Búsqueda basada en usuarios para un seguimiento de auditoría consolidado de cambios en Active Directory

¿Qué hará si quiere averiguar qué cambios hizo un determinado técnico de la mesa de ayuda en Active Directory durante una semana? O bien, ¿extraer una pista de auditoría de cambios para un determinado usuario como parte de una investigación de incidentes de seguridad?

PowerShell puede ayudar, pero ciertamente requerirá un gran esfuerzo para brindar el tipo de visibilidad y correlación que se necesitan para una investigación, que es exactamente lo que ADAudit Plus incluye en su función de búsqueda.

ADAudit Plus le proporciona una opción de búsqueda que le permite rastrear instantáneamente los pasos de un usuario específico en Active Directory. Simple y fácil de usar, esta búsqueda necesita tres entradas (nombre de usuario para el cual usted requiere una pista de auditoría, dominio y período de tiempo) y al instante proporciona el siguiente resumen consolidado:

• Historial de objetos:: un resumen de los cambios de configuración de la cuenta en cuestión. Por ejemplo, los cambios en los permisos de la cuenta especificada, o el número de veces que se ha bloqueado, o los intentos recientes de restablecer su contraseña.
• Historial de accesos: un resumen de todo tipo de accesos, interactivos o remotos, de la cuenta especificada.​​
• Acciones: un resumen de los cambios de configuración que dicha cuenta llevó a cabo en otros objetos de Active Directory durante el periodo de tiempo seleccionado.

Datos de auditoría detallados integrados

Cada detalle que se muestra en el resumen consolidado es un enlace, que se desglosa en un informe elaborado. Por ejemplo, mientras se examinan los resultados de la actividad de los administradores durante una semana, se puede hacer clic para abrir el informe de GPO modificados para verlo más de cerca, tal vez para comparar los valores antiguos con los nuevos.

Toda la información valiosa en un solo lugar: La combinación adecuada de información para una mejor investigación

Desde el punto de vista de la investigación de incidentes, esta capacidad de búsqueda reúne todas las piezas vitales de información forense, concretamente

• Qué se ha hecho con la cuenta del responsable (nombre de usuario del solicitante)
• Qué cambios ha realizado dicha cuenta (nombre de usuario del solicitante) en Active Directory
• El historial de inicio de sesión de la cuenta (nombre de usuario del solicitante) para ayudarle a identificar los computadores desde los que se realizaron esos cambios y también para identificar cualquier otro acceso al computador

Cuando se reúne y analiza, esta información proporciona un mejor contexto, lo que le permite relacionar la información fácilmente o incluso dirigir la investigación en la dirección correcta. Por ejemplo, suponga que sospecha que el usuario A ha manipulado Active Directory. Usted usa la búsqueda de pistas de auditoría para investigar.

• El resultado revela que el usuario A accedió a Active Directory desde el computador X, creó en Active Directory una nueva cuenta de usuario y luego la eliminó.
• A continuación, utiliza la búsqueda para rastrear las acciones de la cuenta eliminada. Los resultados se resumen y pueden interpretarse de la siguiente manera:

Ese es el potencial que tiene la pista de auditoría consolidada de ADAudit Plus.