Pista de auditoría consolidada basada en el usuario: Ingrese un nombre de usuario y averigüe lo qué hizo en Active Directory

Pista de auditoría consolidada basada en el usuario: Ingrese un nombre de usuario y averigüe lo qué hizo en Active Directory

¿Qué hará si quiere averiguar qué cambios hizo un determinado técnico de la mesa de ayuda en Active Directory durante una semana? O bien, ¿extraer una pista de auditoría de cambios para un determinado usuario como parte de una investigación de incidentes de seguridad?

PowerShell puede ayudar, pero ciertamente requerirá un gran esfuerzo para brindar el tipo de visibilidad y correlación que se necesitan para una investigación, que es exactamente lo que ADAudit Plus incluye en su función de búsqueda.

aggregate-reports-user-management-reports-dashboard-view
aggregate-reports-computer-management-reports-dashboard-view

ADAudit Plus le proporciona una opción de búsqueda que le permite rastrear instantáneamente los pasos de un usuario específico en Active Directory. Simple y fácil de usar, esta búsqueda necesita tres entradas (nombre de usuario para el cual usted requiere una pista de auditoría, dominio y período de tiempo) y al instante proporciona el siguiente resumen consolidado:

Datos de auditoría detallados integrados

Cada detalle que se muestra en el resumen consolidado es un enlace, que se desglosa en un informe elaborado. Por ejemplo, mientras se examinan los resultados de la actividad de los administradores durante una semana, se puede hacer clic para abrir el informe de GPO modificados para verlo más de cerca, tal vez para comparar los valores antiguos con los nuevos.

Toda la información valiosa en un solo lugar: La combinación adecuada de información para una mejor investigación

Desde el punto de vista de la investigación de incidentes, esta capacidad de búsqueda reúne todas las piezas vitales de información forense, concretamente

Cuando se reúne y analiza, esta información proporciona un mejor contexto, lo que le permite relacionar la información fácilmente o incluso dirigir la investigación en la dirección correcta. Por ejemplo, suponga que sospecha que el usuario A ha manipulado Active Directory. Usted usa la búsqueda de pistas de auditoría para investigar.

Los permisos de la cuenta eliminada han sido elevados indebidamente por un técnico de la mesa de ayuda (HDT).

Indica la participación del HDT como cómplice.

La cuenta eliminada inició sesión y operó desde el computador Y. Además, accedió remotamente a otros computadores.

Le ayuda a aislar rápidamente el computador Y desde el que la cuenta eliminada realizó cambios en Active Directory.

Le permite buscar indicios de robo de datos y otros tipos de invasiones en los computadores a los que se ha accedido de forma remota.

Un resumen de todos los objetos de Active Directory afectados por esta cuenta eliminada.

Le permite deshacer o reajustar las configuraciones de seguridad de AD para neutralizar el ataque.

Ese es el potencial que tiene la pista de auditoría consolidada de ADAudit Plus.

Satisfaga todas sus necesidades de auditoría y de seguridad de TI con ADAudit Plus.