Change Auditor for Logon Activity

Création de rapports de connexion utilisateur Active Directory et détection de vulnérabilités et de comportement suspect dans les authentifications AD hybrides. Compte tenu de l’augmentation des règles de conformité et des préoccupations sécuritaires, il est essentiel d’assurer un suivi automatisé et fiable des activités d’ouverture et fermeture de session des utilisateurs. Malheureusement, la plupart des outils tiers sont lourds à mettre en œuvre et n’offrent pas le niveau d’audit requis pour garantir une responsabilité adéquate des actions des utilisateurs. Et les outils d’audit fournis par le système n’ont pas la capacité de détecter les vulnérabilités cruciales et les attaques de pirates visant à compromettre les réseaux. Mais Change Auditor for Logon Activity change la donne, en détectant proactivement les attaques d’authentification, en révélant les indicateurs de risque et en fournissant des rapports de connexion utilisateur Active Directory pour simplifier les enquêtes scientifiques.

Version d’essai en test Demander les tarifs Contacter le service des ventes

Nav Menu

Version d’essai en test

Avec Change Auditor for Logon Activity, vous pouvez optimiser la sécurité, le processus d’audit et la conformité au sein de votre entreprise en collectant des données, en recevant des alertes et en créant des rapports sur les activités d’ouverture/fermeture de session AD et d’authentification Azure AD. Change Auditor for Logon Activity détecte les attaques courantes de Kerberos, identifie les vulnérabilités NTLM et fournit des analyses faciles à parcourir qui permettent de savoir qui a fait quoi et quand.

Détection d’une attaque Golden Ticket

Détectez et recevez des alertes sur les vulnérabilités courantes de l’authentification Kerberos utilisées lors des attaques de type Golden Ticket/Pass-the-ticket.

Audit des authentifications NTLM

Détectez les applications qui utilisent encore des authentifications NTLM moins sûres.

Rapport de connexion utilisateur Active Directory

Auditez les connexions aux comptes Active Directory, de l’ouverture d’une session jusqu’à sa fermeture, et toutes les actions réalisées entre temps (en association avec d’autres modules Change Auditor).

Tableau de bord hébergé

Visualisez toutes les ouvertures/fermetures de session AD, authentifications Azure AD et activités Office 365 dans On Demand Audit avec une recherche flexible et une visualisation riche.

Sécurité à 360°

De l’évaluation initiale des vulnérabilités à la détection des intrusions et à la surveillance des comptes compromis, Change Auditor est présent à chaque étape.

Intégration SIEM

Profitez d’une intégration avec des solutions de gestion des événements et des informations de sécurité (SIEM) en transférant les événements Change Auditor à Sentinel, Splunk, ArcSight, QRadar ou toute plateforme prenant en charge Syslog.

Rapports prêts à l’emploi pour les auditeurs

Générez des rapports complets pour respecter les impératifs de conformité aux normes en vigueur, notamment RGPD, PCI DSS, HIPAA, FISMA/NIST, SOX, GLBA, etc.

Alertes en temps réel en déplacement

Envoyez des alertes essentielles sur les rapports de connexion utilisateur Active Directory aux e-mails et appareils mobiles pour demander une action immédiate, même lorsque vous n’êtes pas sur site.

07:25

Suite hybride On Demand Audit pour Office 365

Associez Change Auditor et On Demand Audit pour profiter d’un tableau de bord de sécurité unifié et hébergé de toutes les vulnérabilités et activités suspectes sur AD, Azure AD, Exchange Online, SharePoint Online, OneDrive Entreprise et Teams. On Demand Audit met en évidence de manière proactive les menaces de sécurité et les activités anormales, et accélère les enquêtes sur les incidents à l’aide de visualisations des données contextuelles et interactives.

En savoir plus sur la mise à niveau

Fonctionnalités

Rapports de conformité aux bonnes pratiques

Obtenez des rapports de connexion utilisateur Active Directory qui permettent de faciliter la conformité avec les bonnes pratiques, comme des rapports sur les accès, les connexions ayant réussi ou échoué, des rapports de comparaison des authentifications et des rapports groupés par utilisateur.

Reconnaissance de la sécurité hybride

Créez des rapports sur les ouvertures/fermetures de session des utilisateurs AD, et établissez une corrélation avec les authentifications Azure AD pour aider à identifier les activités suspectes dans votre environnement de Cloud hybride. Le type d’ouverture de session, l’adresse IP et l’origine géographique, l’application sur laquelle s’effectue l’authentification et le résultat de la tentative sont autant d’informations recueillies.

Recherches connexes

En un seul clic, vous pouvez obtenir instantanément des informations complètes sur la modification que vous visualisez et sur tous les événements qui y sont associés, notamment toutes les autres modifications effectuées par l’utilisateur en question, ce qui permet d’éliminer les conjectures et les problèmes de sécurité inconnus.

Chronologie des menaces

Vous pouvez afficher, mettre en évidence et filtrer les activités d’ouverture de session et les événements de modification associés au fil du temps, afin d’analyser plus en détail les événements et tendances.

Voies d’attaques de Secure AD

Identifiez les actifs de niveau zéro et les voies d’attaque y menant à l’aide de BloodHound Enterprise et surveillez et sécurisez ces voies d’attaque pour éviter les exploitations avec Change Auditor.

Rapports prêts à l’emploi pour les auditeurs

Générez des rapports complets pour respecter les impératifs de conformité aux normes en vigueur, notamment RGPD, PCI DSS, HIPAA, FISMA/NIST, SOX, GLBA, etc.

Grande enseigne commerciale

La protection des objets de Change Auditor nous sauve la mise. Je l’ai mise en place pour empêcher la modification des listes de contrôle d’accès de certains annuaires sur nos serveurs de fichiers, ainsi que pour protéger tous les comptes administratifs. Nous avons fait venir des testeurs de stylos et avons été très surpris de voir qu’ils ne pouvaient pas passer la protection des objets de Change Auditor.

Administrateur d’entreprise, grande chaîne de distribution Lire l’étude de cas

AFV Beltrame Group

Grâce à Change Auditor, nous disposons non seulement de la surveillance continue nécessaire pour assurer la continuité de notre activité, mais également d’un historique qui permet de savoir exactement ce qui s’est passé. Les réglementations RGPD nous imposent des temps de réponse courts. Change Auditor nous permet de nous conformer à ces obligations.

Mirco Destro DSI et responsable IT, AFV Beltrame Group Lire l’étude de cas

Howard County

En cas de problèmes, les responsables demandent toujours au département IT de fournir un rapport sur les modifications, et ce immédiatement. Les outils natifs ne nous permettaient pas de répondre rapidement à ces demandes, d’autant plus que notre personnel IT est réduit. Avec Change Auditor, nous pouvons extraire des rapports immédiatement, ce qui est vital pour nous.

John Eckard Responsable de l’équipe serveurs, Howard County Lire l’étude de cas

Lauréate du People’s Choice Stevie Award 2018

La solution Change Auditor est lauréate du People’s Choice Stevie Award 2018 dans la catégorie meilleur logiciel, et du Silver Stevie 2018 dans la catégorie meilleur produit.

Présentation

Détection d’une attaque Golden Ticket

Audit des authentifications NTLM

Alertes en temps réel

Tableau de bord hébergé avec On Demand Audit

Détection d’une attaque Golden Ticket

Détectez et recevez des alertes sur les vulnérabilités courantes de l’authentification Kerberos utilisées lors des attaques de type Golden Ticket/Pass-the-ticket.

Audit des authentifications NTLM

Trouvez les applications qui utilisent encore des authentifications NTLM moins sécurisées, y compris NTLM v1.

Alertes en temps réel

Convertissez les rapports de connexion utilisateur Active Directory en alertes e-mail et localisez les vulnérabilités critiques et les attaques dès qu’elles sont identifiées.

Tableau de bord hébergé avec On Demand Audit

Associez Change Auditor à On Demand Audit pour obtenir une vue unifiée et hébergée de toutes les activités des environnements hybrides AD et Office 365, avec un tableau de bord des failles de sécurité et la détection automatique des activités anormales.

Caractéristiques

Configuration système requise pour Change Auditor

Il existe des configurations système spécifiques pour le coordinateur de Change Auditor (côté serveur), le client Change Auditor (côté client), l’agent Change Auditor (côté serveur), et la station de travail et le client Web Change Auditor (composants en option). Pour une liste complète des configurations système et des autorisations requises pour l’ensemble des composants et systèmes cibles pouvant être audités par Change Auditor, reportez-vous au guide d’installation de Change Auditor.

Configuration requise pour le coordinateur Change Auditor (composant côté serveur)

Le coordinateur Change Auditor est chargé d’exécuter les demandes du client et de l’agent, ainsi que de générer les alertes.

Processeur: Équivalent ou supérieur à un processeur quatre cœurs Intel® Core™ i7

Mémoire: Minimale : 8 Go de RAM ou plus
Recommandée : 32 Go de RAM ou plus

SQL Server

Prise en charge des bases de données SQL Server jusqu’aux versions suivantes :

Microsoft SQL Server 2014 SP3
Microsoft SQL Server 2016 SP3
Microsoft SQL Server 2017
Microsoft SQL Server 2019
Azure SQL Managed Instance (PaaS) avec authentification SQL ou authentification Azure Active Directory

REMARQUE : Les performances peuvent varier selon la configuration réseau, la topologie et la configuration d’Azure SQL Managed Instance.

REMARQUE : Change Auditor prend en charge les groupes de disponibilité SQL AlwaysOn, les clusters SQL et les bases de données qui comportent une compression des lignes et des pages.

Système d’exploitation

La solution prend en charge les plateformes d’installation (x64) jusqu’aux versions suivantes :

Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019
Windows Server 2022

REMARQUE : Microsoft Windows Data Access Components (MDAC) doit être activé (MDAC fait partie du système d’exploitation et est activé par défaut).

Configuration et logiciels requis pour le coordinateur

Pour des performances optimales, Quest vous recommande vivement de suivre les instructions ci-dessous :

Installez le coordinateur Change Auditor sur un serveur membre dédié.

La base de données Change Auditor doit être configurée sur une autre instance SQL Server dédiée.

REMARQUE : Microsoft ODBC Driver 17 for SQL Server est requis lorsque la base de données Change Auditor réside sur Azure SQL Managed Instance et que l’authentification Azure Active Directory est sélectionnée.

REMARQUE : Ne préallouez PAS une taille fixe à la base de données Change Auditor.

La configuration et les logiciels suivants sont également requis :

Le coordinateur requiert une connectivité LDAP et GC avec tous les contrôleurs du domaine local et du domaine root de la forêt.
Version x64 de Microsoft .NET Framework 4.7.1

Version x64 de Microsoft XML Parser (MSXML) 6.0
Version x64 de Microsoft SQLXML 4.0

Espace requis pour le coordinateur

Estimation de l’espace de disque dur utilisé : 1 Go
La quantité de RAM utilisée par le coordinateur dépend fortement de l’environnement, du nombre de connexions d’agent et du volume d’événements.
La taille estimée de la base de données peut varier en fonction du nombre d’agents déployés et d’événements audités capturés.

D’autres autorisations minimums sont requises pour le coordinateur Change Auditor. Veuillez consulter le guide d’installation de Change Auditor.