Change Auditor for Active Directory
ChangeAuditor for Active Directoryの概要
機能
Change Auditor Threat Detectionによるプロアクティブな脅威検知
異常なアクティビティを分析して組織におけるユーザのリスクをランク付けすることにより、ユーザ脅威の検知をシンプルにし、潜在的な脅威を識別すると同時に、誤検知アラートによるノイズを削減します。
相関関係を示すビューを使用したハイブリッド環境の監査
Active DirectoryおよびAzure AD環境を監査します。 ChangeAuditorには、ハイブリッドAD環境全体にわたるアクティビティの相関関係を示す単一のビューが備わっています。そのため、オンプレミスかクラウドかを問わず、環境内で発生したすべての変更を把握することができます。
分散したITデータを多数のシステムおよびデバイスからインタラクティブな検索エンジンに関連付け、迅速なセキュリティ・インシデント・レスポンスとフォレンジック分析を実現します。 ユーザーの資格とアクティビティ、イベントのトレンド、不審なパターンなど、さまざまなデータを豊富な可視化機能やイベントタイムラインを使用して確認できます。
一覧表示
変更イベントについて、誰がどのような変更をいつどこで、どのワークステーションを使用して、どのような理由により行ったかという情報に加え、すべての変更に関する元の値と現在の値を含む詳細な情報により、ユーザーおよび管理者のアクティビティを追跡します。
AD変更のロールバック
ユーザーのロールバックを要求する権利と権限に応じて、ChangeAuditorコンソールで直接ボタンをクリックして行われた、未承認の誤った変更や不適切な変更について、以前の値がリストアされます。
関連検索
現在表示されている変更に関するあらゆる情報と、関連するすべてのイベント(特定のユーザーやワークステーションで起こっている変更など)を、ワンクリックで瞬時に把握できます。これにより、憶測に基づいた作業を減らし、セキュリティ上の懸念事項を明確にできます。
アカウントロックアウト
発信元のIPアドレス/ワークステーション名を取得して、アカウントロックアウトイベントを実施するため、トラブルシューティングが簡素化されます。
オブジェクト保護
誤ってOUが削除されたり、GPO設定が書き換えられたりして、最も重要なActive Directoryオブジェクトが変更されることがないよう保護します。
高性能な監査エンジン
監査上の制約を解消し、標準的な監査ログに頼ることなく変更内容を把握できます。これにより、より早く結果を得ることができ、ストレージリソースを大幅に削減できます。
セキュリティタイムライン
変更イベントの表示、ハイライト、フィルタリングを行い、ADとAzure AD環境全体にわたる変更イベントとその他のセキュリティイベントの関連性を時系列で把握できるため、より高度なフォレンジック分析やセキュリティ・インシデント・レスポンスが実現します。
統合されたイベント転送
SIEMソリューションと容易に統合し、ChangeAuditorイベントをSplunk、HP Arcsight、またはIBM QRadarに転送できます。 さらにChangeAuditorは、Quest InTrustと統合して、20対1に圧縮された長期的なイベントストレージとネイティブまたはサードパーティによるログの集約を実現することで、SIEM転送におけるストレージコストを削減し、高圧縮のログリポジトリを作成します。
ロールベースのアクセス
監査人が検索やレポート作成を実施できるように、アクセス権を設定できます。アプリケーションの設定を変更する権限を監査人に付与する必要はなく、また管理者が監査をサポートする必要もありません。
移動中も可能なリアルタイム通知
重大な変更やパターンが検出された場合に、至急の対応を促す通知をEメールやモバイルデバイスで受け取ることができます。これにより、現場にいないときでも、セキュリティの脅威により早く対応できます。
Webベースのアクセスとダッシュボードレポートの作成
Webブラウザを使用して、どこからでも検索を行い、対象を絞ったダッシュボードレポートを作成することが可能です。これにより、アーキテクチャや管理システムの知識がなくても、上位の管理部門や監査担当者が必要な情報にアクセスできます。
スクリーンショット
アラート
グループポリシー
アカウントロックアウト
オブジェクト保護
ロールベースのアクセス
仕様
Change Auditorコーディネータ(サーバ側)、Change Auditorクライアント(クライアント側)、Change Auditorエージェント(サーバ側)、そしてChange AuditorワークステーションおよびWebクライアント(オプションコンポーネント)には固有のシステム要件があります。 Change Auditorで監査できるすべてのコンポーネントおよびターゲットシステムのシステム要件と必要な権限の詳細なリストについては、『Change Auditorインストールガイド』(英語版)を参照してください。
ChangeAuditorコーディネータは、クライアントとエージェントのリクエストの処理、およびアラートの生成を行います。
- プロセッサー
クアッドコアインテル® Core™ i7(または同等以上)
- メモリ
最小: 8 GB以上のRAM
推奨: 32 GB以上のRAM
- SQL Server
次のバージョンまでのSQLデータベースがサポートされています。
- Microsoft SQL Server 2008 R2 SP3
- Microsoft SQL Server 2012 SP4
- Microsoft SQL Server 2014 SP2
- Microsoft SQL Server 2016 SP1
- Microsoft SQL Server 2017
注意: ChangeAuditorは、SQLのクラスタ以外の高可用性テクノロジーをサポートしていません。
- オペレーティングシステム
インストール先のプラットフォーム(x64版)として、次のバージョンまでがサポートされています。
- Windows Server 2008 R2 SP1
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
注意: Microsoft Windows Data Access Components(MDAC)が有効になっている必要があります。 (MDACは、オペレーティングシステムの一部として搭載されており、デフォルトで有効になっています)。
- コーディネータのソフトウェアおよび構成
最適なパフォーマンスを実現するためのQuestからの推奨事項:
- Change Auditorコーディネータを専用のメンバーサーバにインストールします。
- Change Auditorデータベースは、専用の独立したSQL Serverインスタンス上に構成してください。
注意: ChangeAuditorデータベースには、事前に固定サイズを割り当てないでください。
さらに、次のソフトウェアまたは構成が必要です。
- コーディネータでは、ローカルドメインおよびフォレスト・ルート・ドメインのすべてのドメインコントローラーに対して、LDAPおよびGCによる接続が確立されている必要があります。
- Microsoft .NET 4.6.1(x64版)
- Microsoft XML Parser(MSXML)6.0(x64版)
- Microsoft SQLXML 4.0(x64版)
- コーディネータの使用容量
- ハードディスク容量: 約1 GB。
- コーディネータのRAM使用量は、環境、エージェント接続の数、およびイベントボリュームによって大幅に異なります。
- データベースの想定サイズは、導入されるエージェントの数およびキャプチャされる監査対象イベントの数によって異なります。
アカウントコーディネータに最低限必要なその他の権限については、『Change Auditorインストールガイド』(英語版)を参照してください。
リソース
ChangeAuditor for Active Directory
あらゆる変更や日々のシステム修正を迅速に追跡し、確認
インサイダー脅威を 軽減する方法
お使いの環境を保護するベストプラクティス、そして実践ツール
大惨事に至る前に 内部関係者による 脅威を発見する方法
Change Auditor Threat Detectionは、AD監査データから扱いやすい数のSMARTアラートだけを抽出し、パターンベース手法で最もリスクの高いユーザをハイライトします
ユーザ行動分析に基づいて 内部関係者による脅威に対応
内部関係者による脅威を検知するにあたっての課題、ルールおよびパターンベースの脅威検知ソリューションのメリットとデメリットを確認します。
Change Auditor Threat Detectionのメカニズム
高度な機械学習、ユーザとエンティティの行動分析(UEBA)、SMART相関テクノロジーを使用して組織内部のリスクを識別し、データ漏洩を防止します。
AzureおよびOce 365に向けたActive Directoryの刷新
Azure Active Directoryを使用したO ce 365のスムーズな実装のガイドライン
Change Auditorで作成できる Active Directoryの最も重要な 10種類のレポート
Change Auditorの最も重要な10種類のレポートについて説明します。 これらのレポートを定期的に実行することで、AD環境の安定性とセキュリティの確保にどれほど役立つか、ぜひご確認ください。
セキュリティと生産性を向上 させた政府関連機関
テキサス州北部中央自治体評議会(NCTCOG: North Central Texas Council of Governments)は、QuestのMicrosoft Platform Managementソリューションによって、 ハイブリッドIT環境全体における変更に対してリアルタイム制御を実現しました。
関連製品
Change Auditor for Active Directory Queries
LDAPクエリデータを簡素化して最適化
Change Auditor for EMC
お使いのEMC NASデバイスに関するファイルアクティビティと権限に関連する全イベントを監査
サポートおよびサービス
製品サポート
製品のインストール、設定、トラブルシューティングに、セルフサービスツールをお役立てください。
サポートサービス
お客様固有のニーズにお応えできるよう、さまざまなレベルのサポートをご用意しています。
プロフェッショナルサービス
オンサイトやリモートサイトで提供されている幅広いサービスの中から、お客様のニーズに合ったものをお選びください。
トレーニングと認定資格
オンライン(Webベース)、オンサイト、仮想インストラクタ主導型などの形式で提供される、トレーニングコースです。