ManageEngine Log360 se integra con ADAudit Plus para ingerir logs de auditoría relacionados con actividades de usuario como acciones de inicio de sesión y cambios en OU, GPO, equipos y políticas de dominio, lo que permite tener una información más profunda de las actividades relacionadas con AD a través de una consola de SIEM unificada.
Cómo se recopilan los logs de ADAudit Plus en Log360
Log360 le ayuda a recopilar los logs de ADAudit Plus con su función de importación de logs y su método de recopilación de logs sin agentes:
- Log360 es compatible con la importación de logs desde ADAudit Plus. Le permite importar manual o periódicamente archivos de log desde ADAudit Plus u otros dispositivos. Puede importar los logs almacenados localmente u obtenerlos de una ubicación remota utilizando varios métodos de autenticación.
- También puede enviar los logs de ADAudit Plus utilizando el protocolo syslog estándar reenviando los mensajes syslog al receptor syslog de Log360 a través de TCP, UDP o TLS.
Una vez recopilados, los logs se extraen y estructuran para permitir su posterior procesamiento.
Control de eventos críticos de auditoría de archivos y AD
Con el componente ADAudit Plus, puede controlar lo siguiente:
- Eventos de inicio y cierre de sesión del usuario y detalles de la sesión
- Cambios de permisos y propiedad en OU, GPO y dispositivos
- Cambios en la política de contraseñas y bloqueo de cuentas
- Intentos fallidos de acceder a archivos y carpetas
- Usuarios añadidos a grupos de seguridad altamente privilegiados
- Inicio de sesión a horas inusuales e intentos de autenticación fallidos
- Borrado masivo de archivos y acceso no autorizado a los datos
- Cambios en la pertenencia a grupos y cuentas privilegiadas
- Modificaciones de los permisos de seguridad y de las configuraciones de auditoría
- Ediciones de GPO y fallos de implementación que afectan al comportamiento del dominio
Principales ventajas de la integración
- Detección de amenazas y respuesta: Con el analizador de superficie de ataque del módulo ADAudit Plus, podrá detectar e investigar algunos de los ataques más comunes contra AD, como los ataques Golden Ticket, Silver Ticket y Kerberoasting. Además, identifique las configuraciones inseguras del Cloud Directory que dejan su entorno vulnerable a los ataques. Estas funciones trabajan en tándem con el motor de análisis de seguridad de Log360, protegiendo todas las capas de su infraestructura de red.
- Análisis del comportamiento de los usuarios: Encuentre actividades anómalas de inicio de sesión, gestión de usuarios y archivos aprovechando la función de machine learning.
- Evaluaciones de riesgos: Detecte y responda a riesgos como un usuario que utiliza privilegios por primera vez o cuentas con un número excesivo de eventos de fallo de inicio de sesión.
- Copias de seguridad y restauraciones de AD: Realice copias de seguridad de todos sus objetos AD fácilmente y restáurelos a sus estados anteriores cuando sea necesario.
Log360 también le permite correlacionar los logs de errores y accesos de ADAudit Plus con otros logs de su red para mejorar sus investigaciones y detectar anomalías más rápidamente.
La integración le permite además auditar su instancia de ADAudit Plus para detectar cualquier riesgo potencial, como intentos de acceso sospechosos, lo que ayuda a cumplir los mandatos normativos al centralizar los logs de sus aplicaciones de auditoría.