Für ein bestmögliches Web-Erlebnis verwenden Sie IE11+, Chrome, Firefox oder Safari.

Change Auditor Threat Detection

Erkennen Sie proaktiv benutzerbasierte Sicherheitsbedrohungen in Ihren Microsoft-Umgebungen

Change Auditor Threat Detection bietet einen einzigartigen Ansatz bei der Erkennung von Bedrohungen durch Benutzer: Durch die Modellierung der einzelnen Benutzerverhaltensmuster werden Aktivitätsanomalien erkannt, die auf potenziell verdächtige Benutzer oder möglicherweise kompromittierte Konten hinweisen. Anhand der Analyse von Benutzeraktivitäten sowie durch den Einsatz von proprietärer moderner Lerntechnologie, User and Entity Behavior Analytics (UEBA) und hoch entwickelter Bewertungsalgorithmen stellt Change Auditor Threat Detection eine Rangliste der organisationsinternen Benutzer mit dem höchsten Risikopotenzial auf, bestimmt potenzielle Bedrohungen durch Benutzer und reduziert Fehlwarnungen. Schließen Sie die Lücken, die von nativen Audit-Tools hinterlassen werden, und schützen Sie Ihre Umgebung.

Schnelle und einfache Erkennung von Bedrohungen, einschließlich:

Datenfilterung

Leichtes Identifizieren kompromittierter Benutzer oder Konten, die versuchen, Daten zu stehlen oder zu zerstören

Malware

Schnelles Erkennen von Versuchen einer Malware, Benutzerkonten und Privilegien zu übernehmen

Missbrauch privilegierter Konten

Orten von Programmen bzw. Skripten, wenn diese die Kontrolle über Benutzerinformationen übernommen haben

Brute-Force-Angriffe

Identifizieren von Angreifern, indem wiederholte Sicherheitsereignisse mit den entsprechenden Warnungen korreliert werden

Erhöhte Privilegien

Erkennen falscher erhöhter Privilegien, indem Ereignisse und zugehörige Benutzerhandlungen markiert werden

Ungewöhnliche AD-Aktivitäten

Schnelles Identifizieren verdächtiger Benutzerhandlungen in AD

Lateral Movement

Orten von Angreifern durch das Vergleichen von abnormalen Verhaltensmustern mit den Ausgangswerten der Benutzer

Unangemessener Zugriff auf System oder Ressourcen

Generieren von Warnungen, wenn Benutzer versuchen, auf unnötige Daten zuzugreifen

Merkmale der Bedrohungserkennung

Überwachungsprotokollanalyse

Echtzeit-Analyse von Prüfprotokollen

Analysieren Sie effizient große Mengen von Prüfdaten wie Veränderungen, Authentifizierungen und Dateiaktivitäten bei AD. Erstellen Sie auf der Basis dieser Roh-Aktivitätsereignisse Benutzerprofile und erkennen Sie, wenn das Verhalten von Benutzern ungewöhnlich erscheint. Auf diese Weise sind Sie unverzüglich über potenziell verdächtige Aktivitäten im Bilde.

UEBA

Automatische Benutzerverhaltensanalysen

Modellieren Sie Aktivitätsmuster, ohne dass Sie Unterstützung durch Ihren Administrator benötigen oder eine Konfiguration durchführen müssen. Benutzerverhaltensprofile werden automatisch über unüberwachtes modernes maschinelles Lernen erstellt. Dabei wird jeder Aspekt der Aktivitäten eines Benutzers modelliert, einschließlich seiner Anmeldemuster, administrativen Aktivitäten und Datei- sowie Ordnerzugriffe.

Erkennung von Anomalien

Fortschrittliche Erkennung außergewöhnlichen Verhaltens

Erkennen Sie außergewöhnliche Benutzeraktivitäten durch einen automatischen Vergleich sämtlicher Benutzeraktivitäten mit der Verhaltensgrundlage des betreffenden Benutzers. Eine hoch entwickelte Erkennung von Bedrohungsindikatoren und ein mehrschichtiges Risikobewertungssystem stellen sicher, dass nur auf die schwerwiegendsten Anomalien hingewiesen wird, welche die Benutzerverhaltensweisen mit dem größten Risikopotenzial darstellen.

Erkennung von Bedrohungen durch Benutzer

Musterbasierte Erkennung von Bedrohungen durch Benutzer

Analysieren Sie Benutzeraktivitäten automatisch in Echtzeit, anstatt sich auf Regeln zur Erkennung bestimmter Aktivitäten zu verlassen. Identifizieren Sie die verdächtigsten Benutzer durch die erweiterte Erkennung von Benutzerverhaltensmustern. Eine hoch entwickelte globale Modellierung stellt sicher, dass nur auf die kritischsten und relevantesten Benutzerverhaltensmuster hingewiesen wird. Dadurch werden Sie deutlich weniger durch isolierte Aktivitäten und Fehlalarme vom Wesentlichen abgelenkt.

Sicherheitswarnungen

Sicherheitswarnungen im Kontext anzeigen

Betrachten Sie alle Warnungen zu verdächtigen Benutzeraktivitäten im Kontext der im Rahmen der Warnung entdeckten Bedrohungsindikatoren. Jede Anomalie im Benutzerverhalten wird im Kontext der in seinem Profil niedergelegten Aktivitäten des Benutzers und mit all den Rohereignissen dargestellt, die die Warnung ausgelöst haben. Dabei ist deutlich erkennbar, wodurch die Warnung ausgelöst wurde, und die Untersuchung und die Folgeaktivitäten werden erleichtert.

Getreue Benutzeranalysen

Change Auditor erstellt Überwachungsprotokolle, welche die Basis für die Analyse darstellen. Alle für die proaktive Erkennung von Bedrohungen verwendeten Rohereignisdaten enthalten also wichtige Informationen wie etwa, wer welche Änderungen wann und wo vorgenommen hat und auf welcher Arbeitsstation Änderungen ausgelöst wurden. Change Auditor sorgt dafür, dass keine wichtigen Benutzeraktionen verpasst werden, was ansonsten zu kritischen Lücken in der Benutzerverhaltensanalyse führen würde.

Leichte Erkennung von Bedrohungen durch Benutzer

Nutzen Sie Ihre bestehende Change Auditor-Infrastruktur und Prüfdaten, um Benutzerverhalten zu modellieren, damit keine unnötig schwerfälligen zusätzlichen Agenten und Server bereitgestellt zu werden brauchen. Das einzige zusätzliche Infrastrukturelement, das für erweiterte Analysen der von Benutzern ausgehenden Bedrohungen benötigt wird, ist eine einzelne virtuelle Appliance.
Gewinner der People's Choice Stevie Awards 2018

Gewinner der People's Choice Stevie Awards 2018

Im Rahmen der People's Choice Stevie Awards 2018 wurde Change Auditor als beste Software ausgezeichnet und erhielt als bestes neues Produkt des Jahres 2018 einen "Silver Stevie".

    Dynamisches Dashboard

  • Dynamisches Dashboard zeigt die verdächtigsten Benutzerverhaltensweisen an.

  • Proaktive Bedrohungserkennung

  • Bestimmen des Echtzeit-Risikopotenzials von Benutzeraktivitäten zur Bedrohungserkennung.

  • Benutzerverhaltensprofile

  • Modellieren des Benutzerverhaltens, um ein Profil mit typischen Benutzeraktivitäten zu erstellen.

  • Erkennung von Anomalien

  • Erkennen von Verhaltensanomalien durch das Abgleichen jeder Aktion mit dem Profil

  • Musterbasierte Erkennung

  • Warnungen vor Bedrohungen durch Benutzer werden nur bei bestimmten verdächtigen Verhaltensmustern ausgegeben.

  • Kontextbezogene Warnungen

  • Warnungen zu verdächtigen Benutzeraktivitäten zeigen alle relevanten Indikatoren an.

  • Automatische Erstellung von Warnungsprioritäten

  • Priorisieren von Alarmen auf der Basis der Benutzer mit dem größten Risikopotenzial innerhalb Ihrer Umgebung

  • Beschleunigte Untersuchung

  • Anzeigen des vollständigen Warnungshintergrunds mit Analysen zur Beschleunigung von Untersuchungen.

  • Details zu risikobehafteten Benutzern

  • Details des risikobehafteten Benutzers erleichtern es, den Kontext einzugrenzen und Sicherheitsuntersuchungen zu beschleunigen.

Technische Daten

Es gibt spezielle Systemanforderungen für den Change Auditor Coordinator (Serverkomponente), den Change Auditor Client (Clientkomponente), den Change Auditor Agent (Serverkomponente) und den Change Auditor Workstation- und Web-Client (optionale Komponenten). Eine vollständige Liste der Systemanforderungen und erforderlichen Berechtigungen für alle Komponenten und Zielsysteme, die mithilfe von Change Auditor überwacht werden können, finden Sie im Installationshandbuch für Change Auditor.

Change Auditor Coordinator ist für Client- und Agenten-Anfragen und die Generierung von Warnmeldungen verantwortlich.

Prozessor

Quad-Core Intel® Core™ i7 (oder ähnlich) oder höher

Arbeitsspeicher

Minimum: 8 GB RAM oder mehr

Empfohlen: 32 GB RAM oder mehr

SQL Server

SQL-Datenbanken werden bis zu den folgenden Versionen unterstützt:

  • Microsoft SQL Server 2012 SP4
  • Microsoft SQL Server 2014 SP3
  • Microsoft SQL Server 2016 SP2
  • Microsoft SQL Server 2017

HINWEIS: Change Auditor unterstützt Always On-Verfügbarkeitsgruppen von SQL sowie SQL Cluster.

Betriebssysteme

Installationsplattformen (x64) werden bis zu den folgenden Versionen unterstützt:

  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

Hinweis: Microsoft Windows Data Access Components (MDAC) muss aktiviert sein. (MDAC ist Teil des Betriebssystems und standardmäßig aktiviert.)

Coordinator Software und Konfiguration

Zur Erzielung der besten Leistung empfiehlt Quest Folgendes:

  • Installieren Sie Change Auditor Coordinator auf einem dedizierten Mitgliedsserver.
  • Die Change Auditor-Datenbank sollte auf einer separaten, dedizierten SQL Serverinstanz konfiguriert werden.

HINWEIS: Weisen Sie vorab KEINE feste Größe für die Change Auditor Datenbank zu.

Darüber hinaus ist die folgende Software/Konfiguration erforderlich:

  • Der Coordinator muss über LDAP- und GC-Konnektivität zu allen Domänencontrollern in der lokalen und der Gesamtstruktur-Stammdomäne verfügen.
  • x64-Version von Microsoft .NET 4.6.1
  • x64-Version von Microsoft XML Parser (MSXML) 6.0
  • x64-Version von Microsoft SQLXML 4.0
Speicherbedarf für Coordinator
  • Geschätzter verwendeter Festplattenspeicher: 1 GB.
  • Die Arbeitsspeichernutzung des Coordinator ist stark abhängig von der Umgebung, der Anzahl von Agenten-Verbindungen und dem Ereignisvolumen.
  • Die geschätzte Datenbankgröße variiert möglicherweise in Abhängigkeit von der Anzahl der bereitgestellten Agenten bzw. der erfassten geprüften Ereignisse.

Weitere für Account Coordinator erforderliche Mindestberechtigungen finden Sie im Installationshandbuch für Change Auditor.

Der Change Auditor Threat Detection Server ist eine virtuelle Appliance, die für die Analyse der Auditprotokolle von Change Auditor und die Erkennung verdächtiger Benutzerverhaltensmuster zuständig ist. Weitere Informationen zur Bereitstellung der virtuellen Appliance finden Sie im Bereitstellungshandbuch zur Bedrohungserkennung für Change Auditor.

Bereitstellung auf Microsoft Hyper-V
  • Hyper-V-Host, der auf Windows Server 2016 ausgeführt wird
  • Anforderungen des Threat Detection-Servers:
    • Vorlagengröße: ~ 10 GB
    • CPU: 8 oder 16 Rechenkerne, mindestens 2,3 GHz, empfohlen 2,4 GHz
    • RAM: 64 GB
    • E/A: 500 MBit/s
    • Festplatte: SAS 320 GB, SAS 930 GB
Bereitstellung auf VMWare ESX
  • VMWare ESXI Version 5.5 und höher, die von VMware Vcenter 5.5 und höher verwaltet wird
  • Die folgenden vSphere-Clients werden unterstützt:
    • Mit ESX 5.5: vSphere Windows-Client
    • Mit ESX 6.0: vSphere Flash-Client
    • Mit ESX 6.5: vSphere Flex-Client, vSphere HTML5-Client
  • OVA-Edition für kleine und mittelständische Unternehmen:
    • OVA-Dateigröße: ~ 10 GB
    • CPU: 8 Rechenkerne, mindestens 2,3 GHz, empfohlen 2,4 GHz
    • RAM: 64 GB
    • E/A: 500 MBit/s
    • Festplatte: SAS 320 GB, SAS 930 GB
  • OVA-Edition für Großunternehmen:
    • OVA-Dateigröße: ~ 10 GB
    • CPU: 16 Rechenkerne, mindestens 2,3 GHz, empfohlen 2,4 GHz
    • RAM: 64 GB
    • E/A: 500 MBit/s
    • Festplatte: SAS 320 GB, SAS 930 GB

Ressourcen

Change Auditor Threat Detection
Datenblätter
Change Auditor Threat Detection
Change Auditor Threat Detection
Einfaches Nachverfolgen und Bestätigen sämtlicher Änderungen oder täglicher Systemanpassungen
Datenblatt lesen
Microsoft ATA and Azure ATP – How they fit in your defense in depth security strategy?
Webcast-on-Demand
Microsoft ATA and Azure ATP – How they fit in your defense in depth security strategy?
Microsoft ATA and Azure ATP – How they fit in your defense in depth security strategy?

According to the 2018 Verizon Data Breach Investigations Report, 68% of investigated data breaches went undetected for 60 or more days. Fortunately, platform providers, such as Microsoft, are

Webcast ansehen
What Is Azure ATP and How Does It Fit into Your Security Strategy?
Whitepaper
What Is Azure ATP and How Does It Fit into Your Security Strategy?
What Is Azure ATP and How Does It Fit into Your Security Strategy?

Being able to quickly detect and respond to threats is essential for both security and regulatory compliance. But it’s not an easy task. On the one hand, you have hackers battering your netwo

Whitepaper lesen
SO ERKENNEN SIE INSIDERBEDROHUNGEN, BEVOR SIE SCHADEN ANRICHTEN KÖNNEN
eBook
SO ERKENNEN SIE INSIDERBEDROHUNGEN, BEVOR SIE SCHADEN ANRICHTEN KÖNNEN
SO ERKENNEN SIE INSIDERBEDROHUNGEN, BEVOR SIE SCHADEN ANRICHTEN KÖNNEN
Change Auditor Threat Detection komprimiert AD Überwachungsdaten zu einer übersichtlichen Menge an SMART-Warnungen. Mittels musterbasierter Bedrohungserkennung werden die Benutzer, die das größte Risiko darstellen, markiert und gemeldet.
eBook lesen
Insider-Bedrohungen mit Analysen des Benutzerverhaltens erkennen
Whitepaper
Insider-Bedrohungen mit Analysen des Benutzerverhaltens erkennen
Insider-Bedrohungen mit Analysen des Benutzerverhaltens erkennen
Herausforderungen bei der Erkennung von Insider-Bedrohungen, die Vorteile sowie Grenzen regelbasierter und musterbasierter Lösungen zur Erkennung von Bedrohungen betrachten.
Whitepaper lesen
Change Auditor Threat Detection – So funktioniert es
Technische Dokumente
Change Auditor Threat Detection – So funktioniert es
Change Auditor Threat Detection – So funktioniert es
Erkennen Sie Insider-Bedrohungen mithilfe von maschinellem Lernen, UEBA (User and Entity Behavior Analytics) und SMART-Korrelationstechnologie, um Datensicherheitsverletzungen zu vermeiden.
Technische Dokumente lesen
Introducing Change Auditor Threat Detection
Introducing Change Auditor Threat Detection

04:11

Video
Introducing Change Auditor Threat Detection
Be proactive about detecting potential insider threats and anomalous activity by modeling user behavior through unsupervised machine learning.
Video ansehen
DREI WEGE, WIE PRIVILEGIERTE BENUTZER IHR ACTIVE DIRECTORY LAHMLEGEN KÖNNEN
eBook
DREI WEGE, WIE PRIVILEGIERTE BENUTZER IHR ACTIVE DIRECTORY LAHMLEGEN KÖNNEN
DREI WEGE, WIE PRIVILEGIERTE BENUTZER IHR ACTIVE DIRECTORY LAHMLEGEN KÖNNEN
Prüfen Sie Insider-Bedrohungen und lernen Sie 8 Best Practices für AD Sicherheit zur Reduzierung von Risiken und Wiederherstellungszeiten kennen. Verlassen Sie sich nicht ausschließlich auf die Wiederherstellung des Papierkorbs.
eBook lesen

Jetzt starten

Erkennen Sie proaktiv benutzerbasierte Sicherheitsbedrohungen in Ihren Microsoft-Umgebungen