Vários anos atrás, quando começamos a implementar o Change Auditor em um banco, notamos uma grande variedade de scripts do PowerShell que executavam exatamente a mesma tarefa de auditoria, mas com um método improvisado. Muito tempo se passou desde então, o cliente ainda usa o Change Auditor e se lembra do suporte de todos aqueles scripts como um pesadelo. Esse sonho poderia ter se tornado um pesadelo se a pessoa que serviu os scripts em uma pessoa pegasse e desistisse, com pressa esquecendo de transferir conhecimento secreto. Ouvimos de colegas que tais casos aconteceram em alguns lugares e que então trouxeram um caos considerável ao trabalho do departamento de segurança da informação. Neste artigo, vamos destacar os principais benefícios do Change Auditor e anunciar um webinar em 29 de julho sobre esta ferramenta de automação de auditoria. Todos os detalhes estão sob o corte.
— - IT Security Search google-like, Change Auditor .
O Change Auditor é uma ferramenta poderosa para auditar alterações na infraestrutura da Microsoft, matrizes de disco e VMware. Auditoria com suporte: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Servidor de arquivos do Windows, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Existem relatórios pré-instalados para conformidade com os padrões GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
A coleta de métricas de servidores Windows ocorre de forma baseada em agente, o que permite realizar auditoria usando integração profunda em chamadas dentro do AD e, conforme o próprio fornecedor escreve, este método detecta mudanças mesmo em grupos profundamente aninhados e introduz menos carga do que ao escrever, ler e recuperar logs (é assim que as soluções concorrentes funcionam) Você pode verificar em alta carga. Como consequência dessa integração de baixo nível, no Quest Change Auditor, você pode vetar certas alterações para certos objetos, mesmo para usuários de Administração Corporativa. Ou seja, proteja-se de administradores maliciosos do AD.
O Change Auditor normaliza todas as alterações para 5W - Quem, O quê, Onde, Quando, Estação de Trabalho (Quem, O quê, Onde, Quando e em qual estação de trabalho). Este formato permite unificar eventos recebidos de diferentes fontes.
Em 2 de junho de 2020, uma nova versão do Change Auditor foi lançada - 7.1. Ele apresenta as seguintes melhorias principais:
- identificação de ameaças Pass-the-Ticket (identificação de Kerberos Tickets com uma data de validade que excede a política de domínio, o que pode indicar um potencial ataque Golden Ticket);
- NTLM- ( NTLM, , v1);
- Kerberos ;
- AD.
A captura de tela mostra uma ameaça detectada com um longo período de validade do tíquete Kerberos.
Junto com outro produto da Quest - On Demand Audit, você pode auditar ambientes híbridos de uma única interface e monitorar logins no AD, Azure AD e alterações no Office 365.
Outra vantagem do Change Auditor é a capacidade de integração com um sistema SIEM diretamente ou por meio de outro produto Quest - InTrust. Se você configurar essa integração, poderá executar ações automatizadas para suprimir o ataque por meio do InTrust e, no mesmo Elastic Stack, poderá configurar visualizações e dar aos colegas acesso para visualizar dados históricos.
Para saber mais sobre o Change Auditor, convidamos você a participar do webinar que acontecerá no dia 29 de julho às 11:00, horário de Moscou. Após o webinar, você pode fazer suas perguntas.
Inscreva-se no webinar
Mais artigos sobre Soluções de segurança da Quest:
Quem fez isso? Automatizamos a auditoria de segurança da informação
Rastreando o ciclo de vida dos usuários sem alicate e fita adesiva
O que é útil tirar dos logs de uma estação de trabalho baseada em SO Windows Você pode
deixar um pedido de consulta, kit de distribuição ou projeto piloto através do formulário de feedback em nosso site. Também há descrições das soluções propostas.