Change Auditor for Logon Activity
Création de rapports de connexion utilisateur Active Directory et détection de vulnérabilités et de comportement suspect dans les authentifications AD hybrides. Compte tenu de l’augmentation des règles de conformité et des préoccupations sécuritaires, il est essentiel d’assurer un suivi automatisé et fiable des activités d’ouverture et fermeture de session des utilisateurs. Malheureusement, la plupart des outils tiers sont lourds à mettre en œuvre et n’offrent pas le niveau d’audit requis pour garantir une responsabilité adéquate des actions des utilisateurs. Et les outils d’audit fournis par le système n’ont pas la capacité de détecter les vulnérabilités cruciales et les attaques de pirates visant à compromettre les réseaux. Mais Change Auditor for Logon Activity change la donne, en détectant proactivement les attaques d’authentification, en révélant les indicateurs de risque et en fournissant des rapports de connexion utilisateur Active Directory pour simplifier les enquêtes scientifiques.
Avec Change Auditor for Logon Activity, vous pouvez optimiser la sécurité, le processus d’audit et la conformité au sein de votre entreprise en collectant des données, en recevant des alertes et en créant des rapports sur les activités d’ouverture/fermeture de session AD et d’authentification Azure AD. Change Auditor for Logon Activity détecte les attaques courantes de Kerberos, identifie les vulnérabilités NTLM et fournit des analyses faciles à parcourir qui permettent de savoir qui a fait quoi et quand.
Détection d’une attaque Golden Ticket
Détectez et recevez des alertes sur les vulnérabilités courantes de l’authentification Kerberos utilisées lors des attaques de type Golden Ticket/Pass-the-ticket.
Audit des authentifications NTLM
Détectez les applications qui utilisent encore des authentifications NTLM moins sûres.
Rapport de connexion utilisateur Active Directory
Auditez les connexions aux comptes Active Directory, de l’ouverture d’une session jusqu’à sa fermeture, et toutes les actions réalisées entre temps (en association avec d’autres modules Change Auditor).
Tableau de bord hébergé
Visualisez toutes les ouvertures/fermetures de session AD,
authentifications Azure AD et activités Office 365
dans On Demand Audit avec
une recherche flexible et une visualisation riche.
Sécurité à 360°
De l’évaluation initiale des vulnérabilités à la détection des intrusions et à la surveillance des comptes compromis, Change Auditor est présent à chaque étape.
Intégration SIEM
Profitez d’une intégration avec des solutions de gestion des événements et des informations de sécurité (SIEM) en transférant les événements Change Auditor à Splunk, ArcSight, QRadar ou toute plateforme prenant en charge Syslog.
Rapports prêts à l’emploi pour les auditeurs
Générez des rapports complets pour respecter les
impératifs de conformité aux normes en vigueur, notamment RGPD,
PCI DSS, HIPAA, FISMA/NIST, SOX, GLBA, etc.
Alertes en temps réel en déplacement
Envoyez des alertes essentielles sur les rapports de connexion utilisateur Active Directory
aux e-mails et appareils mobiles pour demander une action immédiate,
même lorsque vous n’êtes pas sur site.
Suite hybride On Demand Audit pour Office 365
Associez Change Auditor et On Demand Audit pour profiter
d’un tableau de bord de sécurité unifié et
hébergé de toutes les vulnérabilités et
activités suspectes sur AD, Azure AD, Exchange Online,
SharePoint Online, OneDrive Entreprise et Teams. On Demand Audit
met en évidence de manière proactive les menaces de
sécurité et les activités anormales, et
accélère les enquêtes sur les incidents à
l’aide de visualisations des données contextuelles et
interactives.
Fonctionnalités
Rapports de conformité aux bonnes pratiques
Obtenez des rapports de connexion utilisateur Active Directory qui permettent de faciliter la conformité avec les bonnes pratiques, comme des rapports sur les accès, les connexions ayant réussi ou échoué, des rapports de comparaison des authentifications et des rapports groupés par utilisateur.
Reconnaissance de la sécurité hybride
Créez des rapports sur les ouvertures/fermetures de session des utilisateurs AD, et établissez une corrélation avec les authentifications Azure AD pour aider à identifier les activités suspectes dans votre environnement de Cloud hybride. Le type d’ouverture de session, l’adresse IP et l’origine géographique, l’application sur laquelle s’effectue l’authentification et le résultat de la tentative sont autant d’informations recueillies.
Recherches connexes
En un seul clic, vous pouvez obtenir instantanément des informations complètes sur la modification que vous visualisez et sur tous les événements qui y sont associés, notamment toutes les autres modifications effectuées par l’utilisateur en question, ce qui permet d’éliminer les conjectures et les problèmes de sécurité inconnus.
Chronologie des menaces
Vous pouvez afficher, mettre en évidence et filtrer les activités d’ouverture de session et les événements de modification associés au fil du temps, afin d’analyser plus en détail les événements et tendances.
Amélioration de la politique de sécurité
Corrélez les données informatiques disparates de plusieurs
systèmes et appareils dans le moteur de recherche interactif IT Security Search
pour garantir une réponse rapide aux incidents de sécurité
et permettre une analyse approfondie. Affichez les autorisations et
l’activité des utilisateurs, les tendances
d’événements, les activités suspectes et plus encore
avec des affichages enrichis et la chronologie des événements.
Intégration Quest InTrust
Profitez d’une intégration avec Quest InTrust
pour stocker les événements sur le long terme en les compressant
jusqu’à 20 fois, collecter les logs fournis par le
système ou de sources tierces de façon centralisée,
décrypter et analyser à l’aide d’alertes et de
mesures d’intervention automatisées les événements
suspects comme les attaques connues par rançongiciel ou de commandes
PowerShell suspectes.
Lauréate du People’s Choice Stevie Award 2018
La solution Change Auditor est lauréate du People’s Choice Stevie Award 2018 dans la catégorie meilleur logiciel, et du Silver Stevie 2018 dans la catégorie meilleur produit.
Présentation
Détection d’une attaque Golden Ticket
Détectez et recevez des alertes sur les vulnérabilités courantes de l’authentification Kerberos utilisées lors des attaques de type Golden Ticket/Pass-the-ticket.
Caractéristiques
Il existe des configurations système spécifiques pour le coordinateur de Change Auditor (côté serveur), le client Change Auditor (côté client), l’agent Change Auditor (côté serveur), et la station de travail et le client Web Change Auditor (composants en option). Pour une liste complète des configurations système et des autorisations requises pour l’ensemble des composants et systèmes cibles pouvant être audités par Change Auditor, reportez-vous au guide d’installation de Change Auditor.
Le coordinateur Change Auditor est chargé d’exécuter les demandes du client et de l’agent, ainsi que de générer les alertes.
- Processeur
Équivalent ou supérieur à un processeur quatre cœurs Intel® Core™ i7
- Mémoire
Minimale : 8 Go de RAM ou plus
Recommandée : 32 Go de RAM ou plus
- SQL Server
Prise en charge des bases de données SQL Server jusqu’aux versions suivantes :
- Microsoft SQL Server 2012 SP4
- Microsoft SQL Server 2014 SP3
- Microsoft SQL Server 2016 SP2
- Microsoft SQL Server 2017
- Microsoft SQL Server 2019
- Azure SQL Managed Instance (PaaS) avec authentification SQL ou authentification Azure Active Directory
REMARQUE : Les performances peuvent varier selon la configuration réseau, la topologie et la configuration d’Azure SQL Managed Instance.
REMARQUE : Change Auditor prend en charge les groupes de disponibilité SQL AlwaysOn, les clusters SQL et les bases de données qui comportent une compression des lignes et des pages.
- Système d’exploitation :
La solution prend en charge les plateformes d’installation (x64) jusqu’aux versions suivantes :
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
REMARQUE : Microsoft Windows Data Access Components (MDAC) doit être activé (MDAC fait partie du système d’exploitation et est activé par défaut).
- Configuration et logiciels requis pour le coordinateur
Pour des performances optimales, Quest vous recommande vivement de suivre les instructions ci-dessous :
- Installez le coordinateur Change Auditor sur un serveur membre dédié.
- La base de données Change Auditor doit être configurée sur une autre instance SQL Server dédiée.
REMARQUE : Microsoft ODBC Driver 17 for SQL Server est requis lorsque la base de données Change Auditor réside sur Azure SQL Managed Instance et que l’authentification Azure Active Directory est sélectionnée.
REMARQUE : Ne préallouez PAS une taille fixe à la base de données Change Auditor.
La configuration et les logiciels suivants sont également requis :
- Le coordinateur requiert une connectivité LDAP et GC avec tous les contrôleurs du domaine local et du domaine root de la forêt.
- Version x64 de Microsoft .NET Framework 4.7.1
- Version x64 de Microsoft XML Parser (MSXML) 6.0
- Version x64 de Microsoft SQLXML 4.0
- Espace requis pour le coordinateur
- Estimation de l’espace de disque dur utilisé : 1 Go
- La quantité de RAM utilisée par le coordinateur dépend fortement de l’environnement, du nombre de connexions d’agent et du volume d’événements.
- La taille estimée de la base de données peut varier en fonction du nombre d’agents déployés et d’événements audités capturés.
D’autres autorisations minimums sont requises pour le coordinateur Change Auditor. Veuillez consulter le guide d’installation de Change Auditor.
Ressources
Change Auditor for Logon Activity
Alert and report on AD logon and logoffs and Azure AD sign-in activity
Top 10 des rapports et alertes de sécurité Active Directory dont vous avez besoin
Renforcez votre cyber-résilience et détectez les menaces actives avec Change Auditor de Quest.
Five Ways to Improve Auditing of Your Hybrid Active Directory
Discover just five of the ways On Demand Audit Hybrid Suite for Office 365 helps you secure your hybrid AD environment.
Manufacturer ensures security and GDPR compliance
To continue to thrive in its competitive market, Beltrame Group had modernized its IT environment, with help from Quest migrati...
Howard County, Maryland, improves security and service availability, while saving hours of IT wo...
Howard County, Maryland, uses Microsoft platform management solutions from Quest, which enable accurate and efficient account p...
TROIS FAÇONS SELON LESQUELLES UN UTILISATEUR PRIVILÉGIÉ PEUT INTÉGRER VOTRE ENVIRONNEMENT ACTIVE...
Ce livre électronique examine les menaces internes et huit bonnes pratiques de sécurité AD afin de réduire les risques et le te...
Active Directory Security Assessment
Identify, quantify and prioritize attack paths so you can secure Active Directory from every angle.
Top 10 Active Directory Security Reports and Alerts You Need
Check out this white paper to discover the top 10 reports and alerts you need to ensure the stability and security of your on-p...
Vidéos
How to audit user network logon activity in Change Auditor for Logon Activity
This video demonstrates how to audit user network logon activity in Change Auditor for Logon Activity.
Detecting the use of Golden Tickets with Change Auditor for Logon Activity
Detect and alert on common Kerberos authentication vulnerabilities used during Golden Ticket / Pass-the-ticket attacks.
How to search and alert on suspicious logon activity in AD and Office 365
Discover how to search and alert on suspicious logon activity in your AD, Office and hybrid environment with the On Demand Aud...
Change Auditor 7.1 – New Features
Explore Change Auditor’s new features, such as Golden Ticket detection & auditing Kerberos and NTLM authentication.
What is Quest Change Auditor and how does it compare to and complement Microsoft ATP and third-p...
Hear Quest product experts, Ghazwan Khairi, Bryan Patton and Robert Tovar discuss the real-time security and IT auditing of Cha...
How to integrate Change Auditor with On Demand Audit
Learn how to integrate Change Auditor with On Demand Audit from Quest.
Change Auditor integration with SIEM solutions and Quest InTrust
See what's new in Change Auditor 7.0 including integration with SIEM solutions and Quest InTrust.
Blogs
Afficher les blogsChange Auditor 7.1: What’s New
The Change Auditor for Logon Activity 7.1 update allows for auditing of Kerberos and NTLM authentications to promote better security and compliance. ...
Bryan Patton, CISSP
Quest Security Assessments Reveal Top 4 Issues in Active Directory: Groups and OSs (Part 3 of 3)
In the third and final part of this Active Directory security issues series, we take a look at the problems with Groups and Operating Systems (OSs). ...
Todd.Mera
The many colors of AD security – Microsoft Red Forest, orange forest, greenfield or blue?
Discover the different models of Active Directory (AD) security, including the Red Forest and Orange Forest models, Greenfield migrations and Blue Te...
Bryan Patton
CISA Office 365 Alert and 10 Security Actions to Take Now by Sean Metcalf (from our latest TEC Talk)
This blog post will outline the CISA alert, prior CISA advice for securing Office 365 and point you to a TEC Talk by Microsoft Certified Master Sean ...
Jennifer LuPiba
Top 10 Security Events to Monitor in Azure AD and Office 365
Learn about 10 places in your cloud environment that log important audit events. See how native tools fall short of ensuring your auditing compliance...
Ian S. Lindsay
Workforce and IT refresher tips to avoid COVID-19 phishing attempts
Let no crisis go to waste This is the new mantra of every cyber criminal in the age of COVID-19. Around the globe, organizations are seeing an increa...
Jennifer LuPiba
Lancez-vous maintenant
Recevez des alertes et créez des rapports sur les activités d’ouverture et fermeture de session AD et d’authentification Azure AD.