Change Auditor Threat Detection
Game over for rogue users with Change Auditor Threat Detection
Detección proactiva de amenazas de usuarios para entornos Microsoft
Change Auditor Threat Detection ofrece un método exclusivo para detectar amenazas del usuario mediante el modelado de patrones correspondientes al comportamiento de cada usuario con el objetivo de detectar actividades anómalas que podrían indicar la existencia de usuarios sospechosos o cuentas en peligro. Mediante el análisis de la actividad del usuario y el uso de una exclusiva tecnología de aprendizaje avanzado, análisis del comportamiento de usuarios y entidades (UEBA), y sofisticados algoritmos de puntuación, Change Auditor Threat Detection clasifica los usuarios de mayor riesgo en su empresa, identifica posibles amenazas de usuarios y disminuye el ruido de falsas alarmas. Finalmente, podrá dejar atrás las ineficacias de las herramientas de auditoría nativas para que su entorno esté seguro.
Descubra de manera rápida y sencilla amenzas como:
Exfiltración de los datos
identifique fácilmente los usuarios o cuentas comprometidos en el intento de robo o destrucción de datos.
Software malicioso
reconozca rápidamente los intentos de software maliciosos de apoderarse de cuentas de usuario y privilegios.
Uso malintencionado de cuentas privilegiadas
sepa cuándo un programa o script se ha apoderado de las credenciales de usuario.
Ataques por fuerza bruta
identifique los atacantes al asociar eventos de seguridad repetidos con alertas relacionadas.
Privilegios elevados
detecte las elevaciones de privilegios incorrectas al resaltar eventos y acciones de usuario relacionadas.
Actividad anormal en AD
identifique rápidamente las actividades de usuario sospechosas en AD.
Movimiento lateral
identifique a los atacantes al comparar patrones de comportamiento inusual con las líneas de base de los usuarios.
Acceso indebido al sistema o los recursos
envíe alertas a los usuarios que intentan acceder a datos innecesarios.
Change Auditor Threat Detection le permite hacer lo siguiente:
- Detectar, de forma proactiva, amenazas según patrones de comportamiento del usuario
- Disminuir la gran cantidad de alertas inherentes de la detección de amenazas basada en reglas
- Detectar fácilmente cuando un usuario actúa de forma inusual gracias a líneas de base sobre el comportamiento de usuarios
- Ver alertas de seguridad en contexto para determinar la gravedad con rapidez y facilidad
- Identificar amenazas según los datos de auditoría existentes para minimizar el impacto en su infraestructura
Características
Análisis de registros de auditoría en tiempo real
Analice eficientemente un gran volumen de datos de auditoría en tiempo real, como cambios en AD, autenticaciones y actividad de los archivos. Desarrolle líneas de base sobre los usuarios a partir de estos eventos de actividad sin procesar y detecte, de forma proactiva, cuando el comportamiento del usuario parezca inusual para conocer de inmediato las posibles actividades sospechosas.
Análisis automatizado del comportamiento de los usuarios (UEBA)
Realice un modelo de los patrones de actividad de los usuarios sin intervención del administrador ni configuraciones. Las líneas de base del comportamiento de los usuarios se crean automáticamente mediante aprendizaje de máquina avanzado y no supervisado; en consecuencia, se obtiene un modelo de cada aspecto de la actividad de los usuarios, como patrones de inicio de sesión, actividad administrativa y acceso a archivos o carpetas.
Sofisticada detección de anomalías en el comportamiento
Identifique actividad inusual del usuario comparando las acciones de cada usuario con la línea de base correspondiente al comportamiento de dicho usuario. Una sofisticada detección de indicador de amenazas y una puntuación de riesgos multinivel garantizan que solo se destaquen las anomalías más llamativas, que representan los comportamientos más peligrosos.
Detección de amenazas de usuarios basada en patrones
Las alertas SMART de amenazas de usuarios solo se muestran cuando se detecta un patrón relacionado con el comportamiento inusual de un usuario. En lugar de depender de reglas para detectar ciertas actividades, analice automáticamente toda la actividad del usuario en vivo e identifique los usuarios más sospechosos del entorno a través de una sofisticada detección de patrones del comportamiento. Un sofisticado modelado global garantiza que solo se destaquen los patrones de comportamiento de usuario más críticos y preocupantes; de esta forma, disminuye el ruido producto de actividades aisladas y falsas alarmas.
Análisis de usuarios de gran fidelidad
Change Auditor crea los registros de auditoría que se utilizan en el análisis para que todos los datos de eventos sin procesar que se utilizan para detectar de forma proactiva las amenazas de su entorno incluyan, de forma inherente, información valiosa como la siguiente:
- La persona que realizó la modificación
- El elemento que se modificó
- El momento de la modificación
- El lugar de la modificación
- La dirección IP o estación de trabajo donde se realizó la modificación
A diferencia de los registros de evento nativos de Windows, Change Auditor se asegura de que no falte ninguna acción importante del usuario; de lo contrario, es posible que aparezcan brechas críticas en el análisis de comportamiento de los usuarios.
Alertas de seguridad en contexto
Vea todas las alertas de actividad sospechosa del usuario en el contexto de los indicadores de amenaza que se descubrieron como parte de la alerta. Todas las anomalías de comportamiento se incluyen en el contexto de la actividad de la línea base del usuario y con todos los eventos sin procesar que iniciaron la alerta. De esta forma, se indica de forma clara el motivo de la alerta y se simplifican la investigación y el seguimiento.
Detección ligera de amenazas del usuario
Aproveche la infraestructura de Change Auditor y los datos de auditoría existentes para realizar un modelo del comportamiento del usuario de modo que no haya necesidad de implementar agentes y servidores adicionales innecesariamente rígidos. La única infraestructura adicional que se necesita para habilitar el análisis avanzado de amenazas de usuario es un solo dispositivo virtual.
Presentación
Panel dinámico
Detección de amenazas proactiva
Líneas de base de comportamientos de usuarios
Detección de anomalías
Detección basada en patrones
Alertas en contexto
Prioridad de alertas automatizadas
Investigación acelerada
Especificaciones
Se debe contar con ciertos requisitos del sistema para el coordinador de Change Auditor (del extremo del servidor), el cliente de Change Auditor (del extremo del cliente), el agente de Change Auditor (del extremo del servidor), y la estación de trabajo y el cliente web de Change Auditor (componentes adicionales). Para obtener una lista completa de los requisitos del sistema y los permisos requeridos para todos los componentes y sistemas de destino que pueden auditarse mediante Change Auditor, consulte la Guía de instalación de Change Auditor.
El coordinador de Change Auditor es responsable de cumplir con las solicitudes del cliente y del agente, y de generar alertas.
- Procesador
Intel® Core™ i7 de cuatro núcleos (similar o superior)
- Memoria
Mínima: 8 GB de RAM o superior
Recomendada: 32 GB de RAM o superior
- SQL Server
Bases de datos SQL que tienen soporte hasta las siguientes versiones:
- Microsoft SQL Server 2008 R2 SP3
- Microsoft SQL Server 2012 SP4
- Microsoft SQL Server 2014 SP2
- Microsoft SQL Server 2016 SP1
- Microsoft SQL Server 2017
NOTA: Change Auditor no admite la tecnología de alta disponibilidad de SQL más allá de los clústeres.
- Sistema operativo
Plataformas de instalación (x64) que cuentan con soporte hasta las siguientes versiones:
- Windows Server 2008 R2 SP1
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
NOTA: Se debe habilitar Microsoft Windows Data Access Components (MDAC). (MDAC es parte del sistema operativo y está habilitado de manera predeterminada).
- Software y configuración del coordinador
Para obtener el mejor rendimiento, Quest recomienda enérgicamente lo siguiente:
- Instale el coordinador de Change Auditor en un servidor miembro dedicado.
- La base de datos de Change Auditor debe configurarse en una instancia de SQL Server dedicada e independiente.
NOTA: NO asigne previamente un tamaño fijo para la base de datos de Change Auditor.
Además, se requiere el siguiente software o la siguiente configuración:
- El coordinador debe tener conectividad LDAP y GC con todas las controladoras de dominio en el dominio local y el dominio raíz del bosque.
- Versión x64 de Microsoft .NET 4.6.1
- Versión x64 de Microsoft XML Parser (MSXML) 6.0
- Versión x64 de Microsoft SQLXML 4.0
- Espacio del coordinador
- Estimación de espacio de disco duro utilizado: 1 GB
- El uso de la memoria RAM del coordinador es altamente dependiente del entorno, la cantidad de conexiones del agente y el volumen del evento.
- El tamaño estimado de la base de datos puede variar en función de la cantidad de agentes implementados y eventos capturados auditados.
Se requieren permisos mínimos adicionales de Account Coordinator; consulte la Guía de instalación de Change Auditor.
El servidor de Change Auditor Threat Detection utiliza aprendizaje de máquina avanzado y análisis de comportamiento de usuarios y entidades (UEBA) para analizar los registros de auditoría que crea la solución. Se proporciona como un dispositivo virtual (archivo OA).
- VMWare ESX versión 5.5 y superior
- Edición empresarial de OVA de tamaño pequeño y mediano:
- CPU: 8 núcleos de 2,3 GHz (mínimo) o 2,4 GHz (recomendado)
- RAM: 64 GB
- E/S: 500 MB/s
- Disco: SAS 320 GB, SAS 930 GB
- Edición empresarial de OVA de tamaño grande:
- CPU: 16 núcleos de 2,3 GHz (mínimo) o 2,4 GHz (recomendado)
- RAM: 64 GB
- E/S: 500 MB/s
- Disco: SAS 320 GB, SAS 930 GB
Obtenga una dirección IP estática para el servidor de Threat Detection y agregue el registro de DNS (A).
Recursos
Change Auditor Threat Detection
Detección proactiva de amenazas basadas en el comportamiento de los usuarios para entornos Microsoft
LAS NUEVE MEJORES PRÁCTICAS DE SEGURIDAD DE ACTIVE DIRECTORY
En este libro electrónico, se realiza un estudio detallado de una amenaza interna de AD y se detallan las mejores estrategias de defensa.
How to Mitigate the Insider Threat
This eBook provides solutions to stop insider threats, manage privileged accounts, simplify GPO management and administration.
Randy Franklin Smith white paper: Securing Active Directory by Using the NIST Cybersecurity Framework
NIST cybersecurity framework enables organizations to create a secure environment. Learn how to apply this framework to your AD and Microsoft environment.
Three ways a privileged user can hose your Active Directory
This eBook reviews insider threats and eight AD security best practices to reduce risk and recovery time.
How to Spot Insider Threats Before They Wreak Havoc
Change Auditor Threat Detection distills AD audit data down to a manageable number of SMART alerts and highlights the riskiest users through pattern-based
Tackling insider threat detection with user behavior analytics
Review challenges detecting an insider threat, benefits and limitations of rule-based tools and explore user behavior analytics threat detection solutions
Inside Change Auditor Threat Detection
Identify insider threats with advanced machine learning, user and entity behavioral analytics (UEBA), and SMART correlation technology to stop data breach
- Más recursos
- Comunidades
- Videos
Dé el próximo paso.
Productos relacionados
Change Auditor for Active Directory
Realice rápidamente un seguimiento y corrobore los cambios o las modificaciones diarias del sistema.
Change Auditor for Logon Activity
Obtenga respuestas a preguntas de seguridad y de cumplimiento críticas
Change Auditor for Windows File Servers
Realice un seguimiento, audite y reciba los informes de todos los cambios del sistema de Windows File Server en tiempo real.
Change Auditor for NetApp
Audite todos los eventos relacionados con la actividad del archivo y los permisos de sus dispositivos NAS NetApp.
Change Auditor for EMC
Audite todos los eventos relacionados con la actividad del archivo y los permisos de sus dispositivos NAS EMC.
Change Auditor for Fluid FS
Audite todos los eventos relacionados con la actividad de archivo y los permisos de sus dispositivos NAS FluidFS.