Identifique el origen y la razón de cada intento fallido de inicio de sesión, y encuentre las cuentas de usuario con los porcentajes más altos de fallos de inicio de sesión.
Identifique las acciones sospechosas de los usuarios, como un volumen inusualmente alto de eventos y actividades en archivos realizadas en horas inusuales.
Audite el uso de privilegios e informe sobre eventos críticos como el restablecimiento de contraseñas, la gestión de usuarios y el aumento de privilegios.
Detecte indicadores de movimiento lateral como actividades de desktop remoto fuera de lo normal, ejecución de nuevos procesos, etc.
Detecte las eliminaciones de archivos, sus cambios no autorizados y los aumentos anómalos en los accesos a estos con informes detallados de Monitoreo de la Integridad de los Archivos.
Detecte los dispositivos USB conectados a los controladores de dominio, servidores o estaciones de trabajo, y reciba alertas cuando se copien archivos en ellos.
Escenario: Un administrador malicioso restablece la contraseña de un usuario crítico, y utiliza estas credenciales para acceder y exfiltrar datos confidenciales. Al día siguiente, se bloquea el usuario crítico debido a que sus credenciales ahora son obsoletas, y solicita una nueva contraseña al administrador.
Con ADAudit Plus, rastree el origen del ataque interno investigando los eventos críticos, como el restablecimiento de la contraseña realizado por el administrador malicioso, la actividad inusual de desktop remoto desde la cuenta del usuario crítico, los detalles de los eventos de bloqueo de la cuenta y mucho más.
Escenario: Un administrador concede accidentalmente privilegios excesivos a un empleado que procede a utilizar estos privilegios para exfiltrar datos sensibles.
Con ADAudit Plus, correlacione los informes sobre los escalamientos de privilegios, los usuarios que realizan una acción de este tipo por primera vez y las acciones de copia de archivos en dispositivos USB para identificar y corregir rápidamente el error.
Escenario: Un investigador ingresa accidentalmente a un sitio web sospechoso que instala y ejecuta un ejecutable malicioso (como un ransomware) en la red.
Con ADAudit Plus, active alertas cuando este proceso inusual se ejecuta en un host. Si el ejecutable inicia un ataque de ransomware, ADAudit Plus puede detectarlo al instante y apagar los equipos infectados para evitar que se siga propagando.