Новость из категории: Информация

Просто и понятно о безопасности гибридной Active Directory. Часть VI

Содержание:
1. Часть I;
2. Часть II ;
3. Часть III;
4. Часть IV;
5. Часть V;
6. Часть VI (Вы читаете данный раздел);
7. Часть VII;
8. Часть VIII;
9. Часть IX;
10. Часть X.
Просто и понятно о безопасности гибридной Active Directory. Часть VI

Аудит в центре безопасности и соответствия требованиям

Компания Microsoft обеспечивает централизованный доступ ко всем этим данным с помощью функции Audit Log Search («Поиск по журналу аудита») портала Security & Compliance Portal в Office 365. Поиск по журналу аудита выглядит в значительной мере как упрощенное веб-средство просмотра событий, но с дополнительным преимуществом — более чем сотней заранее определенных действий (например, назначение разрешений почтовому ящику), ускоряющих процесс поиска нужных записей журнала.

Просто и понятно о безопасности гибридной Active Directory. Часть VI
Фильтрация результатов

Результаты можно фильтровать (как показано на экране выше) с помощью простых текстовых значений. В контексте Office 365 вы вплотную подходите к вопросам типа «Что пользователь А делал вчера?», поскольку можете указать в фильтре имя пользователя и вчерашнюю дату и получить ответ. Схожая технология аудита используется во многих программа для торговых сетей, примером может послужить система автоматизации торговли Rosta, - она давно отлажена и зарекомендовала себя исключительно с положительной стороны.

Результаты можно экспортировать в файл типа CSV: только первые 1000 результатов, представленные в консоли, или все результаты вместе с дополнительными сведениями для каждой записи журнала.

Просто и понятно о безопасности гибридной Active Directory. Часть VI

Аудит с использованием PowerShell

В Office 365 всю перечисленную информацию можно получить с помощью PowerShell. Этот процесс требует кропотливой настройки, ее описание требует отдельной статьи. Вам необходимо включить аудит, организовать сеанс PowerShell с Office 365 с помощью команды New-PSSession и воспользоваться командой Search-UnifiedAnditLog для получения нужных данных.

Просто и понятно о безопасности гибридной Active Directory. Часть VI

Можно ли на самом деле узнать, что они делают?

Цель — обеспечить просмотр операций доступа и изменений в AD и приложениях, работающих с AD. Перед вами большой выбор инструментов, но есть и препятствия. В самих данных существует очевидное разделение локальный/«облачный»; ни одна консоль не позволяет увидеть данные локальной службе каталога AD и данные AAD и Office 365 в одном месте. Другая проблема, не нуждающаяся в объяснении,— множество консолей.

И наконец, встроенные инструменты хороши для простых вопросов, когда ответ может быть определен путем фильтрации нескольких полей. Они превосходны, если есть ограниченный набор запросов, каждый из которых приносит простые события. Но если нужна аналитика, централизованный доступ ко всем источникам данных и интерфейс, спроектированный с учетом этих двух факторов, то, вероятно, придется обратиться к сторонним инструментам. Кроме того, необходимо решить, можно ли получить нужный ответ на основе лишь необработанных фильтрованных данных или требуется сопоставить данные из более чем одного журнала, чтобы уточнить последовательность действий и определить контекст, показывающий, были ли действия пользователя легитимными, подозрительными или явно преступными.

Рейтинг статьи

Оценка
3/5
голосов: 2
Ваша оценка статье по пятибальной шкале:
 
 
   

Поделиться

Похожие новости

Комментарии

^ Наверх