDPR, SOX, PCI, HIPAA, FISMA und GLBA.
Die Erfassung von Metriken von Windows-Servern erfolgt auf agentenbasierte Weise. Auf diese Weise können Sie die Überwachung mithilfe einer umfassenden Integration in Aufrufe in AD durchführen. Wie der Anbieter selbst schreibt, erkennt diese Methode Änderungen auch in stark verschachtelten Gruppen und führt zu einer geringeren Belastung als beim Schreiben, Lesen und Abrufen von Protokollen (So funktionieren konkurrierende Lösungen). Sie können es bei hoher Last überprüfen. Infolge dieser einfachen Integration können Sie in Quest Change Auditor bestimmte Änderungen für bestimmte Objekte ablehnen, auch für Benutzer von Unternehmensadministratoren. Schützen Sie sich also vor böswilligen AD-Administratoren.
Change Auditor normalisiert alle Änderungen auf 5W - Wer, Was, Wo, Wann, Workstation (Wer, Was, Wo, Wann und Auf welcher Workstation). Mit diesem Format können Sie Ereignisse vereinheitlichen, die aus verschiedenen Quellen empfangen wurden.
Am 2. Juni 2020 wurde eine neue Version von Change Auditor veröffentlicht - 7.1. Es enthält die folgenden wichtigen Verbesserungen:
- Identifizierung von Pass-the-Ticket-Bedrohungen (Identifizierung von Kerberos-Tickets mit einem Ablaufdatum, das die Domain-Richtlinie überschreitet, was auf einen möglichen Golden Ticket-Angriff hinweisen kann);
- NTLM- ( NTLM, , v1);
- Kerberos ;
- AD.
Der Screenshot zeigt eine identifizierte Bedrohung mit einer langen Gültigkeitsdauer für Kerberos-Tickets.
Zusammen mit einem anderen Produkt von Quest - On Demand Audit können Sie Hybridumgebungen über eine einzige Schnittstelle überwachen und Anmeldungen in AD, Azure AD und Änderungen in Office 365 überwachen.
Ein weiterer Vorteil von Change Auditor ist die Möglichkeit, direkt oder in ein SIEM-System zu integrieren durch ein anderes Quest-Produkt - InTrust. Wenn Sie eine solche Integration konfigurieren, können Sie automatisierte Aktionen ausführen, um den Angriff über InTrust zu unterdrücken. Im selben Elastic Stack können Sie Ansichten konfigurieren und Kollegen Zugriff auf die Anzeige historischer Daten gewähren.
Um mehr über Change Auditor zu erfahren, laden wir Sie ein, an dem Webinar teilzunehmen, das am 29. Juli um 11:00 Uhr Moskauer Zeit stattfindet. Nach dem Webinar können Sie Ihre Fragen stellen.
Registrieren Sie sich für das Webinar
Weitere Artikel zu Quest-Sicherheitslösungen:
Wer hat das getan? Wir automatisieren die Prüfung der Informationssicherheit.
Verfolgung des Lebenszyklus von Benutzern ohne Zange und Klebeband
Was ist nützlich, um aus den Protokollen einer Workstation mit Windows-Betriebssystem herauszukommen?
Über das Feedback-Formular auf unserer Website können Sie eine Anfrage für eine Beratung, ein Verteilungskit oder ein Pilotprojekt hinterlassen . Es gibt auch Beschreibungen der vorgeschlagenen Lösungen.