- Hurtige links
- Overvågning af Active Directory
- Overvågning af Active Directory
- Analyse af kontospærring
- Software til overvågning af login
- Overvågning af ændringer af rettigheder
- Overvågning af ændringer af gruppepolitikobjekter
- Active Directory overvågnings- og rapporteringsværktøj
- GPO-rapporteringsværktøj
- Entra ID-rapportering
- Overvågning af privilegerede brugere
- Overvågning af filservere
- Windows Server-overvågning
- Sporing af medarbejdere
- Overvågning af arbejdsstationer
- Complianceovervågning
- Andre funktioner
- Relaterede produkter
- Log360 (On-Premise | Cloud) Integreret SIEM med avanceret trusselsanalyse og ML-drevet UEBA
- ADManager Plus Active Directory, Microsoft 365 og Exchange-administration og -rapportering
- ADAudit Plus Real-time Active Directory, fil- og revision af Windows-serverændring
- ADSelfService Plus Selvbetjening af adgangskode, MFA-slutpunkt, betinget adgang og SSO-virksomhed
- DataSecurity Plus Filrevision, forebyggelse af datalæk og datarisikovurdering
- Exchange Reporter Plus Rapportering, revision og overvågning for hybrid Exchange og Skype
- M365 Manager Plus Microsoft 365 styring, rapportering og revision
- RecoveryManager Plus Active Directory, Office 365 og Exchange Backup og Recovery
- SharePoint Manager Plus Sharepoint rapportering og revision
- AD360 Arbejdsstyrkens identitet og adgangsstyring for hybride økosystemer
Analyse af kontolåsning med ADAudit Plus
Identificer låsningskilden
Kontolåsningsanalysatoren sporer hver låsning tilbage til dens oprindelse. Den identificerer enheden, tjenesten eller det tilknyttede drev, der bruger forkerte legitimationsoplysninger.
Advar dit team i realtid
Standardprofilen for kontolåsningsadvarsel udløses, så snart en låsning opstår. Den giver kontonavn, kildemaskine og IP-adresse. Den kan også automatisk oprette en sag i din ITSM-platform.
Revider ændringer i låsningspolitikken
Hver ændring af din kontolåsningsgrænse, varighed eller nulstillingsinterval registreres med før- og efterværdier samt identiteten på den, der foretog ændringen.
Registrer mønstre for låsningsangreb
Maskinlæring fastlægger normal låsningsfrekvens for dit domæne og markerer spidsbelastninger og aktivitet uden for arbejdstid, der er forenelig med brute-force- eller password spray-forsøg.
Reager, før skaden spreder sig
Konfigurerbare advarselstærskler adskiller en enkelt fejlslagen adgangskode fra et aktivt credential-stuffing-forsøg. Det gør det muligt for dit team at prioritere og håndtere de mest presserende problemer.
Dæk on-premises og Entra ID
En enkelt konsol viser låsningshændelser på tværs af on-premises Active Directory og Microsoft Entra ID, med hybrid korrelation for miljøer, der kører begge dele.
Hvad er et værktøj til kontolåsning?
Et værktøj til kontolåsning identificerer, hvorfor en brugerkonto i Active Directory blev låst, og hvor den låsende autentificering stammede fra. Når en domænekonto overskrider tærsklen for forkerte adgangskoder i din kontolåsningspolitik, låser Windows den. Selve låsningshændelsen er enkel at registrere, men det kræver korrelation af Event ID 4740 på tværs af flere domænecontrollere og rekonstruktion af en tidslinje ud fra fragmenterede data at spore den tilbage til kilden. ADAudit Plus erstatter hele den manuelle proces.
Find låsningskilden med det samme
Kontolåsningsanalysatoren går videre end blot at registrere, hvilken domænecontroller der registrerede låsningen. Den identificerer, hvad der forårsagede den, og peger kilden ud til den specifikke enhed, tjeneste eller legitimationsopbevaring. Du får låsningskilden, klientmaskinen, IP-adressen og den foregående logonhistorik i én rapportlinje.
De mest almindelige kilder, som analysatoren afslører:
- Forældede legitimationsoplysninger gemt på en enhed efter en adgangskodeændring
- Tilknyttede drev, der autentificerer med en gammel adgangskode
- Mobile enheder, der bruger cachelagrede legitimationsoplysninger, som ikke er blevet opdateret
- Planlagte opgaver eller tjenester, der kører under kontoen med en forældet adgangskode
Identificer den primære kilde til kontinuerlige AD-kontolåsninger ved at analysere flere komponenter, herunder netværksdrevstilknytninger, proceslister, applikationer og mere.
Få mere indsigt i låste brugerkonti ved at analysere nylige logondetaljer.
Spor hver låsningshændelse på tværs af domænet
En enkelt låsning er som regel en supportticket. Et mønster af låsninger på tværs af flere konti eller arbejdsstationer er et sikkerhedssignal. ADAudit Plus giver dig det fulde billede på tværs af domænet via forudbyggede rapporter:
- Nyligt låste brugere: giver dig hver låsningshændelse på tværs af alle domænecontrollere i én visning, så du kan opdage gentagne mønstre, gentagne konti og distribuerede spidsbelastninger.
- Nyligt oplåste brugere: registrerer hver oplåsningshandling med identiteten på den, der udførte den, og hvornår, hvilket giver dig et fuldstændigt revisionsspor sammen med låsningsposten.
- Logonforsøg fra låste brugere: viser autentificeringsforsøg foretaget af konti, der allerede er låst. Fortsatte forsøg efter låsning er et pålideligt tegn på et automatiseret angreb, ikke en forvirret bruger.
Alle tre henter centralt fra hver domænecontroller. Du behøver aldrig logge ind på individuelle DC'er eller sammensætte et billede ud fra flere sikkerhedshændelseslogge.
Find nyligt låste AD-brugerkonti og deres relevante detaljer, herunder hvornår, hvorfra og af hvem.
Overvåg og revider ændringer i låsningspolitikken
At hæve låningstærsklen eller forkorte låsningsvarigheden gør dit miljø mærkbart mere sårbart over for adgangskodegættende angreb. ADAudit Plus sporer hver ændring i disse indstillinger via rapporten Account Lockout Policy Changes og registrerer, hvem der foretog ændringen, hvad før- og efterværdierne var for låsningstærsklen, varigheden og nulstillingsintervallet, samt det nøjagtige tidsstempel for hver ændring.
For strammere kontrol kan du konfigurere en dedikeret advarsel kun for Account Lockout Policy Changes, så det rette team får besked i det øjeblik, nogen rører ved disse indstillinger.
Registrer låsningsafvigelser med brugeradfærdsanalyse
Isolerede kontolåsninger er almindelige. En pludselig stigning i låsninger på tværs af flere konti eller en klynge af låsninger kl. 3 om natten er det ikke. ADAudit Plus anvender maskinlæring til at opbygge et baselinebillede af normal låsningsaktivitet for dit domæne og markerer derefter afvigelser i det øjeblik, de opstår. To dedikerede UBA-rapporter i fanen Analytics håndterer dette:
- Usædvanligt højt antal låsninger: udløses, når låsningsfrekvensen overstiger den lærte domænebaseline. En stigning, der er forenelig med et brute-force- eller password spray-forsøg, vil blive vist her, før volumen begynder at påvirke normale brugere.
- Usædvanligt tidspunkt for låsningsaktivitet: marker lsningshændelser, der forekommer uden for det normale tidsvindue for dit domæne. Låsninger mod privilegerede konti kl. 2 eller 3 om natten er ikke en fejlkfiguration. Det er et angreb i gang.
Få realtidsadvarsler om kontolåsninger
Dit team skal vide det i det øjeblik, en låsning udløses, ikke når de åbner næste morgens rapport. ADAudit Plus leveres med en standardprofil for kontolåsning advarselsprofil der virker med det samme. Når den udløses, sætter advarslen dit team i stand til at handle med det samme:
- Du ved, hvilken konto der blev låst, så du kan kontakte den rigtige bruger uden opslag.
- Du ved, hvilken maskine og IP-adresse der forårsagede det, så du kan afgøre, om kilden er en kendt virksomheds-enhed eller noget uventet.
- Du ved, hvilken domænecontroller der registrerede hændelsen, så undersøgelsen starter det rette sted.
Når advarslen udløses, kan ADAudit Plus også automatisk oprette en sag i din ITSM-platform. Understøttede integrationer omfatter ServiceNow, Jira, Zendesk, ManageEngine Service Desk Plus, Freshservice og Kayako. Sagen leveres forudfyldt med hændelsesdetaljer, så dit helpdesk-team har det, de skal bruge, uden at vente på sikkerhedsteamet.
For miljøer, hvor låsninger forventes at være sjældne, kan du angive en brugerdefineret tærskel, så meddelelser kun udløses efter et defineret antal hændelser inden for et glidende vindue, hvilket adskiller en bruger, der skrev sin adgangskode forkert to gange, fra et aktivt credential-stuffing-forsøg mod dit domæne.
Udvid synligheden af låsninger til Microsoft Entra ID
Kontolåsninger er ikke begrænset til on-premises Active Directory. Microsoft Entra ID, tidligere kendt som Azure Active Directory (Azure AD), håndhæver sin egen låsningspolitik for cloud-autentificerede konti. Et hybridmiljø kan give låsninger i begge kataloger samtidig. ADAudit Plus giver dig en enkelt konsol til begge. Fanen Cloud Directory dækker:
- Konti låst ude: gør det muligt at handle på Entra ID-låsningshændelser med det samme, med den udløsende applikation, kilde-IP-adresse, geolokation og MFA-detaljer allerede vist i samme post.
- Hybrid logonaktivitet: korrigerer sign-in-hændelser på tværs af on-premises AD og Microsoft Entra ID, så du kan afgøre, om en låsning i det ene katalog er forbundet med autentificeringsaktivitet i det andet.
- Login by PasswordSpray Account: gør det muligt at reagere på et password spray-angreb i Entra ID, før det omsættes til en stigning i on-premises låsninger, et cloud-side signal, der ofte går forud for credential-angreb on-premises.
Når en låsningsstigning rammer begge kataloger på samme tid, er det den korrelerede visning, der gør det muligt for dig straks at eskalere til en incident response-workflow i stedet for at bruge den første time på at udelukke en tilfældighed.
Find låste Entra ID-brugerkonti og deres relevante detaljer, herunder User Principal Name, On-prem SID, opkalder-IP og mere
Hvorfor indbyggede værktøjer kommer til kort
Microsoft leverer to gratis værktøjer (LockoutStatus.exe og ALTools.exe) til undersøgelse af kontolåsninger, og begge har reelle begrænsninger. Ingen af værktøjerne håndterer:
- Realtidsadvarsler, når en låsning opstår
- Historisk trendanalyse eller baselines for låsningsfrekvens
- UBA-drevet anomalidetektion for låsningsspidser
- Automatisk oprettelse af ITSM-sager
- Et centraliseret revisionsspor på tværs af alle domænecontrollere uden manuel CSV-korrelation
- Dækning af Microsoft Entra ID-låsningshændelser
I ethvert miljø, hvor låsninger påvirker forretningskontinuiteten, udløser supporttickets eller skal korreleres med sikkerhedshændelser, koster disse huller reel tid. ADAudit Plus dækker det hele: identifikation af rodårsag, realtidsadvarsler, oprettelse af ITSM-sager og dækning af Entra ID, uden manuel logkorrelation eller undersøgelse på hver enkelt maskine.
4 overbevisende grunde til at vælge ADAudit Plus
Bredt anerkendt
ADAudit Plus er blevet anerkendt som Gartner Peer Insights Customers' Choice for Security Incident & Event Management (SIEM) i fire år i træk.
Nem implementering
Gå fra download af ADAudit Plus til at modtage foruddefinerede rapporter og advarsler på under 30 minutter, uden nogen professionel hjælp.
Konkurrencedygtig prisfastsættelse
ADAudit Plus licenseres pr. server, i modsætning til andre IT-auditværktøjer, som licenseres pr. bruger. Med pr.-server-licensering kan du fortsætte med at indsamle logdata uden ekstra omkostninger, selv med et stigende antal brugere hvert år.
En samlet visning
ADAudit Plus samler auditing, sikkerhed og compliance på tværs af Active Directory, Entra ID, Windows-servere, arbejdsstationer og filservere i ét enkelt overblik og eliminerer behovet for at jonglere med flere værktøjer.
Ofte stillede spørgsmål
De mest almindelige årsager er forældede legitimationsoplysninger på en enhed efter en adgangskodeændring, tilknyttede netværksdrev, der godkender med en gammel adgangskode, mobile enheder, der bruger cachelagrede legitimationsoplysninger, samt planlagte opgaver eller tjenester, der kører med en forældet adgangskode. Account Lockout Analyzer identificerer præcist, hvilken der udløste hændelsen.
Account Lockout Analyzer samler Event ID 4740-data fra alle dine domænecontrollere og analyserer de tilknyttede godkendelseshændelser for at fastslå den oprindende maskine, IP-adressen og den proces eller enhed, der indsendte de forkerte legitimationsoplysninger. Resultatet vises i en enkelt rapportlinje med hele logonhistorikken lige ved siden af.
Ja. Rapporten Account Locked Out Users dækker låsninger i Entra ID med kilde-IP, geografisk placering, applikation og MFA-detaljer. For hybride miljøer korrelerer rapporten Hybrid Logon Activity godkendelseshændelser fra lokal AD og Microsoft Entra ID i én samlet visning.
Både Account Lockout Analyzer og rapporten Recently Locked Out Users viser den oprindende maskine og IP-adressen på samme linje som låsehændelsen. Hvis der er konfigureret en advarsel, har dit team disse nødvendige oplysninger i det øjeblik, den udløses.
Ja. En standard profil for Account Lockout-advarsler er inkluderet som standard og fungerer uden konfiguration. ADAudit Plus sender e-mail- eller SMS-meddelelser og kan automatisk oprette en sag i ServiceNow, Jira, Zendesk, ManageEngine Service Desk Plus, Freshservice eller Kayako. Du kan også justere tærsklen for at undgå støj fra almindelige tastefejl i adgangskoder.