Informes de auditoría de AD a partir de datos archivados
A medida que las empresas crecen y los organismos reguladores les imponen prácticas de cumplimiento más estrictas, la capacidad de archivar datos y dar seguimiento mediante la regeneración de los datos archivados se convierte en una necesidad más que en una opción.
Some of the regulatory acts require business data to be retained for 3 to 10 years. Imagine the difficulty involved in reproducing the data, as it were some 7 or 8 years ago, espeAlgunas de las leyes normativas exigen que los datos empresariales se conserven entre 3 y 10 años. Imagínese la dificultad que supone reproducir los datos, tal y como eran hace unos 7 u 8 años, especialmente con métodos de archivo nativos no diseñados para tales necesidades. Por ello, es necesario archivar los datos de auditoría en un formato que sea fácilmente comprensible por los sistemas de uso común, cuando se reproduzcan.
Necesidad de archivar
La necesidad de archivar no se limita al cumplimiento de la normativa. Los datos archivados son muy importantes para las organizaciones a fin de:
- Ayudar al análisis forense y la elaboración de informes.
- Garantizar que los datos de auditoría que puedan requerirse para diversas necesidades de cumplimiento estén seguros y no sean alterados. (Los requisitos de cumplimiento como SOX, HIPAA, GLBA, etc., exigen conservar los datos de log de auditoría durante un período mínimo de 3 años o más.)
- Analizar los intentos no autorizados de Microsoft Windows Active Directory/servidor de archivos/servidor miembro que han llevado a un fallo en la seguridad interna y también al mantenimiento de una política organizativa interna ya establecida.
- Planificar la capacidad de los recursos estudiando los patrones de utilización de los mismos durante varios períodos.
- Aislar a los usuarios sospechosos (datos de inicio de sesión de los usuarios) y corroborar su implicación en cualquier ataque de seguridad pasado con el uso de sus pistas de auditoría.
En los siguientes párrafos se destacan los desafios de los métodos de archivo/regeneración nativos. Después de cada reto viene la alternativa deseada. ADAudit Plus es una fusión de todo lo que se desea en materia de archivo.
Almacenamiento de datos
Los datos de cambios de AD se almacenan en el log de seguridad de los controladores de dominio, cuyo tamaño está limitado a un máximo de 4GB. Además, las opciones de gestión de logs como "Sobrescribir eventos según sea necesario" y "No sobrescribir" impiden almacenar eventos durante períodos de tiempo más largos.
Esto explica la necesidad de programar la transferencia de los logs excesivos a un almacenamiento secundario.
Sobrecarga de datos
Todo el diario de actividades, registrado en los logs de seguridad de los controladores de dominio podría no ser útil. Esto tiene en cuenta el espacio necesario para almacenar volúmenes desmesurados de datos de log.
Los expertos aconsejan filtrar, ordenar y archivar sólo la información que será relevante para una necesidad operativa, de seguridad o de cumplimiento. Esto ayuda a reducir en gran medida los requisitos de almacenamiento de datos archivados.
Formatos de almacenamiento
Los datos que se archivan se comprimen para que consuman menos espacio. Durante el proceso de compresión, las cabeceras de los eventos y sus respectivos datos de eventos se etiquetan en formato binario.
El formato binario no es propicio para regenerar los datos de auditoría archivados, ya que es relativamente imposible reconstruirlos a lo largo del tiempo.
Regeneración de datos archivados, la ventaja de ADAudit Plus
Las ventajas de ADAudit Plus, que ayudan a regenerar datos archivados son:
- Permite archivar los datos de auditoría en una ubicación definida por el usuario, que puede ser un servidor de almacenamiento en cualquier lugar de la red.
- Ayuda a archivar sólo los datos de cambios de Active Directory deseados, reduciendo así el desorden normalmente asociado a los métodos nativos de almacenamiento secundario
- Sigue una relegación catalogada de diarios individuales de los datos de cambios, agrupados en múltiples archivos comprimidos, marcados por fechas de ocurrencia de eventos.
Estos archivos comprimidos contienen información de log filtrada y almacenada en un formato no adulterado.
- Los datos del diario se almacenan en un formato que permite su restauración y regeneración en el momento en que se solicite y durante el periodo deseado.
Informes históricos por regeneración de datos archivados
Además de ayudar a las organizaciones a almacenar los datos archivados deseados, ADAudit Plus también puede generar informes para cualquier período de tiempo definido por el usuario que lo utilice. Esto simplifica todo el engorroso almacenamiento de datos de auditoría y la recreación de informes a partir de ellos.
Almacenamiento de datos de auditoría
La aplicación ADAudit Plus puede restaurar y utilizar fácilmente estos datos archivados para elaborar "informes personalizados", donde los usuarios determinan el período del informe. Para ADAudit Plus, siempre es posible generar informes personalizados para cualquier fecha anterior con estos datos restaurados.
Estos informes personalizados juegan un papel vital en la auditoría forense, de seguridad y de cumplimiento.
Inicio de sesión de cuenta, creación de cuenta, modificación de usuario, modificación de computadora, modificación de grupo, cambios de política de dominio, administración de unidades organizativas, administración de GPO e inicio y cierre de sesión local.
Estos datos archivados pueden ser fácilmente restaurados y utilizados por la aplicación ADAudit Plus para "informes personalizados", donde los usuarios determinan el período del informe. Los informes personalizados para cualquier fecha anterior siempre son posibles en ADAudit Plus con estos datos restaurados.
Estos informes personalizados juegan un papel vital en el análisis forense, la seguridad y la auditoría de cumplimiento.
¿Qué tiene de diferente el proceso de archivo de ADAudit Plus?
- Un informe rápido, seguro y sin errores de los datos archivados.
- Selección inmediata y reporte de eventos archivados para cualquier período personalizado para ayudar en el reporte histórico.
- Proceso de archivo automatizado y organizado.
