Soluciones SIEM de ManageEngine ADAudit Plus

Detección de ataques internos en entornos Windows

 

De todas las cyber amenazas, la peor que puede afectar a una organización está dentro de ella misma: el ataque interno. Los ataques internos ganan su notoriedad porque son extremadamente difíciles de detectar, especialmente cuando el atacante es un usuario privilegiado de confianza. La detección es casi imposible cuando el adversario es un empleado de TI con acceso privilegiado a sistemas tales como Active Directory. Estos atacantes conocen las políticas de seguridad de la organización a la perfección, lo que les permite sortear los controles de seguridad y hacer que sus intrusiones pasen desapercibidas.

La principal carga en los ataques internos es distinguir las acciones perjudiciales del atacante, las cuales podrían parecer actividades normales que son coherentes con sus roles y responsabilidades. Sólo la información contextual sobre la situación ayudará a descubrir tales ataques. Para entenderlo mejor, considere el escenario que se detalla debajo. Cuando el mismo se ve solo, es muy probable que estos tres incidentes sean descartados por ser acciones cotidianas. Sin embargo, si un investigador relaciona el incidente del bloqueo de cuenta con los otros dos eventos relacionados, el ataque se vuelve evidente.

Un administrador de sistemas deshonesto abusa de sus privilegios autorizados en Windows Active Directory para restablecer la contraseña de una cuenta crítica, obteniendo acceso a los derechos de la cuenta y a la información confidencial de la organización.


Utilizando la identidad robada, el administrador accede a la información. Todo esto sucede de la noche a la mañana vía acceso remoto, lo cual no genera ningún tipo de alerta dado que son actividades permitidas para esta cuenta.
Al día siguiente el dueño de la cuenta, que no está enterado acerca del reinicio de la contraseña, se bloquea al intentar iniciar sesión. Suponiendo que ha olvidado la contraseña, busca la asistencia del help desk para obtener una nueva.

Generación de informes consolidados de auditoria - ADAudit Plus

ADAudit Plus brinda una herramienta de búsqueda, que ofrece una consolidación de tres resúmenes de auditoria diferentes, como se muestra debajo, para cualquier cuenta de usuario (incluso administrador de Active Directory) por un periodo seleccionado. Cada detalle presentado en el reumen es un enlace, el cual, al cliquear sobre él, muestra un informe detallado para una revisión más profunda. De forma similar, la búsqueda también produce un resumen de auditoria consolidado de cualquier grupo o computadora con la combinación adecuada de información para una mejor investigación del incidente.

  • Acciones de la cuenta: Este es un resumen de todos los cambios de configuración que la cuenta especificada realizó sobre otros objetos de AD.
  • Historial de inicio de sesión de la cuenta: En este resumen se muestran todas las computadoras a las que la cuenta a accedido, – de manera interactiva o remota – junto con detalles tales como horas de inicio de sesión y direcciones IP.
  • Historial de objetos: Brinda los antecedentes sobre una cuenta específica, resumiendo qué cambios se han realizado sobre ella y quiénes los hicieron. Por ejemplo, mostraría quién cambió los permisos de la cuenta o contraseñas.

Cuando utiliza ADAudit Plus para investigar el incidente del bloqueo de cuenta discutido arriba, esta búsqueda yuxtapone información tal como las acciones del administrador sobre la cuenta, el acceso remoto de la cuenta desde una IP desconocida, y el bloqueo de la cuenta. Esto brinda el contexto necesario que le permite establecer una relación entre los eventos de seguridad relacionados y eventualmente expone al intruso.

A veces, los atacantes se toman su tiempo y organizan sus operaciones cuidadosamente. De esta manera, incluso si sus acciones son detectadas, la naturaleza esporádica de esas acciones engaña al observador haciéndole creer que fueron accidentales o azarosas. Esto además le da algo de tiempo al atacante, durante el cual los signos reveladores de sus infracciones en Active Directory son eliminados de los archivos de log (o relegados a archivos). Como ADAudit Plus mantiene información de auditoria en una base de datos local, los investigadores pueden ajustar su búsqueda para obtener pistas de auditoría de algunos meses o incluso años del usuario sospechoso. Esto brinda una pista de auditoria con un contexto valioso, que los investigadores pueden utilizar para entender el verdadero significado de esas acciones del usuario.

Además en ADAudit Plus,

Más de 200 informes de auditoría listos para usar de seguridad, análisis forense y conformidad de regulaciones

 
Active Directory
Realice el seguimiento de los eventos de cambio del dominio tales como usuarios, grupos, computadoras, GPO, OU
 
Inicio/fin de sesión
Monitoree el incio y fin de sesión de las estaciones de trabajo para conocer todos los intentos exitosos y fallidos
 
File server
Audite cambios en archivos y carpetas de servidores de archivos Windows, clusters, EMC y NetApp
 
Member Server
Realice el seguimiento de cada cambio en Windows Server con diferentes informes: Informe resumen....
 
Auditoría de Active Directory
  • Monitoree la actividad del inicio de sesión del DC de usuarios y administradores
  • Audite cambios a usuarios, grupos, equipos, OUs, GPOs, DNS, esquema AD
  • Valores anteriores y posteriores de ajustes de GPO y atributos de objetos de AD
Inicio / fin de sesión
  • Audite horarios de inicio/fin de sesión de usuarios, y también su duración
  • Fallas en logon de usuarios, historial, logueos en Terminal Services, RADIUS
  • Vea informes pre configurados, configure alertas de email para cuentas críticas
Windows File Server
  • Audite file servers, Windows Failover Cluster, NetApp Filers y servidores EMC
  • Monitoree intentos fallidos y exitosos al crear, modificar, eliminar y leer archivos
  • Archivos movidos o renombrados, permisos de acceso y modificaciones
Windows Member Server
  • Audite Member Servers, monitoreo de integridad de archivos
  • Monitoree logon, logoff local, duración de logon, fallas e historial de logon
  • Siga las tareas programadas, auditoria de carpetas y cambios de permisos
 
ADAudit Plus está disponible en 4 versiones
Free

Desde $0

  • Nunca vence
  • 25 Workstations gratis
  • Los informes pueden generarse de los datos de logs de eventos recolectados durante el periodo de evaluación
Trial

Desde $0

  • Todas las funcionalidad de la versión Professional por 30 días
  • Puede auditar
    5 controladores de dominio
    2 File Servers
    1 NetApp Filer (o)
    1 EMC File Server
    10 Member Servers
    100 Workstations
Standard

Desde $495

  • Más de 200 informes de auditoria
  • Auditoria en tiempo real de AD
  • Monitoreo de cambios en usuarios de AD, grupos, computadoras, OU, GPO
  • Auditoria de inicio / fin de sesión
  • Crear, modificar, eliminar, acceso y permisos de archivos
  • Eventos del sistema, tareas programadas
  • Auditoría de impresoras y USB
  • Alertas vía email e informes
  • Informes de conformidad
  • Almacenamiento de información
Professional

Desde $795

  • Todas las funcionalidades de la versión Standard +
  • Auditoría de configuraciones de GPO
  • Valores antiguos y nuevos de todos los cambios de atributos de los objetos de AD
  • Auditoría de cambios en permisos de AD
  • Analizador de bloqueos de cuentas
  • Auditoria de servidor DNS, esquema, contactos y configuración
  • Compatible con MS SQL Server
  • ADAudit Plus nos ha ayudado a cumplir con ciertos requerimientos de SOX y PCI. Me gusta los informes mensuales automatizados para SOX, su facilidad de uso, implementación, y es una solución muy asequible.
     
    Jeffrey O'Donnell
    Director of IT,
    Uncle Bob’s Self Storage
  • Nos decidimos por ManageEngine ADAudit Plus, principalmente por los informes de auditoría SOX, creo que la herramienta, por su facilidad de entendimiento es genial y su precio altamente competitivo ayudó a captar nuestra atención.
     
    Andreas Ederer
    Cosma International
  • Somos un proveedor de servicios de emergencia. Vemos al software como una buena evitación de riesgos con unas buenas prácticas en la gestión de riesgos y nos ha ayudado a cumplir con HIPAA. Escogimos ADAudit Plus, porque funciona 24/7/365 como nosotros.
     
    JT Mason
    Director of IT
    California Transplant Donor Network (CTDN)
  • Evaluamos diferentes software; ADAudit Plus es extremedamente fácil de implementar y es una solución asequible que nos ha ayudado a aprobar varias auditorías de seguridad relacionadas a la industria, pruebas profundas de auditorias PEN y a cumplir con los lineamientos de seguridad HIPAA.
     
    Renee Davis
    CIO
    Life Management Center
  • Somos una organización sin fines de lucro y tuvimos que cumplir con la regulación HIPAA, elegimos ADAudit Plus porque nos ayudó a ver qué cambios se realizaron y quiénes los hicieron en nuestro AD.
     
    CMenendez
    Manager of Network Operations
    Kendal
  • ADAudit Plus fue la solución más simple e importante de todos los productos que probamos para monitorear los intentos fallidos de inicio de sesión de los usuarios, limpieza de cuentas, para controlar las actividades maliciosas y cumplir con la conformidad PCI-DSS.
     
    Bernie Camus
    IT Manager
    Iglu.com
Un solo panel de vidrio para una auditoría e informes completos de Active Directory