Change Auditor Threat Detection
Game over for rogue users with Change Auditor Threat Detection
针对Microsoft环境的前瞻性用户威胁检测
Change Auditor Threat Detection提供独特的用户威胁检测方法,它通过对各个用户行为模式进行建模来检测可能表示可疑用户或受攻击帐户的异常活动。 Change Auditor Threat Detection借助专有的高级学习技术、用户和实体行为分析(UEBA)以及成熟的评分算法来分析用户活动,从而确定贵企业中风险非常高的用户,发现潜在的用户威胁并减少误报造成的干扰。 您最终能够弥补本地审核工具留下的缺口,从而能够确保环境的安全。
快速轻松地发现各种威胁,包括:
資料外洩
輕鬆找出嘗試竊取或破壞資料的遭入侵使用者或帳戶。
惡意軟體
迅速辨別嘗試接管使用者帳戶和權限的惡意軟體。
濫用具權限帳戶
找出已控制使用者憑證的程式或指令碼。
暴力破解攻擊
將重複出現的安全性事件與相關警示建立關聯,藉此找出攻擊者。
提高權限
標示事件與相關的使用者動作,藉此找出不當提高權限的情形。
異常 AD 活動
迅速找出 AD 中可疑的使用者活動。
橫向移動
比較異常行為模式與使用者的正常行為基準,藉此找出攻擊者。
不當的系統或資源存取權
於使用者嘗試存取非必要資料時發出警示。
借助Change Auditor Threat Detection,您可以:
- 基于用户行为模式前瞻性地检测威胁
- 减少基于规则的威胁检测产生的海量警报
- 根据用户行为基准轻松检测到出现异常行为的用户
- 结合上下文查看安全警报,以快速轻松地确定其严重性
- 根据您的现有审核数据发现威胁,以降低对您的基础架构的影响
功能
实时审核日志分析
实时高效地分析大量审核数据,包括AD变更、身份验证和文件活动。 在这些原始活动事件的基础上构建用户基准并前瞻性地检测用户何时存在异常行为,以便您可以立即发现潜在可疑的活动。
自动化用户行为分析(UEBA)
无需任何管理员输入或配置即可为用户活动模式建模。 用户行为基准是通过无人监管的高级机器学习技术自动创建的,能够为各个方面的用户活动(包括其登录模式、管理活动以及文件和文件夹访问)建模。
成熟的行为异常检测
通过自动将每个用户操作与相关用户的行为基准进行比较来发现异常用户活动。 成熟的威胁指标检测和多级风险评分可确保仅突出显示非常严重的异常,其表示风险非常高的用户行为。
基于模式的用户威胁检测
仅在检测到异常用户行为的关联模式时才发出SMART用户威胁警报。 不依靠规则来检测特定活动,而是通过成熟的用户行为模式检测自动分析发生的所有用户活动并发现环境中非常可疑的用户。 成熟的全局建模技术可确保仅突出显示非常关键和相关的用户行为模式,显著减少孤立活动和误报带来的干扰。
高保真用户分析
Change Auditor创建审核日志以作分析之用,因此用于前瞻性检测您环境中威胁的所有原始事件数据从一开始就包括以下宝贵信息:
- 更改执行者
- 更改内容
- 更改时间
- 更改位置
- 发起更改的位置的IP地址或工作站
与本机Windows事件日志不同,Change Auditor可确保不会错过任何重要的用户操作,避免在用户行为分析中产生严重的缺口。
结合上下文的安全警报
查看作为警报一部分发现的威胁指标上下文中的所有可疑用户活动警报。 每种行为异常都会在用户的基准活动上下文中显示,且随附触发该警报的所有原始事件,既可以清晰表明发出警报的原因,又可以简化调查和后续跟进过程。
轻量级用户威胁检测
利用您的现有Change Auditor基础架构和审核数据为用户行为建模,这样就不用额外部署不必要且复杂的代理程序和服务器。 单个虚拟设备是启用高级用户威胁分析所需的唯一附加基础架构。
教程
动态控制板
前瞻性威胁检测
用户行为基准
异常检测
基于模式的检测
结合上下文的警报
自动确定警报优先级
加快调查速度
规格
Change Auditor协调器(服务器端)、Change Auditor客户端、Change Auditor代理程序(服务器端)、Change Auditor工作站和Web客户端(可选组件)具有特定的系统要求。 有关Change Auditor可以审核的所有组件和目标系统的完整系统要求与所需权限列表,请参见《Change Auditor Installation Guide》(Change Auditor安装指南)。
Change Auditor协调器负责执行客户端和代理程序的请求并生成警报。
- 处理器
等效于四核英特尔®酷睿™ i7或更高配置的处理器
- 内存
最低:8 GB内存或更高配置
建议:32 GB RAM或更高配置
- SQL Server
最高支持以下版本的SQL数据库:
- Microsoft SQL Server 2008 R2 SP3
- Microsoft SQL Server 2012 SP4
- Microsoft SQL Server 2014 SP2
- Microsoft SQL Server 2016 SP1
- Microsoft SQL Server 2017
注意:Change Auditor不支持除群集以外的SQL高可用性技术。
- 操作系统
最高支持以下版本的安装平台(x64):
- Windows Server 2008 R2 SP1
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
注:必须启用Microsoft Windows Data Access Components (MDAC)。 (MDAC是操作系统的一部分,默认情况下已启用。)
- 协调器软件和配置
为实现卓越的性能,Quest强烈建议:
- 在专用成员服务器上安装Change Auditor协调器。
- 应在单独的专用SQL Server实例上配置Change Auditor数据库。
注:请勿为Change Auditor数据库预分配固定大小。
此外,需要满足以下软件/配置要求:
- 协调器必须拥有与本地域和林根域中所有域控制器的LDAP和GC连接。
- Microsoft .NET 4.6.1(x64版)
- Microsoft XML Parser (MSXML) 6.0(x64版)
- Microsoft SQLXML 4.0(x64版)
- 协调器占用空间
- 预计使用1 GB的硬盘空间。
- 协调器占用的内存大小主要取决于环境、代理程序连接数和事件量。
- 估计的数据库大小因所部署的代理程序数量和所捕获的审核事件数量而异。
有关其他所需的帐户协调器最低权限,请参见《Change Auditor Installation Guide》(Change Auditor安装指南)。
Change Auditor Threat Detection服务器使用高级机器学习以及用户和实体行为分析(UEBA)来分析Change Auditor创建的审核日志。 它以虚拟设备(OVA文件)的形式提供。
- VMWare ESX 5.5 版及更高版本
- 中小型企业版OVA:
- CPU:8核,最低2.3 GHz,建议2.4 GHz
- RAM:64 GB
- I/O:500 MB/秒
- 磁盘:SAS 320 GB,SAS 930 GB
- 大型企业版OVA:
- CPU:16核,最低2.3 GHz,建议2.4 GHz
- RAM:64 GB
- I/O:500 MB/秒
- 磁盘:SAS 320 GB,SAS 930 GB
获取Threat Detection服务器的静态IP地址并为其添加DNS (A)记录。
资源
Change Auditor Threat Detection
快速跟踪和确认任何变化或日常系统修改
通过用户行为分析实施内 部威胁检测
了解检测内部威胁方面的难题,基于规则的威胁检测具有的优势及不足,以及基于模式的威胁检测。
如何发现内部威胁, 避免它们造成灾难
Change Auditor Threat Detection可将AD审核数据提取到易于管理的智能警报数量,并基于模式突出显示风险非常高的用户
深入了解Change Auditor 威胁检测
通过高级机器学习、用户和实体行为分析(UEBA)以及SMART关联技术识别内部威胁,从而避免数据违规
特权用户可用来危害 ACTIVE DIRECTORY 的3种方式
本电子书介绍了内部人员威胁,以及可降低风险和缩短恢复时间的8种AD安全妥善做法。
Randy Franklin Smith white paper: Securing Active Directory by Using the NIST Cybersecurity Framework
NIST cybersecurity framework enables organizations to create a secure environment. Learn how to apply this framework to your AD and Microsoft environment.
EDUCAUSE Annual Conference
October 30–November 2, 2018 Colorado Convention Center | Denver, CO The EDUCAUSE Annual Conference is fast approaching and we'd love to meet you there! This is THE education event for the year, bringing together the best thinking in higher education IT to discuss industry trends and explore what solutions are out there to help address IT challenges. The Quest team will be at booth #131 to run through how our Microso
Partner Circle to now include Metalogix partners
Partners with industry and customer expertise play a fundamental role in how we do business by helping expand our ecosystem and drive deeper into industry verticals. And now with Metalogix partners joining the Quest Partner Circle (QPC) on Monday, November 5, we’ll be able to help more customers than ever before move, manage and secure their complete Microsoft environments.In this live webcast, we’ll discuss:The paired Quest Microsoft Platform Management and Met
相关产品
Change Auditor for Active Directory
快速跟踪和确认任何变化或日常系统修改
Change Auditor for Logon Activity
解决重要的安全性和合规性问题
Change Auditor for Windows File Servers
跟踪、审核和接收有关所有Windows文件服务器实时系统变更的报告
Change Auditor for NetApp
在您的NetApp NAS设备上,审核与文件活动和权限相关的所有事件。
Change Auditor for EMC
在您的EMC NAS设备上,审核与文件活动和权限相关的所有事件。
Change Auditor for Fluid FS
在您的FluidFS NAS设备上,审核与文件活动和权限相关的所有事件。