Hace varios años, cuando comenzamos a implementar Change Auditor en un banco, notamos una gran variedad de scripts de PowerShell que realizaban exactamente la misma tarea de auditoría, pero con un método improvisado. Ha pasado mucho tiempo desde entonces, el cliente todavía usa Change Auditor y recuerda el soporte de todos esos scripts como una pesadilla. Ese sueño podría haberse convertido en una pesadilla si la persona que entregó los guiones en una sola persona tomara y renunciara, rápidamente olvidándose de transmitir el conocimiento secreto. Escuchamos a nuestros colegas que tales casos ocurrieron en algunos lugares y que luego trajeron un caos considerable al trabajo del departamento de seguridad de la información. En este artículo, destacaremos los beneficios clave de Change Auditor y anunciaremos un seminario web el 29 de julio sobre esta herramienta de automatización de auditoría. Todos los detalles están debajo del corte.
— - IT Security Search google-like, Change Auditor .
Change Auditor es una poderosa herramienta para auditar cambios en la infraestructura de Microsoft, matrices de discos y VMware. Auditoría compatible: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Hay informes preinstalados para el cumplimiento de los estándares GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
La recopilación de métricas de los servidores de Windows se produce de forma basada en agentes, lo que le permite realizar auditorías mediante una integración profunda en las llamadas dentro de AD y, como escribe el propio proveedor, este método detecta cambios incluso en grupos profundamente anidados e introduce menos carga que al escribir, leer y recuperar registros. (así es como funcionan las soluciones de la competencia). Puede comprobarlo a alta carga. Como consecuencia de esta integración de bajo nivel, en Quest Change Auditor, puede vetar ciertos cambios para ciertos objetos, incluso para los usuarios de Enterprise Admin. Es decir, protéjase de administradores de AD malintencionados.
Change Auditor normaliza todos los cambios a 5W: quién, qué, dónde, cuándo, estación de trabajo (quién, qué, dónde, cuándo y en qué estación de trabajo). Este formato le permite unificar eventos recibidos de diferentes fuentes.
El 2 de junio de 2020, se lanzó una nueva versión de Change Auditor: 7.1. Introduce las siguientes mejoras clave:
- identificación de amenazas Pass-the-Ticket (identificación de Tickets Kerberos con una fecha de vencimiento que excede la política de dominio, lo que puede indicar un posible ataque Golden Ticket);
- NTLM- ( NTLM, , v1);
- Kerberos ;
- AD.
La captura de pantalla muestra una amenaza identificada con un largo período de validez del ticket Kerberos.
Junto con otro producto de Quest, On Demand Audit, puede auditar entornos híbridos desde una única interfaz y supervisar los inicios de sesión en AD, Azure AD y los cambios en Office 365.
Otra ventaja de Change Auditor es la capacidad de integrarse con un sistema SIEM directamente o a través de otro producto de Quest: InTrust. Si configura dicha integración, puede realizar acciones automatizadas para suprimir el ataque a través de InTrust, y en el mismo Elastic Stack puede configurar vistas y dar acceso a sus colegas para ver datos históricos.
Para obtener más información sobre Change Auditor, lo invitamos a asistir al seminario web que tendrá lugar el 29 de julio a las 11:00 hora de Moscú. Después del seminario web, puede hacer sus preguntas.
Regístrese para el seminario web
Más artículos sobre las soluciones de seguridad de Quest:
¿Quién lo hizo? Automatizamos la auditoría de seguridad de la información
Seguimiento del ciclo de vida de los usuarios sin alicates ni cinta adhesiva
Qué puede resultar útil de los logs de una estación de trabajo basada en SO Windows Puede
dejar una solicitud de consulta, un kit de distribución o un proyecto piloto a través del formulario de comentarios de nuestra web. También hay descripciones de las soluciones propuestas.