image

Несколько лет назад, при начале внедрения Change Auditor в одном банке, мы обратили внимание на огромный массив PowerShell-скриптов, которые выполняли ровно ту же задачу аудита, но кустарным методом. С тех пор прошло много времени, заказчик всё так же пользуется Change Auditor и вспоминает поддержку всех тех скриптов как страшный сон. Тот сон мог стать и кошмаром, если бы человек, который обслуживал скрипты в одно лицо, взял бы да и уволился, второпях забыв передать тайные знания. От коллег мы слышали, что такие случае кое-где случались и это тогда внесло значительный хаос в работу отдела информационной безопасности. В этой статье расскажем об основных преимуществах Change Auditor и анонсируем вебинар 29 июля по этому инструменту автоматизации аудита. Под катом все подробности.

На скриншоте выше — веб-интерфейс IT Security Search со строкой поиска google-like, в котором удобно сортировать события из Change Auditor и настраивать представления.


Change Auditor — мощный инструмент для аудита изменений в инфраструктуре Microsoft, дисковых массивах и VMware. Поддерживаeтся аудит: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Есть предустановленные отчёты на соответствие стандартам GDPR, SOX, PCI, HIPAA, FISMA, GLBA.

Сбор метрик с серверов Windows происходит агентным способом, что позволяет выполнять аудит при помощи глубокой интеграции в вызовы внутри AD и, как пишет сам вендор, этот метод выявляет изменения даже в глубоко вложенных группах и привносит меньшую нагрузку, чем при записи, чтении и извлечении логов (так работают конкурирующие решения). Проверить можно на высокой нагрузке. Как следствие такой низкоуровневой интеграции — в Quest Change Auditor можно наложить вето на внесение определённых изменений для определённых объектов даже пользователям уровня Enterprise Admin. Т.е защититься от злонамеренных администраторов AD.

В Change Auditor все изменения нормализуются к виду 5W — Who, What, Where, When, Workstation (Кто, Что, Где, Когда и на какой рабочей станции). Этот формат позволяет унифицировать получаемые из разных источников события.

2 июня 2020 года вышла новая версия Change Auditor — 7.1. В ней появились следующие ключевые улучшения:

  • выявление угроз Pass-the-Ticket (выявление Kerberos Tickets со сроком действия, превышающим политику домена, что может указывать на потенциальную атаку типа Golden Ticket);
  • аудит удачных и неудачных NTLM-аутентификаций (можно определять версию NTLM, и оповещать о приложениях, которые используют v1);
  • аудит удачных и неудачных Kerberos аутентификаций;
  • разворачивание агентов для аудита в соседнем лесу AD.

image
На скриншоте выявленная угроза с длительным периодом действия Kerberos Ticket.

Вместе с другим продуктом от Quest — On Demand Audit, можно выполнять аудит гибридных окружений из единого интерфейса и следить за логонами в AD, Azure AD и изменениях в Office 365.

Ещё одно преимущество Change Auditor — это возможность коробочной интеграции с SIEM-системой напрямую или через другой продукт Quest — InTrust. Если настроить подобную интеграцию, можно через InTrust выполнять автоматизированные действия по подавлению атаки, а в том же Elastic Stack настроить представления и дать доступ коллегам для просмотра исторических данных.

image

Чтобы узнать больше о Change Auditor, приглашаем вас посетить вебинар, который состоится 29 июля в 11 часов по московскому времени. После вебинара вы сможете задать интересующие вопросы.

Регистрация на вебинар

Другие статьи о решениях Quest для безопасности:

А кто это сделал? Автоматизируем аудит информационной безопасности

Отслеживание жизненного цикла пользователей без плоскогубцев и изоленты

Что полезного можно вытащить из логов рабочей станции на базе ОС Windows

Оставить заявку на получение консультации, дистрибутива или на пилотный проект вы можете через форму обратной связи на нашем сайте. Там же есть описания предлагаемых решений.