El efecto de una demora en la respuesta a un cambio podría ocasionar que un bache que por lo demás debería haber permanecido siendo insignificante se convierta en una bola de nieve con daño irreparable. Esto es más significativo en un entorno de Windows Active Directory donde el daño debido a la demora podría costar millones a una organización. Siendo ese el caso, existe una necesidad de un sistema de alertas vigilante, que identifique cualquier amenaza presente en la red de Active Directory de forma intuitiva, dirigiendo la atención de un administrador hacia tales fenómenos no deseados y canalizando la atención de los administradores para impedir amenazas identificadas en su origen.
ADAudit Plus ofrece una respuesta a este conocido desafío por medio de un mecanismo de alertas en tiempo real. Este mecanismo de alertas ayuda en el proceso de canalizar (orientar) la atención de un administrador instantáneamente hacia cualquier evento deseado o no deseado, por lo tanto, garantiza que la seguridad de la red de Active Directory nunca se vea comprometida.
Para recibir notificaciones en el caso de otros escenarios de amenazas, todo lo que un administrador debe hacer es crear alertas basadas en sus respectivos indicadores de compromiso.
Vea cómo ADAudit Plus le alerta instantáneamente sobre un posible acceso no autorizado.
ADAudit Plus le permite a un administrador configurar alertas de urgencia o severidad variables, y también posibilita que sean alertas con umbrales según usuario, hora y volumen. Esto ayuda a las organizaciones porque les brinda la opción de diferenciar los eventos de Active Directory y también les permite regularizar la administración de los eventos alertados.
Las severidades se diferencian como:
Considere un escenario, en el que un administrador no autorizado ha accedido a una cuenta administrativa en Active Directory y usted, como administrador principal de la red, no tiene conocimiento de que esto ocurra. ¡Imagina la devastación que podría causar! Un extraño que inicie sesión en una cuenta administrativa es riesgoso e ignorar una actividad tan crítica pone a la seguridad de su red bajo una seria amenaza. Una solución de informes le proporcionará los datos sobre la actividad de inicio de sesión del usuario o el último usuario que inició sesión, pero podría ser demasiado tarde para que se actúe. Existe la necesidad de una solución que avise al administrador a tiempo, sobre cualquier actividad que considere crítica, para que la cordura prevalezca.
Otros cambios en el Active Directory de Microsoft, aunque importantes, pueden no requerir necesariamente la intervención de un administrador, estas acciones requieren una supervisión estricta. Considere monitorear la corrección en la ejecución de una tarea de creación de usuario delegada (o) el seguimiento de la modificación realizada a un perfil de usuario. Estas acciones deben ser administradas y controladas religiosamente.
En otros casos, también se requiere información instantánea sobre las acciones administrativas y de usuario del día a día. Existe la necesidad de diferenciar las alertas de eventos de Active Directory en función de sus urgencias de importancia / criticidad. ADAudit Plus: el software de auditoría de Active Directory permite la configuración de alertas con diferentes niveles de gravedad (importancia). La gravedad asociada con una alerta puede ser crítica, problemática o de búsqueda de atención. Estas alertas se pueden ver en la consola ADAudit Plus desde un navegador web y desde cualquier máquina del dominio.
ADAudit Plus permite configurar de forma personalizada (definir) alertas para uno o más eventos de cambios en Active Directory. Tal como en los informes granulares de ADAudit Plus, estas alertas tienen un amplio alcance – listando todas las características relacionadas con auditorías para el evento alertado, incluyendo quién realizó cuáles acciones y desde dónde. Con ADAudit Plus, usted puede configurar y ver alertas para un evento de cambio específico.
Por ejemplo: puede configurar y ver una alerta para un inicio de sesión no exitoso en una computadora específica del dominio.
Cualquier alerta se completa al ser enviada al buzón de correo de los destinatarios deseados. ADAudit Plus permite seleccionar uno o más eventos de cambios deseados / no deseados en Active Directory y configurarlos para ser enviados por email como alertas a uno o más usuarios. Estas alertas se enviarán directamente al buzón de entrada del destinatario.
Algunos cambios en Active Directory pueden requerir alertas pero no necesariamente inundar la bandeja de entrada de un administrador u otro destinatario. Esas alertas pueden verse directamente en el navegador web de ADAudit Plus desde cualquier ubicación en la red. La funcionalidad de ADAudit Plus que permite ver todas las alertas en su navegador web o habilitar las notificaciones de alertas por email para los cambios seleccionados en Active Directory, ayuda a alcanzar una administración organizada y efectiva.
Las alertas en ADAudit Plus se categorizan y pueden ser removidas o eliminadas a su conveniencia.
ADAudit Plus aplica machine learning para crear una línea de base de actividades normales que son específicas para cada usuario y solo notifica al personal de seguridad cuando hay una desviación de esta norma. Por ejemplo, un usuario que accede sistemáticamente a un servidor crítico fuera del horario comercial no activaría una alerta falsa positiva, porque ese comportamiento es típico de ese usuario. Por otro lado, ADAudit Plus alertaría instantáneamente a los equipos de seguridad cuando ese mismo usuario acceda a ese servidor durante un tiempo en el que nunca antes había accedido, incluso si el acceso se encuentra dentro del horario comercial habitual.
ADAudit Plus permite a un administrador configurar una respuesta predeterminada a una alerta. Los administradores pueden programar la herramienta para que realice una acción específica cuando se dispara una alerta a través de la ejecución de un archivo por lotes y, por lo tanto, puede automatizar efectivamente la respuesta a incidentes.