几年前,当我们开始在一家银行中实施Change Auditor时,我们注意到大量的PowerShell脚本执行了完全相同的审核任务,但是使用了一个临时方法。从那时起已经过去了很多时间,客户仍然使用Change Auditor,并记得所有这些脚本的支持都是一个噩梦。如果在一个人中担任脚本的人匆匆忙忙地遗忘转移秘密知识,那么这个梦想也可能成为噩梦。我们从同事那里听说,这种情况到处都是,这给信息安全部门的工作带来了很大的混乱。在本文中,我们将重点介绍Change Auditor的主要优点,并于7月29日宣布有关此审计自动化工具的网络研讨会。所有细节都在剪裁中。
— - IT Security Search google-like, Change Auditor .
Change Auditor是用于审核Microsoft基础结构,磁盘阵列和VMware更改的强大工具。支持审核:AD,Azure AD,SQL Server,Exchange,Exchange Online,Sharepoint,Sharepoint Online,Windows文件服务器,OneDrive for Business,Skype for Business,VMware,NetApp,EMC,FluidFS。预先安装了符合GDPR,SOX,PCI,HIPAA,FISMA,GLBA标准的报告。
度量是通过基于代理的方式从Windows服务器收集的,这使您可以使用对AD内部调用的深度集成来执行审核,并且正如供应商本人所写的那样,该方法甚至可以检测到深度嵌套的组中的更改,并且与写入,读取和检索日志时相比,负载更少(这是竞争解决方案的工作方式)。您可以在高负载下进行检查。作为这种低级集成的结果,在Quest Change Auditor中,您可以否决某些对象的某些更改,甚至是Enterprise Admin用户。即保护自己免受恶意AD管理员的侵害。
在Change Auditor中,所有更改均标准化为5W-谁,什么,什么地方,什么时候,工作站(谁,什么,什么地方,什么时候以及在哪个工作站上)。此格式允许您统一从不同来源收到的事件。
2020年6月2日,发布了新版本的Change Auditor-7.1。它引入了以下关键改进:
- 识别票证威胁(识别过期日期超过域策略的Kerberos票证,这可能表示潜在的金票攻击);
- NTLM- ( NTLM, , v1);
- Kerberos ;
- AD.
屏幕快照显示了已确定的威胁,该威胁具有较长的Kerberos票证有效期。
与另一项Quest产品-按需审核一起,您可以从单个界面审核混合环境,并监视对AD,Azure AD和对Office 365
的更改的登录。Change Auditor的另一个优势是可以直接或与SIEM系统集成通过另一个Quest产品-InTrust。如果配置了这种集成,则可以执行自动操作来抑制通过InTrust发起的攻击,并且可以在同一Elastic Stack中配置视图并授予同事访问历史数据的权限。
要了解有关Change Auditor的更多信息,我们邀请您参加将于7月29日莫斯科时间11:00举行的网络研讨会。网络研讨会结束后,您可以提出问题。
注册网络研讨会
有关Quest Security Solutions的更多文章:
谁做了?我们会自动进行信息安全审核,
无需使用钳子和胶带即可跟踪用户的生命周期
从基于Windows OS的工作站日志中获取有用的信息您可以
通过我们网站上的反馈表提出咨询,分发工具包或试点项目的请求。也有对建议的解决方案的描述。