Change Auditor for Logon Activity
Berichterstellung über Active Directory-Benutzeranmeldungen und Erkennung von Schwachstellen und verdächtigem Verhalten bei Authentifizierungen in hybriden AD-Umgebungen. Immer mehr Compliance-Bestimmungen und zunehmende Sicherheitsanforderungen machen eine automatisierte und zuverlässige Nachverfolgung von Benutzeran- und -abmeldungen zu einer Notwendigkeit. Leider sind die meisten Tools von Drittanbietern schwerfällig in der Implementierung und bieten nicht die Auditierungsmöglichkeiten, die für die Sicherstellung einer ausreichenden Nachvollziehbarkeit von Benutzeraktionen erforderlich sind. Und systemeigene Auditierungs-Tools sind nicht in der Lage, entscheidende Schwachstellen und Exploits zu erkennen, mit denen Angreifer Netzwerke kompromittieren. Change Auditor for Logon Activity ändert all dies: Authentifizierungs-Exploits werden proaktiv erkannt, Indikatoren für eine Gefährdung aufdeckt und Berichte über Active Directory-Benutzeranmeldungen erstellt, um forensische Untersuchungen zu vereinfachen.
Change Auditor for Logon Activity ermöglicht Ihnen die Realisierung von verbesserter Sicherheit, Auditierung und Compliance innerhalb Ihres Unternehmens durch Erfassung aller An- und Abmeldevorgänge in AD sowie aller Azure AD-Anmeldeaktivitäten und die Erstellung entsprechender Warnmeldungen und Berichte. Change Auditor for Logon Activity erkennt gängige Kerberos-Exploits, identifiziert NTLM-Schwachstellen und bietet leicht zu navigierende Forensiken, um festzustellen, welcher Benutzer was wann getan hat.
Golden-Ticket-Erkennung
Erkennen Sie gängige Kerberos-Authentifizierungsschwachstellen, die bei Golden-Ticket-/Pass-the-Ticket-Angriffen ausgenutzt werden, und geben Sie entsprechende Warnmeldungen aus.
Auditierung von NTLM-Authentifizierungen
Erkennen Sie Anwendungen, die weiterhin weniger sichere NTLM-Authentifizierungen verwenden.
Bericht zu Benutzeranmeldungen in Active Directory
Prüfen Sie alle Anmeldeaktivitäten in Active Directory, von der Anmeldung bis zur Abmeldung, einschließlich aller dazwischenliegenden Aktivitäten (in Verbindung mit anderen Change Auditor Modulen).
Gehostetes Dashboard
Sehen Sie sich alle AD-An-/Abmeldungen, Azure AD-Anmeldungen und
Office 365-Aktivitäten gemeinsam in
On Demand Audit an, das auch flexible Suchmöglichkeiten und eine
umfangreiche Visualisierung bietet.
Umfassender Schutz
Von der vorausschauenden Bewertung von Schwachstellen bis hin zur Erkennung von Angriffen und der Überwachung kompromittierter Konten – Change Auditor steht Ihnen auf Schritt und Tritt zur Seite.
SIEM-Integration
Durch die Integration mit SIEM-Lösungen können Sie Change Auditor Ereignisse an Sentinel, Splunk, ArcSight, QRadar oder jede beliebige Plattform mit Unterstützung für Syslog weiterleiten.
Auditgerechte Berichterstellung
Erstellen Sie umfassende Berichte zur Unterstützung der Compliance von DSGVO, PCI DSS, HIPAA, SOX, FISMA/NIST,
GLBA und vielen mehr.
Echtzeitwarnmeldungen für unterwegs
Senden Sie Warnmeldungen über kritische Benutzeranmeldungen in Active
Directory per E-Mail und an Mobilgeräte, damit Sie sofortige
Maßnahmen veranlassen können, selbst wenn Sie nicht vor Ort sind.
On Demand Audit Hybrid Suite for Office 365
Koppeln Sie Change Auditor mit On Demand Audit, um ein einzelnes gehostetes
Sicherheitsdashboard zu erhalten, das Ihnen einen Überblick über alle
Schwachstellen und verdächtigen Aktivitäten in AD, Azure AD, Exchange
Online, SharePoint Online, OneDrive for Business und Teams bietet. On
Demand Audit zeigt proaktiv Sicherheitsbedrohungen und anormale
Aktivitäten auf und beschleunigt die Untersuchung von Vorfällen durch
kontextbezogene und interaktive Datenvisualisierungen.
Funktionen und Merkmale
Best Practice-Berichterstellung
Erhalten Sie umfassende Berichte zu allen Benutzeranmeldungen in Active Directory, die die Einhaltung von Best Practices erleichtern. Dazu gehören Berichte zu Zugriffen, erfolgreichen und fehlgeschlagenen Anmeldungen, Autorisierungsvergleichsberichte und nach Benutzern gruppierte Berichte.
Hybrides Sicherheitsbewusstsein
Erstellen Sie Berichte zu AD-Benutzeran- und -abmeldungen und nehmen Sie Korrelierungen mit Azure AD-Anmeldungen vor, um so verdächtige Aktivitäten innerhalb Ihrer gesamten Hybrid-Cloud-Umgebung erkennen zu können. Die erfassten Informationen umfassen die Art der Anmeldung, die IP-Adresse und den geografischen Ursprung, die Anwendung, für welche die Autorisierung erfolgt, und ob der Versuch erfolgreich war.
Zugehörige Suchvorgänge
Ermöglichen Sie mit einem Klick sofortige Zugriffe auf alle Informationen zu der betrachteten Änderung und zu allen zugehörigen Ereignissen, einschließlich aller anderen Änderungen, die von diesem Benutzer vorgenommen wurden – so vermeiden Sie Rätselraten und unbekannte Sicherheitsprobleme.
Zeitleisten für Bedrohungen
Ermöglicht das Anzeigen, Hervorheben und Filtern von Anmeldeaktivitäten und zugehörigen Änderungsereignissen innerhalb bestimmter Zeiträume für eine bessere Überwachungsanalyse der Ereignisse und Trends.
Absicherung von AD-Angriffspfaden
Identifizieren Sie mit BloodHound Enterprise Tier-0-Assets sowie Angriffspfade und überwachen und sichern Sie diese mit Change Auditor ab, um Ausnutzung von Schwachstellen zu vermeiden.
Auditgerechte Berichterstellung
Erstellen Sie umfassende Berichte zur Unterstützung der Compliance von DSGVO, PCI DSS, HIPAA, SOX, FISMA/NIST, GLBA und vielen mehr.
Gewinner der People's Choice Stevie Awards 2018
Im Rahmen der People's Choice Stevie Awards 2018 wurde Change Auditor als beste Software ausgezeichnet und erhielt als bestes neues Produkt des Jahres 2018 einen „Silver Stevie“.
Tour
Golden-Ticket-Erkennung
Erkennen Sie gängige Kerberos-Authentifizierungsschwachstellen, die bei Golden-Ticket-/Pass-the-Ticket-Angriffen ausgenutzt werden, und geben Sie entsprechende Warnmeldungen aus.
Technische Daten
Es gibt spezielle Systemanforderungen für den Change Auditor Coordinator (Serverkomponente), den Change Auditor Client (Client-Komponente), den Change Auditor Agent (Serverkomponente) und den Change Auditor Workstation- und Web-Client (optionale Komponenten). Eine vollständige Liste der Systemanforderungen und erforderlichen Berechtigungen für alle Komponenten und Zielsysteme, die mithilfe von Change Auditor auditiert werden können, finden Sie im Installationshandbuch für Change Auditor.
Change Auditor Coordinator ist für Client- und Agent-Anfragen und die Generierung von Warnmeldungen verantwortlich.
- Prozessor
Quad-Core Intel® Core™ i7 (oder ähnlich) oder höher
- Arbeitsspeicher
Minimum: 8 GB RAM oder mehr
Empfohlen: 32 GB RAM oder mehr
- SQL Server
SQL-Datenbanken werden bis zu den folgenden Versionen unterstützt:
- Microsoft SQL Server 2014 SP3
- Microsoft SQL Server 2016 SP3
- Microsoft SQL Server 2017
- Microsoft SQL Server 2019
- Azure SQL Managed Instance (PaaS) mit SQL- oder Azure Active Directory-Authentifizierung
HINWEIS: Die Leistung kann je nach Netzwerkkonfiguration, Topologie und Azure SQL Managed Instance-Konfiguration variieren.
HINWEIS: Change Auditor unterstützt SQL AlwaysOn-Verfügbarkeitsgruppen, SQL-Cluster sowie Datenbanken mit aktivierter Zeilen- und Seitenkomprimierung.
- Betriebssystem
Installationsplattformen (x64) werden bis zu den folgenden Versionen unterstützt:
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
HINWEIS: Microsoft Windows Data Access Components (MDAC) muss aktiviert sein. (MDAC ist Teil des Betriebssystems und standardmäßig aktiviert.)
- Coordinator Software und Konfiguration
Für eine optimale Leistung empfiehlt Quest Folgendes:
- Installieren Sie Change Auditor Coordinator auf einem dedizierten Mitgliedsserver.
- Die Change Auditor Datenbank sollte auf einer separaten, dedizierten Instanz von SQL Server konfiguriert werden.
HINWEIS: Wenn sich die Change Auditor Datenbank auf einer Azure SQL Managed Instance befindet und die Azure Active Directory-Authentifizierung aktiviert wurde, ist Microsoft ODBC Driver 17 for SQL Server erforderlich.
HINWEIS: Weisen Sie vorab KEINE feste Größe für die Change Auditor Datenbank zu.
Darüber hinaus ist die folgende Software/Konfiguration erforderlich:
- Der Coordinator muss über LDAP- und GC-Konnektivität zu allen Domänencontrollern in der lokalen und der Gesamtstruktur-Stammdomäne verfügen.
- x64-Version von Microsoft .NET 4.7.1
- x64-Version von Microsoft XML Parser (MSXML) 6.0
- x64-Version von Microsoft SQLXML 4.0
- Speicherbedarf für Coordinator
- Geschätzter verwendeter Festplattenspeicher: 1 GB.
- Die Arbeitsspeichernutzung des Coordinator ist stark abhängig von der Umgebung, der Anzahl von Agent-Verbindungen und dem Ereignisvolumen.
- Die geschätzte Datenbankgröße variiert möglicherweise in Abhängigkeit von der Anzahl der bereitgestellten Agenten bzw. der erfassten auditierten Ereignisse.
Weitere für Account Coordinator erforderliche Mindestberechtigungen finden Sie im Installationshandbuch für Change Auditor.
Ressourcen
Change Auditor for Logon Activity
Alert and report on AD logon and logoffs and Azure AD sign-in activity
Die 10 wichtigsten Sicherheit-sberichte und Warnmeldungen von Active Directory, die Sie benötige...
Stärken Sie Ihre Cybersicherheit und identifizieren Sie aktive Bedrohungen mit Change Auditor von Quest.
Five Ways to Improve Auditing of Your Hybrid Active Directory
Discover just five of the ways On Demand Audit Hybrid Suite for Office 365 helps you secure your hybrid AD environment.
Manufacturer ensures security and GDPR compliance
To continue to thrive in its competitive market, Beltrame Group had modernized its IT environment, with help from Quest migrati...
Howard County, Maryland, improves security and service availability, while saving hours of IT wo...
Howard County, Maryland, uses Microsoft platform management solutions from Quest, which enable accurate and efficient account p...
DREI WEGE, WIE PRIVILEGIERTE BENUTZER IHR ACTIVE DIRECTORY LAHMLEGEN KÖNNEN
Prüfen Sie Insider-Bedrohungen und lernen Sie 8 Best Practices für AD Sicherheit zur Reduzierung von Risiken und Wiederherstell...
Sicherheitsbewertung von Active Directory
Identifizieren, quantifizieren und priorisieren Sie Angriffspfade, damit Sie Active Directory von allen Seiten schützen können.
Top 10 Active Directory Security Reports and Alerts You Need
Check out this white paper to discover the top 10 reports and alerts you need to ensure the stability and security of your on-p...
Videos
How to audit user network logon activity in Change Auditor for Logon Activity
This video demonstrates how to audit user network logon activity in Change Auditor for Logon Activity.
Detecting the use of Golden Tickets with Change Auditor for Logon Activity
Detect and alert on common Kerberos authentication vulnerabilities used during Golden Ticket / Pass-the-ticket attacks.
How to search and alert on suspicious logon activity in AD and Office 365
Discover how to search and alert on suspicious logon activity in your AD, Office and hybrid environment with the On Demand Aud...
Change Auditor 7.1 – New Features
Explore Change Auditor’s new features, such as Golden Ticket detection & auditing Kerberos and NTLM authentication.
What is Quest Change Auditor and how does it compare to and complement Microsoft ATP and third-p...
Hear Quest product experts, Ghazwan Khairi, Bryan Patton and Robert Tovar discuss the real-time security and IT auditing of Cha...
How to integrate Change Auditor with On Demand Audit
Learn how to integrate Change Auditor with On Demand Audit from Quest.
Change Auditor integration with SIEM solutions and Quest InTrust
See what's new in Change Auditor 7.0 including integration with SIEM solutions and Quest InTrust.
Blogs
Blogs anzeigenChange Auditor 7.1: What’s New
The Change Auditor for Logon Activity 7.1 update allows for auditing of Kerberos and NTLM authentications to promote better security and compliance. ...
Bryan Patton, CISSP
Quest Security Assessments Reveal Top 4 Issues in Active Directory: Groups and OSs (Part 3 of 3)
In the third and final part of this Active Directory security issues series, we take a look at the problems with Groups and Operating Systems (OSs). ...
Todd.Mera
The many colors of AD security – Microsoft Red Forest, orange forest, greenfield or blue?
Discover the different models of AD security, including the Red Forest and Orange Forest models, Greenfield migrations and Blue Team.
Bryan Patton
CISA Office 365 Alert and 10 Security Actions to Take Now by Sean Metcalf (from our latest TEC Talk)
This blog post will outline the CISA alert, prior CISA advice for securing Office 365 and point you to a TEC Talk by Microsoft Certified Master Sean ...
Jennifer LuPiba
Top 10 Security Events to Monitor in Azure AD and Office 365
Learn about 10 places in your cloud environment that log important audit events. See how native tools fall short of ensuring your auditing compliance...
Ian S. Lindsay
Workforce and IT refresher tips to avoid COVID-19 phishing attempts
Review tips IT can give to their workforce as well as what IT can do directly to protect your organization from phishing attacks.
Jennifer LuPiba
Jetzt starten
Realisieren Sie Warnmeldungen und erstellen Sie Berichte zu AD-An- und Abmeldungen sowie zu Azure AD-Anmeldeaktivitäten.