功能
通过关联的视图审核混合环境
通过单个关联视图实现对Active Directory用户登录/注销和Azure AD登录活动的审计,以确保对您环境中的所有内部或云用户活动一目了然。
直观显示
跟踪关键的用户和管理员登录活动,并提供关于活动的执行人员、内容、时间、地点和工作站的详细信息。
安全感知
按照类型(互动、远程、本地或网络)和会话长度,报告Active Directory用户登录和注销,以帮助发现可疑活动。
提供全面的Azure AD登录信息,如哪些用户在登录、此次尝试登录用户的IP和地理位置(市、省/自治区/直辖市、国家/地区)、获得身份验证的应用程序、登录尝试是否成功以及失败原因(如果适用)。
合规性就绪
简化登录活动收集,以符合主要外部法规和内部安全策略。
通过IT Security Search提高洞察力
将大量系统和设备中的不同IT数据关联到交互搜索引擎中,以加快安全事件响应和取证分析速度。 通过丰富的可视化和事件时间表囊括用户授权和活动、事件趋势、可疑模式等。
相关搜索
只需单击一下,便可立即访问关于您所查看事件的所有信息以及所有相关活动,避免无谓的猜测和未知安全隐患。
更改审核
通过结合使用其他Change Auditor模块,获得全面的解决方案,用于审核从更改事件开始一直到结束期间的所有用户活动。
集成的事件转发
轻松与SIEM解决方案相集成,将Change Auditor事件转发到Splunk、HP Arcsight或IBM QRadar。 此外,Change Auditor还与Quest InTrust相集成实现长期20:1的压缩事件存储并聚合本机或第三方日志,以降低SIEM转发的存储成本和创建高度压缩的日志存储库。
妥善做法报告
提供全面的报告,以便符合卓越实践,如报告访问、成功登录和失败登录;授权对比报告;根据用户分组的报告。
基于角色的访问
帮助您配置访问权限,以便审核员可以运行搜索和报告,而无需更改应用程序的任何配置,也无需管理员协助。
随时随地获得实时警报
通过电子邮件和移动设备发送有关成功和失败登录的关键警报,以确保即使您在异地也可以快速对安全威胁做出响应。
事件时间表
支持查看、突出显示和筛选随时间推移顺次发生的登录活动及相关更改事件,以便更好地对这些事件和趋势进行取证分析。
基于Web的访问及有针对性的控制板
可使用网页浏览器随时随地执行搜索,并且可以提供有针对性的控制板报告,因此,高层管理人员和审核员不必了解体系结构或管理情况即可访问所需的信息。
规格
有关Change Auditor可以审核的所有组件和目标系统的完整系统要求与所需权限列表,请参见《Change Auditor Technical Documentation》(Change Auditor技术文档)。
Change Auditor协调器负责执行客户端和代理程序的请求并生成警报。
- 处理器
等效于四核英特尔®酷睿™ i7或更高配置的处理器
- 内存
最低:8 GB内存或更高配置
建议:32 GB RAM或更高配置
- SQL Server
最高支持以下版本的SQL数据库:
- Microsoft SQL Server 2008 R2 SP3
- Microsoft SQL Server 2012 SP4
- Microsoft SQL Server 2014 SP2
- Microsoft SQL Server 2016 SP1
- Microsoft SQL Server 2017
注意:Change Auditor不支持除群集以外的SQL高可用性技术。
- 操作系统
最高支持以下版本的安装平台(x64):
- Windows Server 2008 R2 SP1
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
注:必须启用Microsoft Windows Data Access Components (MDAC)。 (MDAC是操作系统的一部分,默认情况下已启用。)
- 协调器软件和配置
为实现卓越的性能,我们强烈建议:
- 在专用成员服务器上安装Change Auditor协调器。
- 应在单独的专用SQL Server实例上配置Change Auditor数据库。
注:请勿为Change Auditor数据库预分配固定大小。
此外,需要满足以下软件/配置要求:
- 协调器必须拥有与本地域和林根域中所有域控制器的LDAP和GC连接。
- Microsoft .NET 4.6.1(x64版)
- Microsoft XML Parser (MSXML) 6.0(x64版)
- Microsoft SQLXML 4.0(x64版)
- 协调器占用空间
- 预计使用1 GB的硬盘空间。
- 协调器占用的内存大小主要取决于环境、代理程序连接数和事件量。
- 估计的数据库大小因所部署的代理程序数量和所捕获的审核事件数量而异。
资源
Change Auditor for Logon Activity
解决重要的安全性和合规性问题
如何发现内部威胁, 避免它们造成灾难
Change Auditor Threat Detection可将AD审核数据提取到易于管理的智能警报数量,并基于模式突出显示风险非常高的用户
通过用户行为分析实施内 部威胁检测
了解检测内部威胁方面的难题,基于规则的威胁检测具有的优势及不足,以及基于模式的威胁检测。
深入了解Change Auditor 威胁检测
通过高级机器学习、用户和实体行为分析(UEBA)以及SMART关联技术识别内部威胁,从而避免数据违规
Randy Franklin Smith white paper: Securing Active Directory by Using the NIST Cybersecurity Framework
NIST cybersecurity framework enables organizations to create a secure environment. Learn how to apply this framework to your AD and Microsoft environment.
Protecting Data in the Healthcare Industry
This white paper discusses best practices to prevent healthcare data breaches — focused on implementing appropriate strategies, policies, processes, training and cybersecurity defenses — that can mitigate much of the risk that healthcare organizations fac
Conversational Geek e-book: Hybrid AD Security Detection & Alerting
Your Active Directory (AD) security is constantly in a state of change, making it difficult to understand your risks from static reports alone. That’s why you need to actively monitor all changes made in AD — being able to detect suspicious activity and a
Conversational Geek e-book: Hybrid AD Security Investigation & Recovery
Changes in your AD environment can be indicative of a breach, leaving it unreliable. Explore AD security investigation and recovery plan best practices.
相关产品
Change Auditor for EMC
在您的EMC NAS设备上,审核与文件活动和权限相关的所有事件。
Change Auditor for Skype for Business
借助前瞻性Lync管理,增强策略的实施
Change Auditor for Active Directory
快速跟踪和确认任何变化或日常系统修改
Change Auditor for Active Directory Queries
简化并完善LDAP查询数据
Change Auditor for Exchange
记录对Exchange的所有重要组、邮箱和公共/个人变更
Change Auditor for NetApp
在您的NetApp NAS设备上,审核与文件活动和权限相关的所有事件。
Change Auditor for SharePoint
实现更快、更方便、更安全的Microsoft SharePoint审核
Change Auditor for SQL Server
实时高效地跟踪、审核、报告Microsoft SQL Server的变更,并发出相应警报