Relatórios de auditoria AD de dados arquivados
À medida que as empresas crescem em tamanho e práticas de conformidade mais rigorosas são impostas a elas por órgãos reguladores, o arquivamento e a capacidade de rastrear regenerando os dados arquivados se tornam essenciais, e não uma escolha.
Alguns dos atos regulatórios exigem que os dados comerciais sejam retidos por 3 a 10 anos. Imagine a dificuldade de reproduzir os dados, como era há uns 7 ou 8 anos atrás, principalmente com métodos nativos de arquivamento não projetados para tais necessidades. Isso exige o arquivamento dos dados de auditoria em um formato facilmente compreensível pelos sistemas comumente usados quando eles são reproduzidos.
Necessidade de arquivamento
A necessidade de arquivamento não para com a conformidade. Os dados arquivados são muito importantes para as organizações para:
- AjudaR com a análise forense e relatórios.
- Certificar-se de que os dados de auditoria que podem ser necessários para várias necessidades de conformidade estejam seguros e inalterados. (Requisitos de conformidade como SOX, HIPAA, GLBA etc., exigem dados de log de auditoria por um período mínimo de 3 anos ou mais.)
- Analisar as tentativas não autorizadas do Microsoft Windows Active Directory/File Server/Member Server que levaram a um lapso na segurança interna e também na manutenção de uma política organizacional interna já estabelecida.
- Planejar a capacidade de recursos estudando os padrões de utilização para vários períodos.
- Isolar usuários suspeitos (dados de logon do usuário) e corrobore seu envolvimento em qualquer ataque de segurança anterior com o uso de suas trilhas de auditoria.
Nos parágrafos seguintes, são destacados os desafios dos métodos nativos de arquivamento/regeneração. Cada desafio é seguido pela alternativa desejada. ADAudit Plus é um amálgama de tudo o que é desejado no arquivamento.
Armazenamento de dados
Os dados de mudança do AD são armazenados no log de segurança dos controladores de domínio, que é limitado a um tamanho máximo de 4 GB. Além disso, opções de gerenciamento de log como 'Substituir eventos conforme necessário' e 'Não substituir' evitam o armazenamento de eventos por períodos de tempo mais longos.
Isso explica a necessidade de agendar a transferência de logs excessivos para um armazenamento secundário.
Sobrecarga de dados
Todo o diário de atividades registrado nos logs de segurança dos controladores de domínio pode não ser útil. Isso leva em consideração o espaço necessário para armazenar volumes excessivos de dados de log.
Os especialistas aconselham filtrar, desorganizar e arquivar apenas as informações que serão relevantes para rastrear uma necessidade operacional, de segurança ou conformidade. Isso ajuda muito a reduzir os requisitos de armazenamento de dados arquivados.
Formatos de armazenamento
Durante o arquivamento, os arquivos são compactados para que ocupem o espaço ideal. Durante o processo de compactação, os cabeçalhos de evento são marcados junto com seus respectivos dados de evento em formato binário.
O formato binário não é propício para a regeneração de dados de auditoria arquivados, porque reconstruí-los ao longo de um período de tempo torna-se impossível.
Regeneração de dados de arquivo, a vantagem ADAudit Plus
As vantagens do ADAudit Plus, que ajudam na regeneração dos dados arquivados, incluem:
- Permite que os dados de auditoria sejam arquivados em um local definido pelo usuário, que pode ser um servidor de armazenamento em qualquer lugar da rede.
- Ajuda você a arquivar apenas os dados de mudança do Active Directory desejados, reduzindo assim a confusão normalmente associada aos métodos nativos de armazenamento secundário.
- Segue um rebaixamento catalogado de diários individuais de dados alterados, agrupados em vários arquivos compactados, marcados por datas de ocorrência de eventos. Esses arquivos compactados contêm informações de log filtradas armazenadas em um formato não adulterado.
- Os dados do diário são armazenados em um formato que permite restauração e regeneração conforme e quando necessário e pelo período desejado.
Relatórios Históricos por Regeneração de Dados Arquivados
Além de ajudar as organizações com o armazenamento dos dados de arquivo desejados, o ADAudit Plus também pode produzir relatórios para qualquer período de tempo definido pelo usuário usando-o. Isso simplifica todo o complicado armazenamento de dados de auditoria e a recriação de relatórios a partir deles.
Armazenamento de dados de auditoria
Quaisquer dados de log de auditoria usados para geração de relatórios podem ser limpos do banco de dados ADAudit Plus e arquivados. A compensação é baseada em categorias de auditoria e cronogramas específicos definidos pelos usuários.
Categorias de auditoria no ADAudit Plus que auxiliam na restauração de dados de auditoria processados para relatórios históricos:
Logon de conta, criação de conta, modificação de usuário, modificação de computador, modificação de grupo, mudanças de política de domínio, gerenciamento de UO, gerenciamento de GPO e logon-logoff local.
Esses dados arquivados podem ser facilmente restaurados e usados pelo aplicativo ADAudit Plus para “relatórios personalizados”, onde os usuários determinam o período do relatório. Relatórios personalizados para qualquer data mais antiga são sempre possíveis no ADAudit Plus com esses dados restaurados.
Esses relatórios personalizados desempenham um papel vital na auditoria forense, de segurança e de conformidade.
O que há de diferente no processo de arquivamento do ADAudit Plus?
- Um relatório rápido, seguro e sem erros de dados de arquivo.
- Seleção e relatório imediatos de eventos arquivados para qualquer período personalizado para ajudar no Relatório Histórico.
- Processo de arquivamento automatizado e organizado.