Como o ADAudit Plus elimina pontos cegos na auditoria e oferece visibilidade detalhada do seu ambiente do Active Directory

A auditoria do Active Directory (AD) concentra-se em aspectos como quem fez o quê, quando e de onde dentro da sua rede. A auditoria do AD e o monitoramento SIEM estão intimamente relacionados, mas desempenham duas funções distintas na segurança cibernética.

O monitoramento SIEM mostra como uma mudança está relacionada a um ataque ou incidente. Juntos, eles permitem investigações mais rápidas, análises precisas da causa raiz e uma postura de segurança mais robusta. As ferramentas de auditoria oferecem visibilidade completa das atividades da sua rede, fornecendo os detalhes granulares essenciais para suas soluções de SIEM.

Nossa equipe de implementação observou um cliente que utilizava o Netwrix Auditor, um software de auditoria de TI. Infelizmente, a equipe de segurança da organização identificou várias lacunas de auditoria e enfrentou desafios ao utilizá-lo. Isso acabou levando a equipe a avaliar alternativas e, por fim, substituir o Netwrix Auditor pelo ADAudit Plus.

Quais eram os pontos cegos na auditoria?

A equipe de segurança da organização destacou as seguintes lacunas de auditoria:

  1. Mudanças em GPOs: os GPOs são a espinha dorsal de um ambiente AD. Portanto, a equipe de segurança precisava de informações detalhadas sobre quais políticas foram modificadas, quais configurações foram alteradas, quem as iniciou e quando elas ocorreram.

  2. Mudanças administrativas: administradores e técnicos têm privilégios para realizar mudanças críticas no AD. Sem auditoria, configurações incorretas ou ações maliciosas poderiam passar despercebidas.

  3. Auditoria de logon: as soluções de SIEM não conseguiam fornecer detalhes contextuais. Por exemplo, quando ocorre um bloqueio de conta, as causas podem variar consideravelmente. O usuário pode ter digitado a senha errada ou tarefas em segundo plano podem ter usado credenciais desatualizadas.  Sem os dados contextuais, os administradores são obrigados a inspecionar manualmente os logs, atrasando a resolução imediata e aumentando o risco.

  4. Monitoramento da integridade de arquivos: a maior sobrecarga operacional era gerenciar e auditar 12TB de compartilhamentos de arquivos. Monitorar as mudanças de arquivos feitas por cada usuário em um volume tão grande tornou-se uma tarefa exaustiva.

Além desses desafios, a equipe teve dificuldade em usar o Netwrix Auditor. A equipe afirmou que a ferramenta tinha opções de personalização limitadas e carecia de uma interface intuitiva para o usuário.

Como o ADAudit Plus supriu as lacunas na auditoria

  1. O ADAudit Plus oferecia relatórios integrados e abrangentes para a auditoria de GPO. Além de monitorar eventos de criação, exclusão e modificação, a solução fornecia dados detalhados sobre as mudanças de configuração, incluindo valores novos e anteriores.

  1. O relatório “Ações do usuário administrativo” permitiu o acompanhamento completo das atividades realizadas pelos administradores em relação a usuários, grupos, computadores, unidades organizacionais (OUs) e objetos de política global (GPOs).

3. A equipe de segurança obteve visibilidade total de todas as atividades de login e logoff dos usuários e pôde avaliar a produtividade dos usuários por meio dos Relatórios de Login do Usuário. Esses relatórios detalhavam quem efetuou o login, o dispositivo utilizado, o servidor de autenticação e a hora exata do login.

Em investigações relacionadas ao bloqueio de contas, o Attack Surface Analyzer forneceu informações contextuais ao examinar processos, serviços e aplicações nas quais as credenciais foram utilizadas.

  1. Com o apoio da nossa equipe de implementação, a auditoria foi habilitada de forma integrada em 12 TB de compartilhamentos de arquivos. Com a ajuda dos Relatórios Baseados em Compartilhamentos, a equipe passou a poder acompanhar todas as modificações em arquivos e pastas, mudanças de permissões e atualizações de propriedade a partir de um único console.

Além disso, os relatórios baseados no servidor e os relatórios baseados no usuário permitiram que a equipe investigasse a atividade dos arquivos por localização ou por usuário individual.

5. A personalização revelou-se outra grande vantagem. A equipe pôde gerar relatórios personalizados utilizando filtros como IDs de evento, definir formatos de visualização preferidos e programar o envio automático de relatórios.

Ao adotar o ADAudit Plus, a equipe de segurança eliminou seus pontos cegos e reduziu seus custos operacionais. A solução permitiu que a equipe coletasse informações detalhadas sobre seu ambiente AD e as integrasse a soluções de SIEM, obtendo assim uma visão mais abrangente e clara da infraestrutura.

As soluções de auditoria tornaram-se essenciais, pois permitem que as organizações monitorem de perto as mudanças realizadas na infraestrutura de TI, identifiquem riscos e previnam possíveis ataques.

O ADAudit Plus oferece relatórios abrangentes para auditar seu ambiente AD de forma eficaz e fornece informações detalhadas para suas soluções de SIEM. Descubra como esta solução elimina lacunas na auditoria e garante visibilidade completa do seu ambiente.

Artigo traduzido. Conteúdo original escrito por Ramprashad Guruswamy.

Nota: Encontre a revenda da ManageEngine certa. Entre em contato com a nossa equipe de canais pelo e-mail latam-sales@manageengine.com.

Importante: a ManageEngine não trabalha com distribuidores no Brasil