[IT-инфраструктура, Microsoft Azure, Информационная безопасность, Софт] Вебинар по Quest Change Auditor — решению для аудита событий информационной безопасности
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Несколько лет назад, при начале внедрения Change Auditor в одном банке, мы обратили внимание на огромный массив PowerShell-скриптов, которые выполняли ровно ту же задачу аудита, но кустарным методом. С тех пор прошло много времени, заказчик всё так же пользуется Change Auditor и вспоминает поддержку всех тех скриптов как страшный сон. Тот сон мог стать и кошмаром, если бы человек, который обслуживал скрипты в одно лицо, взял бы да и уволился, второпях забыв передать тайные знания. От коллег мы слышали, что такие случае кое-где случались и это тогда внесло значительный хаос в работу отдела информационной безопасности. В этой статье расскажем об основных преимуществах Change Auditor и анонсируем вебинар 29 июля по этому инструменту автоматизации аудита. Под катом все подробности.
На скриншоте выше — веб-интерфейс IT Security Search со строкой поиска google-like, в котором удобно сортировать события из Change Auditor и настраивать представления.
Change Auditor — мощный инструмент для аудита изменений в инфраструктуре Microsoft, дисковых массивах и VMware. Поддерживаeтся аудит: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Есть предустановленные отчёты на соответствие стандартам GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
Сбор метрик с серверов Windows происходит агентным способом, что позволяет выполнять аудит при помощи глубокой интеграции в вызовы внутри AD и, как пишет сам вендор, этот метод выявляет изменения даже в глубоко вложенных группах и привносит меньшую нагрузку, чем при записи, чтении и извлечении логов (так работают конкурирующие решения). Проверить можно на высокой нагрузке. Как следствие такой низкоуровневой интеграции — в Quest Change Auditor можно наложить вето на внесение определённых изменений для определённых объектов даже пользователям уровня Enterprise Admin. Т.е защититься от злонамеренных администраторов AD.
В Change Auditor все изменения нормализуются к виду 5W — Who, What, Where, When, Workstation (Кто, Что, Где, Когда и на какой рабочей станции). Этот формат позволяет унифицировать получаемые из разных источников события.
2 июня 2020 года вышла новая версия Change Auditor — 7.1. В ней появились следующие ключевык улучшения:
- выявление угроз Pass-the-Ticket (выявление Kerberos Tickets со сроком действия, превышающим политику домена, что может указывать на потенциальную атаку типа Golden Ticket);
- аудит удачных и неудачных NTLM-аутентификаций (можно определять версию NTLM, и оповещать о приложениях, которые используют v1);
- аудит удачных и неудачных Kerberos аутентификаций;
- разворачивание агентов для аудита в соседнем лесу AD.
На скриншоте выявленная угроза с длительным периодом действия Kerberos Ticket.
Вместе с другим продуктом от Quest — On Demand Audit, можно выполнять аудит гибридных окружений из единого интерфейса и следить за логонами в AD, Azure AD и изменениях в Office 365.
Ещё одно преимущество Change Auditor — это возможность коробочной интеграции с SIEM-системой напрямую или через другой продукт Quest — InTrust. Если настроить подобную интеграцию, можно через InTrust выполнять автоматизированные действия по подавлению атаки, а в том же Elastic Stack настроить представления и дать доступ коллегам для просмотра исторических данных.
Чтобы узнать больше о Change Auditor, приглашаем вас посетить вебинар, который состоится 29 июля в 11 часов по московскому времени. После вебинара вы сможете задать интересующие вопросы.
Регистрация на вебинар
Другие статьи о решениях Quest для безопасности:
А кто это сделал? Автоматизируем аудит информационной безопасности
Отслеживание жизненного цикла пользователей без плоскогубцев и изоленты
Что полезного можно вытащить из логов рабочей станции на базе ОС Windows
Оставить заявку на получение консультации, дистрибутива или на пилотный проект вы можете через форму обратной связи на нашем сайте. Там же есть описания предлагаемых решений.
===========
Источник:
habr.com
===========
Похожие новости:
- В ходе атаки Meow удалено около 4000 общедоступных БД Elasticsearch и MongoDB
- [IT-инфраструктура, Будущее здесь, Энергия и элементы питания] Комплекс аккумуляторов Tesla Megapack емкостью в 800 МВт*ч запитает крупнейший в мире дата-центр
- [IT-инфраструктура, IT-стандарты, Анализ и проектирование систем, Системное администрирование, Финансы в IT] Классификация критичности информационных систем
- [Информационная безопасность, Исследования и прогнозы в IT, Научно-популярное] Как кибербезопасность трансформирует рынок ИТ (часть 2)
- [IT-компании, Информационная безопасность, Социальные сети и сообщества, Умный дом] Издание BleepingComputer опубликовало подробности об атаке вируса-вымогателя на Garmin
- [Гаджеты, Интерфейсы, История IT, Софт, Старое железо] Windows Tablet PC — 10 лет прогресса
- [IT-компании, Системное администрирование, Софт] Microsoft будет принудительно устанавливать обновление May 2020 Update на ПК с Windows 10 версий 1809 и 1903
- [Информационная безопасность] Обучающие видео иранских хакеров утекли в сеть
- [Open source, Работа с 3D-графикой, Софт] Новости Blender3d
- [IT-инфраструктура] Гражданство за инвестиции: как купить паспорт? (часть 3 из 3)
Теги для поиска: #_itinfrastruktura (IT-инфраструктура), #_microsoft_azure, #_informatsionnaja_bezopasnost (Информационная безопасность), #_soft (Софт), #_quest, #_change_auditor, #_intrust, #_security, #_siem, #_soar, #_elasticsearch, #_blog_kompanii_gals_software (
Блог компании Gals Software
), #_itinfrastruktura (
IT-инфраструктура
), #_microsoft_azure, #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_soft (
Софт
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 13:39
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Несколько лет назад, при начале внедрения Change Auditor в одном банке, мы обратили внимание на огромный массив PowerShell-скриптов, которые выполняли ровно ту же задачу аудита, но кустарным методом. С тех пор прошло много времени, заказчик всё так же пользуется Change Auditor и вспоминает поддержку всех тех скриптов как страшный сон. Тот сон мог стать и кошмаром, если бы человек, который обслуживал скрипты в одно лицо, взял бы да и уволился, второпях забыв передать тайные знания. От коллег мы слышали, что такие случае кое-где случались и это тогда внесло значительный хаос в работу отдела информационной безопасности. В этой статье расскажем об основных преимуществах Change Auditor и анонсируем вебинар 29 июля по этому инструменту автоматизации аудита. Под катом все подробности. На скриншоте выше — веб-интерфейс IT Security Search со строкой поиска google-like, в котором удобно сортировать события из Change Auditor и настраивать представления. Change Auditor — мощный инструмент для аудита изменений в инфраструктуре Microsoft, дисковых массивах и VMware. Поддерживаeтся аудит: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Есть предустановленные отчёты на соответствие стандартам GDPR, SOX, PCI, HIPAA, FISMA, GLBA. Сбор метрик с серверов Windows происходит агентным способом, что позволяет выполнять аудит при помощи глубокой интеграции в вызовы внутри AD и, как пишет сам вендор, этот метод выявляет изменения даже в глубоко вложенных группах и привносит меньшую нагрузку, чем при записи, чтении и извлечении логов (так работают конкурирующие решения). Проверить можно на высокой нагрузке. Как следствие такой низкоуровневой интеграции — в Quest Change Auditor можно наложить вето на внесение определённых изменений для определённых объектов даже пользователям уровня Enterprise Admin. Т.е защититься от злонамеренных администраторов AD. В Change Auditor все изменения нормализуются к виду 5W — Who, What, Where, When, Workstation (Кто, Что, Где, Когда и на какой рабочей станции). Этот формат позволяет унифицировать получаемые из разных источников события. 2 июня 2020 года вышла новая версия Change Auditor — 7.1. В ней появились следующие ключевык улучшения:
На скриншоте выявленная угроза с длительным периодом действия Kerberos Ticket. Вместе с другим продуктом от Quest — On Demand Audit, можно выполнять аудит гибридных окружений из единого интерфейса и следить за логонами в AD, Azure AD и изменениях в Office 365. Ещё одно преимущество Change Auditor — это возможность коробочной интеграции с SIEM-системой напрямую или через другой продукт Quest — InTrust. Если настроить подобную интеграцию, можно через InTrust выполнять автоматизированные действия по подавлению атаки, а в том же Elastic Stack настроить представления и дать доступ коллегам для просмотра исторических данных. Чтобы узнать больше о Change Auditor, приглашаем вас посетить вебинар, который состоится 29 июля в 11 часов по московскому времени. После вебинара вы сможете задать интересующие вопросы. Регистрация на вебинар Другие статьи о решениях Quest для безопасности: А кто это сделал? Автоматизируем аудит информационной безопасности Отслеживание жизненного цикла пользователей без плоскогубцев и изоленты Что полезного можно вытащить из логов рабочей станции на базе ОС Windows Оставить заявку на получение консультации, дистрибутива или на пилотный проект вы можете через форму обратной связи на нашем сайте. Там же есть описания предлагаемых решений. =========== Источник: habr.com =========== Похожие новости:
Блог компании Gals Software ), #_itinfrastruktura ( IT-инфраструктура ), #_microsoft_azure, #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_soft ( Софт ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 13:39
Часовой пояс: UTC + 5