Новость из категории: Информация

Просто и понятно о безопасности гибридной Active Directory. Часть IV

Содержание:
1. Часть I;
2. Часть II ;
3. Часть III;
4. Часть IV (Вы читаете данный раздел);
5. Часть V;
6. Часть VI;
7. Часть VII;
8. Часть VIII;
9. Часть IX;
10. Часть X.
Просто и понятно о безопасности гибридной Active Directory. Часть IV

Аудит AD с использованием собственных инструментов

Предполагается, что ранее вы уже задействовали средство просмотра событий и, по крайней мере, вам известны основные типы доступных журналов. Поэтому сосредоточимся на том, как централизовать данные журналов и наиболее эффективно применять средство просмотра событий, работая на упреждение.

Просто и понятно о безопасности гибридной Active Directory. Часть IV

Централизованный аудит с подписками на события

Наш акцент в области обеспечения безопасности — на пользователях и их действиях, поэтому полезно иметь возможность сделать запрос типа «показать все действия, выполненные пользователем А вчера». Вряд ли что-то подобное будет возможно с помощью средства просмотра событий в обозримом будущем, но к цели можно приблизиться благодаря подпискам на события. Если вы не работали с ними раньше, то помните, что они позволяют настроить пересылку событий в центральный компьютер (предположительно на сервер). Объединяя данные в общем центре, вы на шаг приблизитесь к тому, чтобы собрать все действия из запроса пользователя А для просмотра в одном месте. После завершения настройки вы можете создать подписку на компьютере-сборщике, выбрать компьютеры, из которых будут извлекаться данные, и даже указать, какие события будут извлекаться, как показано на экране ниже. Это стольже эффективно в плане аудита конкретного приложения или системы, как и использование системы КонсультантПлюс (подробности на https://www.4dk.ru/consultant-plus/buhgalteru-kbo) при организации бюджетного учета вашей компании.

Просто и понятно о безопасности гибридной Active Directory. Часть IV
Создание подписки на события

Обратите внимание, что этот подход не заменяет управления журналами событий или решений класса SIEM; в конечном итоге для хранения собранных данных журналов событий потребуется очень много места, а запросы в средстве просмотра событий замедлятся до предела. Этот прием подойдет для владельцев нескольких компьютеров, на которых размещаются журналы, чтобы они смогли увидеть все свои данные в одном месте.

Следующий шаг — поиск способов получать ответы гораздо быстрее, чем при фильтрации вручную.

Ускорение поиска с использованием фильтрации XML

Проблема со стандартным поиском и фильтрацией в средстве просмотра событий имеет два аспекта. Во-первых, для построения нужного запроса потребуется некоторое время; во-вторых, фильтрация на основе графического интерфейса не охватывает все данные, обнаруживаемые для события.

Просто и понятно о безопасности гибридной Active Directory. Часть IV
Вкладка XML

Самый продуктивный способ фильтрации данных журнала — заранее построить собственное пользовательское представление на основе XML. Вы можете начать с предоставления всех необходимых сведений на вкладке Filters, а затем перейти на вкладку XML для совершенствования XML-запроса. Например, приведенный на экране выше фильтр XML был создан для того, чтобы показать любые изменения, внесенные в группу администраторов домена.

Вы можете задействовать любой элемент метаданных события (которые можно просмотреть, открыв свойства данного события и выбрав вкладку XML) наряду с логическими операторами (инструкции AND и OR), чтобы создать сколь угодно сложный XML-фильтр. Хотите узнать, что делали вчера те или иные пользователи или поместить события из нескольких журналов в одно представление? Это и многое другое можно сделать с помощью фильтров XML.

Просто и понятно о безопасности гибридной Active Directory. Часть IV

Хотя фильтры XML приближают вас к возможности задать настоящие аудиторские вопросы, например «кто вчера обращался к почтовому ящику главного управляющего?», но работать с ними сложнее, чем со сторонними решениями. Кроме того, в конечном итоге вы видите сырые данные из журнала событий — анализ отсутствует, есть только информация.

Рейтинг статьи

Оценка
0/5
голосов: 0
Ваша оценка статье по пятибальной шкале:
 
 
   

Поделиться

Похожие новости

Комментарии

^ Наверх