ManageEngine creşte eficienţa gestionării investigaţiilor asupra incidentelor de tip Active Directory

ManageEngine creşte eficienţa gestionării investigaţiilor asupra incidentelor de tip Active Directory

722

Noua unealtă pentru căutare găseşte rapid indiciile necesare descoperirii conturilor suspecte:

  •  urmăreşte acţiunile efectuate folosind un anume cont, calculatoarele accesate, schimbările de permisiuni şi simplifică detectarea atacurilor din interior.
  • generează date complete despre orice cont selectat pentru audit.
  • Soluţia ADAudit Plus se poate descărca şi folosi gratuit timp de 30 de zile.

ManageEngine este o companie ce crează soluţii penru gestionarea mediilor IT. Compania a lansat recent noua versiune pentru ADAudit Plus. ADAudit Plus este o soluţie creată pentru audierea sistemului Active Directory. Noua versiune include o unealtă special creată pentru audit, această funcţie furnizează date complete pentru orice acţiune de audit asupra unui cont Active Directory şi permite administratorilor de Active Directory să analizeze incidentele de securitate în mod con textual. ADAudit Plus oferă o funcţie creată special pentru furnizarea unei imagini complete asupra mediului Active Directory şi schimbările ce au loc pe o perioadă de timp.

În timpul unei investigaţii asupra incedentelor de securitate dintr-un mediu Active Directory, administratorii trebuie să investigheze toate acţiunile executate de un atacator şi ce a accesat.

Uneltele convenţionale precum Event Viewer sau PowerShell pot să extragă datele necesare pentru un audit dar nu pot oferi vizibilitatea completă sau contextul asupra tuturor evenimentelor ce au avut loc în infrastructură şi astfel nu pot să garanteze o investigaţie completă. Această problemă devine mai gravă dacă atacul a venit din interior iar atacatorul este un expert în domeniul sistemului Active Directory. Detectarea şi investigarea unui astfel de atac devine foarte complicată. În astfel de situaţii investigatorii trebuie să obţină toate informaţiile, indiferent cât de nesemnificative par. Informaţiile obţinute trebuie vizualizate contextual pentru stabilirea relaţiilor dintre diferite evenimente cu scopul completării cu succes a anchetei.

Balasubramanian Palani, manager, ManageEngine declara: „Din dialogurile pe care le avem cu clienţii noştrii reiese că pe lângă investigarea acţiunilor ce au avut loc folosind un cont compromis, administratorii ce investighează incidentele de securitate de tip AD au nevoie de date despre cum a fost modificat contul pentru a-l compromite. Astfel de date suplimentare pot să arate cum s-a desfăşurat un atac şi cum a fost planificat sau pot chiar dovedi că atacul nu a fost unic ci face parte dintr-un plan pentru un atac mult mai mare. Noua unealtă pentru căutare integrată în ADAudit Plus poate să adune mai multe informaţii care individual sunt irelevante dar împreună sunt critice unui investigator. Această funcţie consolidează astfel de date într-un raport complet ce face indendificarea şi detectarea atacatorului mult mai simplă.”

Ameninţările sunt detectate mult mai uşor cu unealta ADAudit Plus Search Utility

Folosind această nouă funcţie de căutare, administratorii pot să extragă un raport consolidat din trei rapoarte de audit efectuate pe un cont de utilizator (inclusiv administrator) pe o perioadă de timp.

  • Acţiuni efectuate folosind contul: acesta este un raport asupra tuturor schimbărilor de configuraţii ce au fost efectuate folosind contul pe alte obiecte de tip AD.
  • Istoria înregistrării pe cont: Fiecare calculator ce a accesat contul (interactiv sau remote) este notat în raport împreună cu detalii precum orele de înregistrare şi adresele IP
  • Istoria obiectelor: acest raport furnizează datele despre istoria contului şi schimbările ce au fost efectuate asupra sa şi de către cine. De exemplu 27 acest tip de raport poate să arate cine a schimbat permisiunile sau parolele contului.

Fiecare detaliu prezentat în raport este un şi un link ce poate fi accesat pentru a deschide un raport separat asupra acelui detaliu. De asemenea această unealtă de căutare poate crea un raport pentru audit asupra oricărui grup de utilizatori sau obiecte de calculatoare. Aceste rapoarte ar satisface cererile conformităţii în timpul unui audit pe orice cont sau obiect.

Folosind ADAudit Plus un administrator poate să vadă instant ce schimbări a efectuat un atacator în Active Directory şi ce calculatoare au fost compromise. Aceste informaţii permit administratorului să refacă securitatea mediului AD şi să izoleze calculatoarele compromise, astfel efectele unui atac sunt mitigate.

Mai mult ADAudit Plus consolidează toate indiciile într-o singură imagine a atacului. Această imagine analizată va furniza investigatorului contextul necesar găsirii atacatorului sau dezvăluirii planului atacului ce urmează să vină.

Aceste capabilităţi permit administratorilor AD să detecteze ameninţările (mai ales cele venite din interior) ce altfel ar fi detectate dacă evenimentele ar fi fost analizate individual nu ca o singură imagine.

Folosind ADAudit Plus administratorii pot să aibă o imagine completă a schimbărilor ce au loc în mediul Active Directory. Această funcţie a soluţiei ADAudit Plus se numeşte Aggregated Summary. Această funcţie afişează în mod grafic toate schimbările ce au loc în mediul AD (utilizatori, calculatoare, grupuri, OU, DNS şi GPO) pe o perioadă de timp specificată de administrator. Aggregated Summary poate să dezvăluie cine a efecuat aceste schimbări şi de asemenea furnizează data şi statistici despre acţiuni AD din trecut. Mai mult această funcţie furnizează utilizatorilor posibilitatea să caute în această imagine a tuturor schimbărilor ce au loc în mediul AD doar anumite evenimente ce par importante.

Despre ADAudit Plus

ADAudit Plus este o soluţie softwate bazată pe Web destinată raportării schimbărilor ce au loc în mediul Windows Active Directory. Această soluţie audiază şi generează rapoarte necesare îmbunătăţirii securităţii, satisfacerea cerinţelor conformităţii şi trecerea cu succes a verficărilor de tip audit pentru sisteme Windows (Active Directory, logon/logoff pe staţiile de lucru, servere de fişiere şi servere membre), NetAPP şi Servere EMC. ADAudit Plus poate să furnizeze peste 200 de tipuri de rapoarte pentru diferite evenimente şi de asemenea poate să trimită alerte sub formă de email. Astfel ADAudit Plus este capabil să furnizeze protecţie totală unei organizaţii sau firme.

Despre ManageEngine

ManageEngine furnizează unelte pentru gestionarea infrastructurilor IT şi ajută echipele IT să atingă cerinţele unei organizaţii în domeniul serviciilor şi suportului. Mai mult de 60% din firmele incluse în Fortune 500 folosesc produse ManageEngine pentru garantarea performanţei infrastructurii IT (reţeaua, serverele, aplicaţiile, calculatoarele etc).ManageEngine este o divizie a corporaţiei ZOHO cu birouri în întreaga lume: US, India, Singapore, Japonia şi China.

Produsele ManageEngine sunt disponibile în România prin intermediul distribuitorului autorizat Romsym Data (www.romsym.ro)!