Toute réaction tardive à une modification peut entraîner un choc, l’impact normalement minime s’amplifiant pour devenir un dommage irréparable. Cela prend une importance particulière dans un environnement Windows Active Directory où le dommage dû à un tel retard peut coûter très cher à une organisation ! De ce fait, il faut disposer d’un système d’alerte vigilant, qui identifie de façon intuitive toute menace présente dans le réseau Active Directory, dirige l’attention d’un administrateur sur les effets indésirables et canalise son action pour parer immédiatement aux risques identifiés.
ADAudit Plus permet de relever ce défi bien connu grâce à un mécanisme d’alerte en temps réel. Ce mécanisme facilite une canalisation (orientation) instantanée de l’attention d’un administrateur sur un événement prévu ou imprévu, veillant ainsi à éviter une compromission de la sécurité du réseau Active Directory.
Pour être prévenu en cas d’autres scénarios de menace, il suffit à un administrateur de créer des alertes selon les indices de compromission respectifs.
ADAudit Plus permet à un administrateur de configurer des alertes à des niveaux variables d’urgence ou de gravité et basées sur l’utilisateur, la date/heure ou un seuil de volume. Cela permet aux organisations de distinguer les événements Active Directory et de normaliser la gestion des événements signalés.
Voici les niveaux de gravité :
Considérez un scénario où un individu malveillant accède à un compte administratif Active Directory et que vous, l’administrateur principal du réseau, n’êtes pas informé de cet événement. Imaginez les possibles dommages ! La connexion d’un étranger à un compte administratif est indésirable et le fait d’ignorer un tel événement critique crée une grave menace pour la sécurité du réseau. Une solution de suivi informe sur l’activité de connexion utilisateur ou le dernier utilisateur connecté, mais il peut être trop tard pour réagir. Il faut donc une solution qui avertit l’administrateur en temps utile d’un événement jugé critique pour veiller à la sécurité.
D’autres modifications Active Directory, certes importantes, n’exigent pas forcément l’intervention d’un administrateur. Ces actions demandent un contrôle strict. Envisagez de vérifier la validité de l’exécution d’une tâche de création d’utilisateur déléguée (ou) de suivre la modification apportée à un profil d’utilisateur. On doit gérer et contrôler rigoureusement ces actions.
Dans d’autres cas, il faut aussi une notification instantanée des événements courants d’administration ou relatifs aux utilisateurs. Il convient de distinguer les alertes sur les événements Active Directory selon leur degré d’urgence ou de gravité/importance. ADAudit Plus, solution d’audit Active Directory, permet de configurer des alertes pour divers niveaux de gravité (importance). La gravité liée à une alerte peut être critique, problématique ou à examiner. On peut afficher les alertes en ouvrant la console ADAudit Plus dans un navigateur Web sur une machine du domaine.
ADAudit Plus permet de configurer (définir) librement des alertes pour une ou plusieurs modifications Active Directory concernées. Tout comme les rapports précis, ces alertes présentent un large champ, indiquant toutes les caractéristiques d’audit liées à l’événement signalé, notamment l’auteur d’une action, son objet, le moment et l’origine.
On peut configurer et afficher des alertes pour un événement donné. Par exemple : définition et affichage d’une alerte pour un échec de connexion sur un ordinateur précis du domaine.
Le cycle d’une alerte s’achève avec sa remise dans la boîte de réception de courrier/SMS des destinataires prévus. ADAudit Plus permet de choisir un ou plusieurs événements de gestion Active Directory voulus/indésirables et de les définir comme des alertes adressées à un ou des utilisateurs. Ces alertes sont remises dans la boîte de réception de courrier/SMS des destinataires.
Certaines modifications Active Directory exigent des alertes, mais sans inonder pour autant la boîte de réception d’un administrateur ou autre. On peut afficher directement ces alertes dans la console Web ADAudit Plus de tout point du réseau. La fonctionnalité de l’outil permettant d’afficher toutes les alertes dans la console Web ou d’activer des notifications par courrier/SMS pour certaines modifications Active Directory améliore et facilite l’administration.
Les alertes d’ADAudit Plus se classent par catégorie et on peut les désactiver ou les supprimer au choix.
ADAudit Plus exploite l’apprentissage machine pour créer une base des actions normales propres à chaque utilisateur et n’informe l’équipe de sécurité qu’en cas d’écart avec la norme. Par exemple, un utilisateur qui accède systématiquement à un serveur critique en dehors des heures de bureau ne déclencherait pas une alerte de faux positif, car ce comportement le caractérise. D’autre part, ADAudit Plus alerterait instantanément l’équipe de sécurité si le même utilisateur accède à ce serveur à un moment inhabituel, même si l’accès a lieu dans les heures de bureau normales.
ADAudit Plus permet à un administrateur de configurer une réponse prédéfinie à une alerte. Il peut programmer l’outil pour prendre une mesure précise au déclenchement d’une alerte en exécutant un fichier de commandes, ce qui automatise efficacement la réponse aux incidents.