Overvågning i realtid af Windows sikekrhed hændelseslog

 

ADAudit Plus er en prisvindende, centraliseret overvågningsløsning til logging-arkitektur, der gør det muligt for administratorer af Microsoft Windows-miljø at se, overvåge, arkivere og modtage alarmer i realtid sammen med grundige overvågningsrapporter om Windows-sikkerhedsloggen. Sikkerhedsloggen indeholder poster om sikkerhedsrelaterede hændelser, der er specificeret af systemets overvågningspolitik. Administratorer kan registrere og spore forsøgt og vellykket uautoriseret aktivitet og løse problemer. Eksempler på sikkerhedshændelser omfatter godkendelseshændelser, overvågningshændelser, og uautoriserede hændelser. Disse hændelser gemmes i operativsystemernes sikkerhedslogfiler.

 
Programmet kan centralt overvåge og analysere sikkerhedshændelseslogfilerne for ændringer i Windows Active Directory og servere, spore mistænkelige brugerhandlinger, og sikre en hurtig årsagsanalyse i tilfælde af en forbrydelse
Få hele informationen i realtid om ændringer af AD-objekter - Brugere, Grupper, GPO, Computer, OU, DNS, AD-skema og Konfiguration med over 200 detaljerede, hændelsesspecifikke GUI-rapporter og e-mail-alarmer
Automatiseret rapportering og dataregistrering til IT Compliance-HIPAA kræver 7 års logdata, PCI kræver 5 års logdata ... Sikkerhedslogdata kan bruges til interne sikkerhedsrevisioner og kriminalteknisk analyse af logfiler

Hvorfor skal man overvåge Windows sikkerhed hændelseslog?

Behovet for at overholde sikkerhedsoverensstemmelseskrav, som f.eks. SOX, PCI-DSS, FISMA, GLBA, HIPAA osv., kræver, at administratorer implementerer en sikker proces for at beskytte mod forsøgt eller vellykket uautoriseret adgang. Konstant overvågning af de klassificerede netværksoplysninger er kritisk for enhver virksomhed med eller uden overholdelse af visse standarder. Windows-sikkerhedshændelseslogfiler er en af de kilder, hvorpå logon-forsøgene kan spores og logges. En manuel check af hver Windows-enhed er kedelig og umulig og garanterer ikke regelmæssig automatiseret revision og overvågning af hændelseslogfiler.
Kritiske Windows-sikkerhed hændelseslogge, der skal overvåges
4768 / 4771 Kontologon udført/mislykket
4624 / 4625 Lokal logon udført/mislykket
4647 Brugerstartet logoff
4778 / 4779 Terminal service-session tilsluttet/afbrudt
5136 / 5137 AD-objekt ændring/oprettelse/flyt
5139 / 5141 AD-objekt flyttet/slettet
4670 Tilladelse ændret med gamle og nye attributter
4663 / 4659, 4660 Filadgang/-sletning

Kategorier af Windows Server 2008 sikkerhed-loghændelser, der kan logges, er

Det enorme antal loggbare hændelser betyder, at analyse af sikkerhed-hændelseslogfiler kan være en tidskrævende opgave. Hvis du ønsker at overvåge succeser, fejl eller slet ikke overvåge denne type hændelser, skal du definere den krævede avancerede overvågningspolitik under lokale sikkerhedsindstillinger, så du kun sikrer de nødvendige sikkerhedslogs til overvågning, hvilket sikrer, at diskpladsen fyldes ikke hurtigt med uønskede logfiler.

Her er de anbefalede sikkerhedshændelser, der skal indstilles til overvågning, som er under de avancerede indstillinger for overvågningspolitik: For domænecontrollere | For Windows filservere | For Windows medlemsservere |For Windows arbejdsstationer

Nedenfor vises de forskellige avancerede kategorier for overvågningspolitik
Kontologon Dokumentet forsøger at godkende kontooplysninger på en domænecontroller eller på en lokal Sikkerhedskontohåndtering..
Kontostyring Overvåg ændringerne af bruger- og computerkonti og grupper.
Detaljeret sporing Overvåg aktiviteterne i de enkelte applikationer og brugere på denne computer.
Adgang til Directory Services Se et detaljeret revisionsspor for forsøg på at få adgang til og redigere objekter i Active Directory domænetjenester.
Logon/logooff Spor forsøg på at logge på en computer udført interaktivt eller over et netværk. Disse hændelser er særligt nyttige til at spore brugeraktivitet og identificere potentielle angreb på netværksressourcer.
Adgang til objekt Spor forsøg på at få adgang til bestemte objekter eller typer af objekter på et netværk eller en computer.
Politikændringer Spor ændringer og forsøg på at ændre vigtige sikkerhedspolitikker på et lokalt system eller netværk.
Priviligeret brug Spor tilladelser givet på et netværk til brugere eller computere for at fuldføre definerede opgaver.
System Overvåg ændringer på systemniveau i en computer, der ikke er inkluderet i andre kategorier, og som har potentielle sikkerhedsmæssige konsekvenser.
Overvågning af adgang til globalt objekt Administratorer kan definere systemadgangskontrollister (SACL'er) pr. objekttype for filsystemet eller for registreringsdatabasen.

ADAudit Plus-funktionerne, der giver mulighed for en effektiv SIEM-løsning

 
Scroll Down
 
Brugervenlig
Centralt betjente, webbaserede, enkle rapporter, selv for ikke-teknisk personale, med advarsler, der hjælper med at svare på de fire vigtige spørgsmål: ”Hvem” gjorde ”hvad”, ”hvornår” og ”hvorfra”!
 
Bliv compliant
Få specifikke "sæt af detaljerede grafiske rapporter" for at opfylde kravene til overholdelse af SOX, HIPAA, GLBA, PCI og FISMA. Eksporter resultaterne til xls, html, pdf og csv formater
 
Rapporter i realtid
Overvåg fra over 200 forudkonfigurerede rapporter med automatiseret rapportgenerering. Filtrer resultaterne med over 50 søgeattributter, og vælg åbningstider / lukket / alle timer
 
Alarmer i realtid
Alarmer på skærmen i realtid og afsendelse af alarmer til din indbakke! Bruger-, tids- og volumenbaserede tærskelalarmer hjælper med nøjagtigt at identificere problemet
 
Dashboards
Se kritiske dagligdags revisionsoplysninger i et enkelt dashboard. Du kan overvåge aktiviteterne separat for Active Directory og filservere
 
Brugerovervågning
Overvågning af brugerlogon i realtid hjælper med at spore brugerens aktiviteter i Windows Server-miljø, som logontider, logonhistorik, terminal services aktiviteter
 
Active Directory
Overvåg i realtid ændringer i domæne-oplysninger om brugere, grupper, GPO, computer, OU, objektbeholdere, kontakter, skema, konfiguration, sted, DNS og tilladelser
 
Filserver
Spor filservere / failoverklynger for dokumentændringer i filer (filoprettelse / -ændring / -sletning) og overvågning-adgang til mapper, shares og tilladelser
 
Medlemsserver
Overvåg alle ændringer med detaljerede rapporter: Sammendragsrapport, Processporing, Ændringer af politik, Systemhændelser, Objektstyring, Planlagt opgave...
 
Arbejdsstationer
Overvåg hver brugers logon / logoff og kend de daglige brugerhandlinger med detaljerede rapporter om hver vellykket / mislykket logon på tværs af arbejdsstationer i netværket
 
NetApp / EMC
Overvåg NetApp filer / EMC CIFS shares med ændringsrapporter om filer oprettet / ændret / slettet, tilladelsesændringer
 
Dataarkivering
Arkiver data for kriminalteknisk analyse i 3 år, 5 år eller 7 år. Få historiske rapporter og gem på diskplads