O que você fará se quiser descobrir quais mudanças um determinado técnico de suporte técnico fez no Active Directory durante uma semana? Ou extrair uma trilha de auditoria de mudanças para um determinado usuário como parte de uma investigação de incidente de segurança?
O PowerShell pode ajudar, mas certamente exigirá muito esforço para oferecer o tipo de visibilidade e correlação necessária para uma investigação, que é exatamente o que o ADAudit Plus inclui em seu utilitário de pesquisa.
ADAudit Plus fornece um recurso de pesquisa que permite rastrear instantaneamente os passos de um usuário específico no Active Directory. Simples e direta de usar, esta pesquisa utiliza três entradas — nome de usuário para o qual você precisa de uma trilha de auditoria, domínio e período de tempo — e fornece instantaneamente o seguinte resumo consolidado:
Cada detalhe apresentado no resumo consolidado é um link, que se desdobra em um relatório elaborado. Por exemplo, ao examinar os resultados da atividade do administrador durante uma semana, você pode clicar em abrir o relatório GPO modificado para ver mais de perto, talvez para comparar valores antigos e novos.
Do ponto de vista da investigação de incidentes, esta capacidade de pesquisa reúne todas as peças vitais de informação forense, a saber
Quando reunidas e analisadas em conjunto, essas informações fornecem um contexto melhor, permitindo assim que você conecte os pontos facilmente ou até mesmo conduza a investigação na direção certa. Por exemplo, suponha que você suspeite que o usuário A tenha violado o Active Directory. Você usa a pesquisa de trilha de auditoria para investigar.
As permissões da conta excluída foram aumentadas indevidamente por um técnico de suporte técnico (HDT). | Indica envolvimento do HDT como cúmplice. |
Conta excluída conectada e operada no computador Y. Além disso, acessou remotamente vários outros computadores. | Ajuda a isolar rapidamente o computador Y de onde a conta excluída fez mudanças no Active Directory. Coloca você em busca de sinais reveladores de roubo de dados e outros tipos de invasões nos computadores acessados remotamente. |
Um resumo de todos os objetos do Active Directory afetados por esta conta excluída. | Permite desfazer ou reajustar as configurações de segurança do AD para neutralizar o ataque. |
Esse é o potencial da Trilha de Auditoria Consolidada do ADAudit Plus.