数年前、ある銀行でChange Auditorの実装を開始したとき、まったく同じ監査タスクを実行するが、その場しのぎの方法を使用するPowerShellスクリプトの膨大な配列に気づきました。それからかなりの時間が経過しましたが、顧客はまだChange Auditorを使用しており、これらすべてのスクリプトのサポートを悪い夢として覚えています。その夢は、一人で台本を提供した人が、秘密の知識を伝えることを急いで忘れて、取ってやめたとしたら、悪夢になっていたかもしれません。そのような事件がいくつかの場所で起こり、それが情報セキュリティ部門の仕事にかなりの混乱をもたらしたと同僚から聞いた。この記事では、Change Auditorの主な利点に焦点を当て、この監査自動化ツールに関するウェビナーを7月29日に発表します。すべての詳細はカットの下にあります。
— - IT Security Search google-like, Change Auditor .
Change Auditorは、Microsoftインフラストラクチャ、ディスクアレイ、およびVMwareへの変更を監査するための強力なツールです。サポートされている監査:AD、Azure AD、SQL Server、Exchange、Exchange Online、Sharepoint、Sharepoint Online、Windows File Server、OneDrive for Business、Skype for Business、VMware、NetApp、EMC、FluidFS。 GDPR、SOX、PCI、HIPAA、FISMA、GLBA標準に準拠するためのレポートがプリインストールされています。
メトリックはエージェントベースの方法でWindowsサーバーから収集されます。これにより、AD内の呼び出しへの深い統合を使用して監査を実行できます。ベンダー自身が記述しているように、このメソッドは、深くネストされたグループでも変更を検出し、ログの書き込み、読み取り、取得よりも負荷が少なくなります。 (これが競合するソリューションの仕組みです)。高負荷で確認できます。この低レベルの統合の結果として、Quest Change Auditorでは、Enterprise Adminユーザーであっても、特定のオブジェクトの特定の変更を拒否できます。つまり、悪意のあるAD管理者から身を守ります。
Change Auditorは、すべての変更を5Wに正規化します-誰が、何を、どこで、いつ、ワークステーション(誰が、何を、どこで、いつ、どのワークステーションで)。この形式では、さまざまなソースから受信したイベントを統合できます。
2020年6月2日に、ChangeAuditorの新しいバージョンがリリースされました-7.1。次の重要な改善点があります。
- Pass-the-Ticketの脅威の特定(有効期限がドメインポリシーを超えるKerberosチケットの特定。これは潜在的なゴールデンチケット攻撃を示している可能性があります)。
- NTLM- ( NTLM, , v1);
- Kerberos ;
- AD.
スクリーンショットは、Kerberosチケットの有効期間が長い検出された脅威を示しています。
別のQuest製品であるオンデマンド監査とともに、単一のインターフェイスからハイブリッド環境を監査し、AD、Azure ADへのログイン、およびOffice 365への変更を監視できます。ChangeAuditor
のもう1つの利点は、SIEMシステムと直接統合できることです。別のQuest製品を介して-InTrust。このような統合を構成すると、自動化されたアクションを実行してInTrustを介した攻撃を抑制でき、同じElastic Stackでビューを構成して、同僚に履歴データを表示するためのアクセスを許可できます。
Change Auditorの詳細については、7月29日11:00モスクワ時間に開催されるウェビナーにご参加ください。ウェビナーの後、質問をすることができます。
ウェビナーに登録するQuestSecurity
Solutionsに関するその他の記事:
誰がやったのか?情報セキュリティの監査を自動化し
ます。プライヤーやダクトテープを使用せずにユーザーのライフサイクルを追跡
します。WindowsOSに基づくワークステーションのログから役立つこと
相談、配布キット、またはパイロットプロジェクトのリクエストは、当社のWebサイトのフィードバックフォームから残すことができます。提案されたソリューションの説明もあります。