Pour bénéficier d’une expérience Web optimale, utilisez Internet Explorer 11 ou version ultérieure, Chrome, Firefox, ou Safari.

Change Auditor Threat Detection

Détectez de manière proactive les menaces de sécurité liées aux utilisateurs dans vos environnements Microsoft

La solution Change Auditor Threat Detection propose une approche inédite de détection des menaces utilisateur en modélisant les schémas des comportements de chaque utilisateur afin de détecter les activités anormales pouvant révéler des utilisateurs suspects ou des comptes corrompus. Change Auditor Threat Detection analyse les activités des utilisateurs en utilisant l’apprentissage automatique avancé, l’analyse des comportements des utilisateurs et des entités (UEBA), et des algorithmes d’évaluation complexes. Ainsi, il classe les utilisateurs de l’organisation en fonction des risques qu’ils présentent, identifie les menaces potentielles liées aux utilisateurs et réduit les faux positifs. Vous pouvez combler les lacunes laissées par les outils d’audit natifs et protéger l’ensemble de votre environnement.

Détectez les menaces rapidement et facilement, notamment :

Exfiltration de données

Identifiez facilement les utilisateurs ou comptes compromis qui tentent de dérober ou de détruire des données.

Logiciels malveillants

Reconnaissez rapidement les tentatives de prise de contrôle des comptes utilisateurs et des privilèges par des logiciels malveillants.

Abus des comptes à privilèges

Localisez un programme ou un script ayant pris le contrôle des identifiants d’un utilisateur.

Attaques par force brute

Identifiez les pirates en établissant une corrélation entre les événements de sécurité récurrents et les alertes liées.

Élévation de privilèges

Détectez les élévations de privilèges inappropriées en mettant en avant les événements et les actions des utilisateurs qui y sont liés.

Activité anormale dans Active Directory

Identifiez rapidement les activités suspectes des utilisateurs dans AD.

Mouvement latéral

Localisez les pirates en comparant les schémas de comportements anormaux avec les références utilisateur.

Accès inapproprié au système ou aux ressources

Lancez des alertes sur les utilisateurs qui tentent d’accéder à des données dont ils n’ont pas besoin.

Fonctionnalités de détection des menaces

Analyse des logs d’audit

Real-time audit log analysis

Analyse des logs d’audit en temps réel

Analysez efficacement un volume élevé de données d’audit en temps réel, notamment les modifications d’Active Directory, les authentifications et les activités effectuées sur les fichiers. Créez des bases de référence sur les utilisateurs à partir de ces données d’activités brutes afin de détecter de manière proactive les comportements inhabituels des utilisateurs et d’identifier immédiatement des activités suspectes potentielles.

Analyse des comportements des utilisateurs et des entités (UEBA)

Automated user behavior analytics

Analyse automatisée du comportement des utilisateurs

Modélisez les schémas d’activité des utilisateurs sans intervention d’un administrateur ni configuration. Les bases de référence des comportements des utilisateurs sont automatiquement créées via un apprentissage automatique avancé non supervisé, en modélisant tous les aspects des activités de chaque utilisateur, notamment ses modèles de connexion, ses activités d’administration et ses accès aux dossiers.

Détection des anomalies

Sophisticated behavioral anomaly detection

Détection sophistiquée des comportements inhabituels

Identifiez les activités anormales des utilisateurs en comparant automatiquement chaque action de l’utilisateur avec la base de référence de son comportement. La détection sophistiquée d’indicateurs de menaces et la notation des risques à plusieurs niveaux permettent de signaler uniquement les anomalies flagrantes qui représentant des comportements risqués des utilisateurs.

Détection des menaces liées aux utilisateurs

Pattern-based user threat detection

Détection des menaces basée sur des modèles

Au lieu d’utiliser des règles pour détecter des activités particulières, analysez automatiquement toutes les activités des utilisateurs au fur et à mesure qu’elles se produisent. Identifiez les utilisateurs suspects de l’environnement au moyen d’une détection sophistiquée. La modélisation globale sophistiquée permet de signaler uniquement les comportements inhabituels et inquiétants des utilisateurs, et ainsi de réduire de manière significative les faux positifs et les activités isolées normales.

Alertes de sécurité

View security alerts in context

Alertes de sécurité en contexte

Visualisez toutes les alertes liées aux activités suspectes des utilisateurs dans le contexte des indicateurs de menaces découverts dans le cadre de l’alerte. Chaque comportement inhabituel est présenté dans le contexte de l’activité de la base de référence de l’utilisateur et avec tous les événements bruts qui ont déclenché l’alerte, pour indiquer clairement la raison du déclenchement de l’alerte et simplifier l’enquête et le suivi.

Analyse précise des comportements des utilisateurs

Change Auditor crée des logs d’audit qui alimentent les analyses. Ainsi, toutes les données d’événements brutes utilisées pour la détection proactive des menaces dans votre environnement fournissent des informations essentielles, notamment l’auteur, l’objet, l’emplacement et la station de travail utilisée pour chaque modification. Change Auditor permet de détecter toutes les actions importantes des utilisateurs et donc d’éviter les lacunes dans l’analyse des comportements des utilisateurs.

Outil léger de détection des menaces liées aux utilisateurs

Exploitez votre infrastructure Change Auditor existante et les données d’audit pour modéliser le comportement des utilisateurs, et ainsi éviter le déploiement d’agents et de serveurs supplémentaires inutilement lourds. La seule infrastructure supplémentaire requise pour permettre l’analyse avancée des menaces liées aux utilisateurs est une simple appliance virtuelle.
Lauréate du People’s Choice Stevie Award 2018

Lauréate du People’s Choice Stevie Award 2018

La solution Change Auditor est lauréate du People’s Choice Stevie Award 2018 dans la catégorie meilleur logiciel, et du Silver Stevie 2018 dans la catégorie meilleur produit.

    Tableau de bord dynamique

  • Le tableau de bord dynamique affiche les comportements utilisateur les plus suspects.

    Tableau de bord dynamique
  • Détection proactive des menaces

  • Identifiez le niveau de risque des activités des utilisateurs en temps réel pour détecter les menaces.

    Détection proactive des menaces
  • Bases des comportements des utilisateurs

  • Modélisez les comportements des utilisateurs afin de créer une base d’activité normale des utilisateurs.

    Bases des comportements des utilisateurs
  • Détection des anomalies

  • Découvrez les activités anormales en comparant chaque action avec la base.

    Détection des anomalies
  • Détection basée sur les schémas

  • Affichez les alertes de menaces uniquement lorsqu’un schéma de comportement suspect est détecté.

    Détection basée sur les schémas
  • Alertes en contexte

  • Les alertes d’activités suspectes affichent tous les indicateurs avec l’alerte.

    Alertes en contexte
  • Ordre de priorité des alertes automatisé

  • Hiérarchisez les alertes en fonction des utilisateurs à plus haut risque dans votre environnement.

    Ordre de priorité des alertes automatisé
  • Investigation accélérée

  • Affichez l’historique complet des alertes avec des analyses permettant d’accélérer les investigations.

    Investigation accélérée
  • Détails des utilisateurs à risque

  • Les détails sur les utilisateurs à risque permettent d’affiner le contexte et d’accélérer les enquêtes de sécurité.

    Détails des utilisateurs à risque

Caractéristiques

Il existe des configurations système spécifiques pour le coordinateur de Change Auditor (côté serveur), le client Change Auditor (côté client), l’agent Change Auditor (côté serveur), et la station de travail et le client Web Change Auditor (composants en option). Pour une liste complète des configurations système et des autorisations requises pour l’ensemble des composants et systèmes cibles pouvant être audités par Change Auditor, reportez-vous au guide d’installation de Change Auditor.

Le coordinateur Change Auditor est chargé d’exécuter les demandes du client et de l’agent, ainsi que de générer les alertes.

Processeur

Équivalent ou supérieur à un processeur quatre cœurs Intel® Core™ i7

Mémoire

Minimale : 8 Go de RAM ou plus

Recommandée : 32 Go de RAM ou plus

SQL Server

Prise en charge des bases de données SQL Server jusqu’aux versions suivantes :

  • Microsoft SQL Server 2012 SP4
  • Microsoft SQL Server 2014 SP3
  • Microsoft SQL Server 2016 SP2
  • Microsoft SQL Server 2017
  • Microsoft SQL Server 2019

REMARQUE : Change Auditor prend en charge les groupes de disponibilité SQL AlwaysOn, les clusters SQL et les bases de données qui comportent une compression des lignes et des pages.

Système d’exploitation

La solution prend en charge les plateformes d’installation (x64) jusqu’aux versions suivantes :

  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

REMARQUE : Microsoft Windows Data Access Components (MDAC) doit être activé (MDAC fait partie du système d’exploitation et est activé par défaut).

Configuration et logiciels requis pour le coordinateur

Pour des performances optimales, Quest vous recommande vivement de suivre les instructions ci-dessous :

  • Installez le coordinateur Change Auditor sur un serveur membre dédié.
  • La base de données Change Auditor doit être configurée sur une autre instance SQL Server dédiée.

REMARQUE : Ne préallouez PAS une taille fixe à la base de données Change Auditor.

La configuration et les logiciels suivants sont également requis :

  • Le coordinateur requiert une connectivité LDAP et GC avec tous les contrôleurs du domaine local et du domaine root de la forêt.
  • Version x64 de Microsoft .NET 4.7.1
  • Version x64 de Microsoft XML Parser (MSXML) 6.0
  • Version x64 de Microsoft SQLXML 4.0
Espace requis pour le coordinateur
  • Estimation de l’espace de disque dur utilisé : 1 Go
  • La quantité de RAM utilisée par le coordinateur dépend fortement de l’environnement, du nombre de connexions d’agent et du volume d’événements.
  • La taille estimée de la base de données peut varier en fonction du nombre d’agents déployés et d’événements audités capturés.

D’autres autorisations minimums sont requises pour le coordinateur Change Auditor. Veuillez consulter le guide d’installation de Change Auditor.

Le serveur Change Auditor Threat Detection est une appliance virtuelle chargée d’analyser les logs d’audit de Change Auditor et de détecter les schémas de comportement suspect des utilisateurs. Pour plus d’informations sur le déploiement de l’appliance virtuelle, consultez le guide de déploiement de Change Auditor Threat Detection.

Déploiement sur Microsoft Hyper-V
  • L’hôte Hyper-V qui s’exécute sur Windows Server 2016
  • Configuration requise du serveur Threat Detection :
    • Taille du modèle : environ 10 Go
    • Processeur : 8 ou 16 cœurs, 2,3 GHz minimum, 2,4 GHz recommandé.
    • RAM : 64 Go
    • E/S : 500 Mo/s
    • Disque : SAS 320 Go, SAS 930 Go.
Déploiement sur VMware ESX
  • VMware ESXI version 5.5 et ultérieure qui est géré par VMware Vcenter version 5.5 et ultérieure
  • Les clients vSphere suivants sont pris en charge :
    • Avec ESX 5.5 - client Windows vSphere.
    • Avec ESX 6.0 - client Flash vSphere.
    • Avec ESX 6.5 - client Flex vSphere, client HTML5 vSphere.
  • OVA édition petites et moyennes entreprises :
    • Taille de fichier OVA : environ 10 Go
    • Processeur : 8 cœurs, 2,3 GHz minimum, 2,4 GHz recommandé
    • RAM : 64 Go
    • E/S : 500 Mo/s
    • Disque : SAS 320 Go, SAS 930 Go
  • OVA édition grandes entreprises :
    • Taille de fichier OVA : environ 10 Go
    • Processeur : 16 cœurs, 2,3 GHz minimum, 2,4 GHz recommandé
    • RAM : 64 Go
    • E/S : 500 Mo/s
    • Disque : SAS 320 Go, SAS 930 Go

Ressources

Change Auditor Threat Detection
Fiche technique
Change Auditor Threat Detection
Change Auditor Threat Detection
Suivez et confirmez rapidement tout changement ou les modifications quotidiennes apportées au système
Lire la fiche technique
Change Auditor Family
Fiche technique
Change Auditor Family
Change Auditor Family
Ensure security, compliance and control of AD and Azure AD.
Lire la fiche technique
Change Auditor 7.1 – New Features
Change Auditor 7.1 – New Features

10:32

Vidéo
Change Auditor 7.1 – New Features
Explore Change Auditor’s new features, such as Golden Ticket detection & auditing Kerberos and NTLM authentication.
Regarder la vidéo
Office 365 and Azure AD Security Events to Monitor During the COVID-19 Crisis
eBook
Office 365 and Azure AD Security Events to Monitor During the COVID-19 Crisis
Office 365 and Azure AD Security Events to Monitor During the COVID-19 Crisis
Increase in remote workers means explosive adoption and utilization of Office 365 workloads such as Teams, Exchange Online, SharePoint Online and OneDrive for Business. Malicious actors can try and take advantage of distracted organizations during a global crisis, so you need to carefully monitor th
Lire l'eBook
TROIS FAÇONS SELON LESQUELLES UN UTILISATEUR PRIVILÉGIÉ PEUT INTÉGRER VOTRE ENVIRONNEMENT ACTIVE DIRECTORY
eBook
TROIS FAÇONS SELON LESQUELLES UN UTILISATEUR PRIVILÉGIÉ PEUT INTÉGRER VOTRE ENVIRONNEMENT ACTIVE DIRECTORY
TROIS FAÇONS SELON LESQUELLES UN UTILISATEUR PRIVILÉGIÉ PEUT INTÉGRER VOTRE ENVIRONNEMENT ACTIVE DIRECTORY
Ce livre électronique examine les menaces internes et huit bonnes pratiques de sécurité AD afin de réduire les risques et le temps de restauration.
Lire l'eBook
What is Quest Change Auditor and how does it compare to and complement Microsoft ATP and third-party SIEM solutions?
What is Quest Change Auditor and how does it compare to and complement Microsoft ATP and third-party SIEM solutions?

14:10

Vidéo
What is Quest Change Auditor and how does it compare to and complement Microsoft ATP and third-party SIEM solutions?
Hear Quest product experts, Ghazwan Khairi, Bryan Patton and Robert Tovar discuss the real-time security and IT auditing of Change Auditor and how it compares to and integrates with SIEM solutions and Microsoft Advanced Threat Protection.
Regarder la vidéo
NEUF BONNES PRATIQUES POUR LA SÉCURITÉ D’ACTIVE DIRECTORY
eBook
NEUF BONNES PRATIQUES POUR LA SÉCURITÉ D’ACTIVE DIRECTORY
NEUF BONNES PRATIQUES POUR LA SÉCURITÉ D’ACTIVE DIRECTORY
Ce livre électronique explore l’anatomie d’une menace interne sur AD et explique les meilleures stratégies de défense pour y faire face.
Lire l'eBook
Active Directory and Azure AD Security Best Practices
eBook
Active Directory and Azure AD Security Best Practices
Active Directory and Azure AD Security Best Practices
Why Worry About Hybrid AD Security? A prominent Microsoft MVP explains in this eBook.
Lire l'eBook

Commencez dès maintenant

Détectez de manière proactive les menaces de sécurité liées aux utilisateurs dans vos environnements Microsoft