Identifique fácilmente los usuarios o cuentas comprometidos en el intento de robo o destrucción de datos.
Reconozca rápidamente los intentos de software malicioso de apoderarse de cuentas de usuario y privilegios.
Sepa cuándo un programa o script se ha apoderado de las credenciales de usuario.
Identifique los atacantes al asociar eventos de seguridad repetidos con alertas relacionadas.
Detecte las elevaciones de privilegios incorrectas al resaltar eventos y acciones de usuario relacionadas.
Identifique rápidamente las actividades de usuario sospechosas en AD.
Identifique a los atacantes al comparar patrones de comportamiento inusual con las líneas de base de los usuarios.
Envíe alertas a los usuarios que intentan acceder a datos innecesarios.
Analice un gran volumen de datos de auditoría en tiempo real y de manera eficaz, como cambios en AD, autenticaciones y actividad de los archivos. Desarrolle líneas de base sobre los usuarios a partir de estos eventos de actividad sin procesar y detecte, de forma proactiva, cuando el comportamiento del usuario parezca inusual para conocer de inmediato las posibles actividades sospechosas.
Realice un modelo de los patrones de actividad de los usuarios sin intervención del administrador ni configuraciones. Las líneas de base del comportamiento de los usuarios se crean automáticamente mediante aprendizaje automático avanzado y no supervisado; en consecuencia, se obtiene un modelo de cada aspecto de la actividad de los usuarios, como patrones de inicio de sesión, actividad administrativa y acceso a archivos o carpetas.
Identificar actividad inusual del usuario al comparar las acciones de cada usuario con la línea de base correspondiente a su comportamiento. Una sofisticada detección de indicador de amenazas y una puntuación de riesgos multinivel garantizan que solo se destaquen las anomalías más llamativas, que representan los comportamientos más peligrosos.
En lugar de confiar en reglas para detectar actividades específicas, analice la actividad de los usuarios a medida que se producen. Identifique los usuarios más sospechosos mediante la detección avanzada de patrones de comportamiento de usuarios. Un sofisticado modelado global garantiza que solo se destaquen los patrones de comportamiento de usuario más críticos y preocupantes; de esta forma, se disminuye el ruido producido por actividades aisladas y falsas alarmas.
Visualice todas las alertas de actividad sospechosa del usuario en el contexto de los indicadores de amenaza que se descubrieron como parte de la alerta. Todas las anomalías de comportamiento se incluyen en el contexto de la actividad de la línea base del usuario y con todos los eventos sin procesar que iniciaron la alerta. De esta forma, se indica de forma clara el motivo de la alerta y se simplifican la investigación y el seguimiento.
Se debe contar con ciertos requisitos del sistema para el coordinador de Change Auditor (del extremo del servidor), el cliente de Change Auditor (del extremo del cliente), el agente de Change Auditor (del extremo del servidor), y la estación de trabajo y el cliente web de Change Auditor (componentes adicionales). Para obtener una lista completa de los requisitos del sistema y los permisos requeridos para todos los componentes y sistemas de destino que pueden auditarse mediante Change Auditor, consulte la Guía de instalación de Change Auditor.
El coordinador de Change Auditor es responsable de cumplir con las solicitudes del cliente y del agente, y de generar alertas.
Intel® Core™ i7 de cuatro núcleos (similar o superior)
Mínima: 8 GB de RAM o superior
Recomendada: 32 GB de RAM o superior
Bases de datos SQL que tienen soporte hasta las siguientes versiones:
NOTA: Change Auditor es compatible con SQL AlwaysOn Availability Groups, SQL Clusters y bases de datos que tengan compresión de filas y páginas aplicadas.
Plataformas de instalación (x64) que cuentan con soporte hasta las siguientes versiones:
NOTA: Se debe habilitar Microsoft Windows Data Access Components (MDAC). (MDAC es parte del sistema operativo y está habilitado de manera predeterminada).
Para obtener el mejor rendimiento, Quest recomienda enérgicamente lo siguiente:
NOTA: NO asigne previamente un tamaño fijo para la base de datos de Change Auditor.
Además, se requiere el siguiente software o la siguiente configuración:
Se requieren permisos mínimos adicionales de Account Coordinator; consulte la Guía de instalación de Change Auditor.
El servidor de Change Auditor Threat Detection es un dispositivo virtual que se ocupa de analizar los registros de auditoría de Change Auditor y detectar patrones de comportamiento sospechoso de los usuarios. Para obtener más información sobre la implementación del dispositivo virtual, consulte la Guía de implementación de Change Auditor Threat Detection.