Meldingen voor veranderingen voor Active Directory met ADAudit Plus
ADAudit Plus » Meldingen voor veranderingen voor Active Directory met ADAudit Plus
 

Op gebruiker gebaseerd geconsolideerd auditlogboek: Voer een gebruikersnaam in en ontdek de activiteiten van de gebruiker in Active Directory

Wat doet u als u wilt weten welke wijzigingen een bepaalde helpdeskmedewerker een week lang in Active Directory heeft gemaakt? Of een auditlogboek van wijzigingen wilt extraheren voor een bepaalde gebruiker als onderdeel van een onderzoek naar een beveiligingsincident?

PowerShell kan helpen, maar vereist veel inspanning om het soort zichtbaarheid en correlatie te bieden dat nodig is voor een onderzoek, en dat is precies wat de zoekfunctie van ADAudit Plus biedt.

samengevoegde-rapporten-rapporten-gebruikersbeheer-dashboardweergave
samengevoegde-rapporten-rapporten-computerbeheer-dashboardweergave

ADAudit Plus biedt een zoekfunctie waarmee u direct de activiteiten van een bepaalde gebruiker in Active Directory kunt traceren. Deze eenvoudige en gebruiksvriendelijke zoekfunctie gebruikt drie inputs – de gebruikersnaam waarvoor u een auditlogboek nodig heeft, het domein en de tijdsperiode – en geeft direct de volgende geconsolideerde samenvatting:

  • Objectgeschiedenis: een overzicht van configuratiewijzigingen voor het account in kwestie. Bijvoorbeeld wijzigingen in de machtigingen van het opgegeven account, het aantal keren dat het account werd vergrendeld of recente pogingen om het wachtwoord opnieuw in te stellen.
  • Aanmeldgeschiedenis: een overzicht van alle soorten toegang, interactief of extern, door het opgegeven account.
  • Acties: een overzicht van configuratiewijzigingen die het opgegeven account heeft uitgevoerd op andere Active Directory-objecten gedurende de geselecteerde tijdsperiode.

Gedetailleerde auditgegevens achter de schermen

Elk detail in de geconsolideerde samenvatting is een link, die zich verder ontvouwt in een uitgebreid rapport. Als u bijvoorbeeld de resultaten voor de activiteit van een beheerder gedurende een week bekijkt, kunt u het gewijzigde GPO-rapport openen voor meer informatie, misschien om oude en nieuwe waarden te vergelijken.

 

Een totaaloplossing voor al uw behoeften op het gebied van informatietechnologie controle, naleving en beveiliging

ADAudit Plus biedt mogelijkheden zoals wijzigingscontrole, aanmeldingsbewaking, bestanden bijhouden, nalevingsrapportage, analyse van aanvalsoppervlakken, automatisering van reacties en back-up en herstel voor diverse informatietechnologie systemen.

  • Active Directory  
  • Microsoft Entra ID  
  • Windows-bestandsservers  
  • NAS bestandsservers  
  • Windows-servers  
  • Werkstations  
  • En meer  
Een demo inplannen

Alle waardevolle informatie op één plek: De juiste combinatie van informatie voor beter onderzoek

Vanuit het oogpunt van incidentenonderzoek combineert deze zoekfunctie alle vitale stukken forensische informatie, namelijk

  • Wat er is gebeurd met het account van de dader (gebruikersnaam beller)
  • Welke wijzigingen het opgegeven account (gebruikersnaam beller) heeft aangebracht in Active Directory
  • De inloggeschiedenis voor het account (gebruikersnaam beller) om u te helpen de computers te identificeren die zijn gebruikt om deze wijzigingen te maken, en ook om eventuele andere computertoegang te identificeren

Wanneer dergelijke informatie wordt samengevoegd en geanalyseerd, biedt het een completer overzicht, waardoor u verbanden gemakkelijk kunt leggen of zelfs het onderzoek in de juiste richting kunt sturen. Stel bijvoorbeeld dat u vermoedt dat gebruiker A Active Directory heeft gemanipuleerd. U gebruikt de zoekfunctie voor auditlogboeken om dit te onderzoeken.

  • Het resultaat laat zien dat gebruiker A toegang had tot Active Directory vanaf computer X, in Active Directory een nieuw gebruikersaccount heeft aangemaakt en dit vervolgens heeft verwijderd.
  • Vervolgens gebruikt u de zoekopdracht om de acties van het verwijderde account te volgen. De resultaten kunnen als volgt worden samengevat:

De rechten van een verwijderd account zijn op ongeoorloofde manier verhoogd door een helpdeskmedewerker (HDT).

Dit geeft aan dat de HDT medeplichtig is.

Het verwijderde account heeft zich aangemeld op en is gebruikt vanaf computer Y. Ook kreeg het externe toegang tot verschillende andere computers.

Dit helpt u snel om computer Y te isoleren die gebruikt is om met het verwijderde account wijzigingen aan te brengen in Active Directory.

Dit stelt u in staat om op zoek te gaan naar mogelijke gegevensdiefstal en andere soorten inbraken in de extern bediende computers.

Een overzicht van alle Active Directory-objecten die het verwijderde account heeft gewijzigd.

Hiermee kunt u de AD-beveiligingsconfiguraties ongedaan maken of aanpassen om de aanval te neutraliseren.

Dat is het potentieel van het geconsolideerde auditlogboek van ADAudit Plus.

ADAudit Plus Trusted By