Monitorowanie dzienników zdarzeń zabezpieczeń Windows w czasie rzeczywistym
ADAudit Plus »

Monitorowanie dzienników zdarzeń zabezpieczeń Windows w czasie rzeczywistym

 

ADAudit Plus to wyróżnione wieloma nagrodami rozwiązanie scentralizowanej architektury inspekcji rejestrowania, pozwalające administratorom środowiska Microsoft Windows na wyświetlanie, monitorowanie, archiwizowanie i otrzymywanie alertów w czasie rzeczywistym wraz z dokładnymi raportami z inspekcji wydarzeń dzienników zabezpieczeń Windows. Dziennik zabezpieczeń zawiera ustalone przez zasady inspekcji systemu zapisy wydarzeń związanych z zabezpieczeniami. Administratorzy mogą wykrywać i śledzić próby oraz udane działania nieautoryzowane oraz rozwiązywać problemy. Przykłady wydarzeń bezpieczeństwa obejmują wydarzenia uwierzytelniania, wydarzenia inspekcji, nieautoryzowane wydarzenia. Są one przechowywane w dziennikach zabezpieczeń systemu operacyjnego.

 
Monitoruj i analizuj centralnie dzienniki zdarzeń zabezpieczeń dla zmian w Active Directory i serwerach Windows; śledź podejrzane działania użytkowników i zapewnij szybką analizę przyczyn źródłowych w przypadku przestępstwa
Pozyskaj w czasie rzeczywistym pełne informacje o obiektach AD — zmianach użytkowników, grup, GPO, komputerów, jednostek organizacyjnych, DNS, schematów AD oraz konfiguracji dzięki ponad 200 szczegółowych raportów GUI i alertów email dla poszczególnych wydarzeń
Zautomatyzowane raportowanie i archiwizowanie danych do celów zgodności IT — ustawa HIPAA wymaga 7 lat danych z dzienników, PCI wymaga 5 lat danych z dzienników... Dane z dzienników zabezpieczeń może być wykorzystywana do wewnętrznych analiz zabezpieczeń oraz analizy kryminalistycznej dzienników

Do czego potrzebne jest monitorowanie dziennika zdarzeń zabezpieczeń Windows?

Konieczność przestrzegania wymagań zgodności z zasadami bezpieczeństwa, takimi jak ustawa SOX, PCI-DSS, FISMA, GLBA, HIPAA etc. wymaga, aby administratorzy zaimplementowali bezpieczny proces ochrony przed próbami i udanym dostępem nieautoryzowanym. Ciągłe monitorowanie poufnych informacji sieciowych jest krytyczne dla każdej firmy, niezależnie od tego, czy musi ona przestrzegać określonych norm, czy też nie. Dzienniki zdarzeń zabezpieczeń Windows to jedno ze źródeł, przy pomocy których można śledzić i logować próby logowania. Ręczna kontrola każdego urządzenia z systemem Windows jest pracochłonna i praktycznie niemożliwa, co uzasadnia regularną zautomatyzowaną inspekcję i monitorowanie dzienników zdarzeń.

Krytyczne dzienniki zdarzeń zabezpieczeń Windows wymagające inspekcji
4768 / 4771 Sukces / niepowodzenie logowania do konta
4624 / 4625 Sukces / niepowodzenie logowania lokalnego
4647 Wylogowanie zainicjowane przez użytkownika
4778 / 4779 Sesja usług terminalowych połączona ponownie/rozłączona
5136 / 5137 Modyfikacja/tworzenie/przenoszenie obiektu AD
5139 / 5141 Obiekt AD przeniesiony/usunięty
4670 Zmiana pozwoleń ze starymi i nowymi atrybutami
4663 / 4659, 4660 Dostęp/usuwanie plików

Kategorie wydarzeń dzienników wydarzeń zabezpieczeń Windows Serwer 2008, które mogą być rejestrowane to

Gigantyczna liczba rejestrowanych wydarzeń oznacza, że analizowanie dziennika zdarzeń zabezpieczeń może być bardzo czasochłonnym zadaniem. Aby przeprowadzać inspekcję sukcesów, inspekcję niepowodzeń, albo nie przeprowadzać w ogóle inspekcji tego typu wydarzenia musisz zdefiniować wymaganą zaawansowaną zasadę inspekcji w lokalnych ustawieniach zabezpieczeń, dzięki czemu zbierane będą wyłącznie dzienniki zdarzeń potrzebnych do inspekcji, gwarantując dzięki temu, że przestrzeń dyskowa nie wypełni się zbyt szybko niepożądanymi dziennikami.

Poniżej znajdują się wydarzenia zabezpieczeń, których inspekcja jest zalecana, znajdujące się w ustawieniach zaawansowanych zasad inspekcji: Dla kontrolerów domeny | dla serwerów plików Windows | dla serwerów członkowskich Windows | Dla stacji roboczych Windows

Poniżej podano różne kategorie zaawansowanych zasad inspekcji
Logowanie do konta Dokumentuje próby uwierzytelnienia danych konta w kontrolerze domeny lub lokalnym menedżerze konta zabezpieczeń (SAM).
Zarządzanie kontami Monitoruje zmiany grup i kont komputera i użytkownika.
Szczegółowe śledzenie Monitoruje działania poszczególnych aplikacji i użytkowników na tym komputerze.
Dostęp do usług katalogowych Wyświetla szczegółowy dziennik inspekcji prób uzyskania dostępu i modyfikacji obiektów w usługach domenowych Active Directory (AD DS).
Logowanie/wylogowanie Śledzi próby zalogowania na komputer, interakcyjnie lub przez sieć. Wydarzenia te są szczególnie użyteczne do śledzenia działań użytkowników oraz identyfikowania potencjalnych ataków na zasoby sieciowe.
Dostęp do obiektów Śledzi próby uzyskania dostępu do określonych obiektów lub typów obiektów w sieci lub w komputerze.
Zmiana zasad Śledzi zmiany oraz próby zmiany ważnych zasad zabezpieczeń w lokalnym systemie lub w sieci.
Wykorzystanie uprawnień Śledź uprawnienia udzielane w sieci użytkownikom lub komputerom w celu zakończenia zdefiniowanych zadań.
System Monitoruj na poziomie systemowym zmiany komputera, które nie są uwzględnione w innych kategoriach i mają potencjalne implikacje związane z zabezpieczeniami.
Inspekcja dostępu do obiektów globalnych Administratorzy mogą definiować systemowe listy kontroli dostępu (SACL) dla każdego typu obiektu dla systemu plików lub dla rejestru.

Funkcje ADAudit Plus, które czynią z niego efektywne rozwiązanie SIEM

 
 
Prostota obsługi
Centralnie obsługiwane, oparte o sieć Web, proste raporty z alertami (nawet dla personelu nietechnicznego) pomagają odpowiedzieć na cztery podstawowe pytania: "Kto" zrobił "co", "kiedy" i "skąd"!

Przeczytaj więcej »

 
Zapewnij zgodność
Uzyskaj określone „zestawy szczegółowych raportów graficznych” pozwalające spełnić wymagania zgodności z ustawą SOX, HIPAA, GLBA, PCI oraz FISMA. Ponadto należy wyeksportować wyniki do formatów XLS, HTML, PDF oraz CSV
 
Raporty z inspekcji w czasie rzeczywistym
Przeprowadź inspekcję przy pomocy ponad 200 wstępnie skonfigurowanych raportów ze zautomatyzowaną generacją raportów. Filtruj wyniki przy pomocy ponad 50 atrybutów wyszukiwania i wybierz w godzinach pracy/poza godzinami pracy/całą dobę

Przeczytaj więcej »

 
Alerty w czasie rzeczywistym
Alerty wyświetlane w czasie rzeczywistymi na ekranie z wysyłaniem alertów pocztą e-mail do skrzynki odbiorczej! Alerty progowe oparte o użytkowników, czas i wolumin pomagają w precyzyjnej identyfikacji problemu
 
Pulpity nawigacyjne
Wyświetlaj krytyczne codzienne informacje z inspekcji na jednym pulpicie nawigacyjnym. Możesz oddzielnie monitorować działania dla Active Directory i dla serwerów plików

Przeczytaj więcej »

 
Monitorowanie użytkowników
Rozwiązanie do inspekcji w czasie rzeczywistym logowania użytkowników pomaga w śledzeniu działań użytkowników w środowisku serwera Windows, takich jak godzina logowania, historia logowania, wykonanie usług terminala

Przeczytaj więcej »

 
Active Directory
Monitoruj w czasie rzeczywistym informacje o zmianie domeny dla użytkowników, grup, GPO, komputerów, jednostek organizacyjnych, kontenerów, kontaktów, schematów, konfiguracji, witryn, DNS i uprawnień
 
Serwer plików
Śledź serwery plików / klastry trybu failover w celu dokumentowania zmian plików (tworzenie/modyfikacja/usuwanie plików) oraz folderów
 
Serwer członkowski
Monitoruj każdą zmianę przy pomocy szczegółowych raportów: Raport podsumowujący, śledzenie procesu, zmiany zasad, wydarzenia systemowe, zarządzanie obiektami, zaplanowane zadania etc.
 
Stacje robocze
Monitoruj każde zalogowanie/wylogowanie użytkownika i poznaj codzienne działania użytkowników dzięki szczegółowym raportom z każdego wydarzenia udanego i nieudanego zalogowania na stacjach roboczych w sieci

Przeczytaj więcej »

 
NetApp / EMC
Monitoruj udziały CIFS pamięci masowej NetApp z raportami inspekcji zmian dla utworzonych/zmienionych/usuniętych plików, zmianach uprawnień

Przeczytaj więcej »

 
Archiwizowanie danych
Możesz archiwizować dane do analizy kryminalistycznej za 3 lata, 5 lat lub nawet 7 lat później. Uzyskaj raporty historyczne i zaoszczędź miejsce na dysku