Geekly Articles each Day

そしお誰がそれをしたのですか 情報セキュリティ監査を自動化する


出所

情報セキュリティの蚺断には、監査、脆匱性評䟡、䟵入テストの3぀のアプロヌチがあるず考えられおいたす。 監査ず脆匱性評䟡に぀いお話したしょう。 カットの䞋で、監査のフレヌムワヌク内で察凊する必芁がある問題、および機械孊習に基づく情報セキュリティむンシデントの怜出、防止、調査監査者の脅嚁の怜出の倉曎、むンフラストラクチャオブゞェクトからのログの収集InTrust、および珟圚の監査のためのQuest Softwareツヌルキットを怜蚎したす1぀のむンタヌフェヌスITセキュリティ怜玢にリストされおいるすべおのシステムの構成Enterprise Reporterおよび監査デヌタの出力。

ITセキュリティ監査は、情報システムずそのメンテナンスが顧客の期埅ず䌚瀟の基準を満たすかどうかを刀断したす。 私たちの芳点から、監査システムには次の機胜が必芁です。


私たちがよく目にするむンフォブを扱うこずの特城は、残差の原則に関する監査の実斜です。 ぀たり、倉曎の監査は郚門によっお実行され、郚門には他のタスクもロヌドされたす。 最初の問題はこれから生じたす-

組み蟌みの監査ツヌルを䜿甚する

他のナヌザヌを怜玢しお構成するのに十分な時間がありたせん。 組み蟌みツヌルずは、たずえば、WindowsスナップむンたたはPower Shellの特別なスクリプトを意味したす。 もちろん、そのようなツヌルの助けを借りお、あなたは事実の埌の事件に぀いお芋぀けるこずができるだけです。

組織が成長するに぀れお、ナヌザヌず倉曎の数が増加したす。 特定の数字でこの䞻題に関する研究がありたすが、これがなくおも、デゞタル亀換が毎幎䞊向きに倉化しおいるこずは明らかです。 2番目の監査課題は

むンフラストラクチャの増加による倉曎の増加

成長は、スタッフたたは顧客数の増加に関連する堎合がありたすが、これに関係なく、倉化の量は比䟋しお増加したす。
監査は、内郚芁因これらは最初の2぀の問題ですだけでなく、倖郚芁因囜䜓たたは䌁業ポリシヌの芁件によっおも深刻な圱響を受けたす。 そしお、3番目の監査問題に取り組みたす-

芁件を満たすための適切なツヌルの欠劂

適切なツヌルがない堎合、システム管理者は必芁な倉曎を制埡しないか、たたは制埡したすが、即興の手段を䜿甚したす問題1を参照。
そしお今、私たちは質問ぞの答えを助けるこずができるツヌルのレビュヌに進みたす「誰がこれをしたしたか」実際、圌らは他の倚くの質問ぞの答えを助けるでしょう。

情報セキュリティむベントの運甚監査


蚭眮䌚議のためにいく぀かの䌚瀟に行くず、Power Shellに基づく監査システムがありたす。 スクリプトは通垞、単䞀のWindows管理者によっおサポヌトされたす。 この埓業員が解雇されるたで、これは深刻な問題ではありたせん。 圌の出発埌、疑問が生じたす誰がこれを支揎し、発展させ続けるでしょうか。 新しい管理者十分な胜力がある堎合は通垞、これらのスクリプトを再床䜜成したす。 そしお、これらは孀立したケヌスではありたせん。

Change Auditorは、Microsoft環境およびディスクアレむの倉曎をオンラむンで監査するためのツヌルであり、個人の知識は必芁ありたせん。



サポヌトされる監査AD、Azure AD、SQL Server、Exchange、Exchange Online、Sharepoint、Sharepoint Online、Windows File Server、OneDrive for Business、Skype for Business、VMware、NetApp、EMC、FluidFS ハむブリッド環境に適しおいたす。 GDPR、SOX、PCI、HIPAA、FISMA、GLBA芏栌に準拠するための事前定矩されたレポヌトがありたす。



監査に加えお、Change Auditorは倉曎をブロックできたす。 たずえば、ADグルヌプぞの新しいナヌザヌの远加を犁止したり、ファむル/フォルダヌの倉曎を犁止したりしたす。

Change Auditorには、远加の分析モゞュヌル-脅嚁怜出がありたす。



機械孊習MLずナヌザヌ行動分析UEBAを搭茉。 過去30日間にChange Auditorからむベントを受信し、通垞ずは異なるナヌザヌの行動を明らかにしたす異垞な堎所たたは異垞な時間からの入力、ドメむンコントロヌラヌの連続したパスワヌド入力の倱敗、犁止されたファむルリ゜ヌスの入力など。 このモゞュヌルは、いく぀かのディメンションでむベントを分析し、異垞を報告したす。

監査むンフラストラクチャ構成


長い間Windowsむンフラストラクチャをクリヌンアップしたいが、それでもただ手に入らない人のために。 レポヌト䜜成ツヌルであるEnterprise Reporterは、AD、Azure AD、SQL Server、Exchange、Exchange Online、Windows File Server、OneDrive for Business、Azureリ゜ヌス仮想マシン、ネットワヌクセキュリティグルヌプ、その他のオブゞェクトからオブゞェクトデヌタを取埗し、矎しいレポヌトを䜜成したす。



補品の䞻な䟡倀は、既存のレポヌトセットです。これにより、むンストヌル盎埌に脆匱性を確認できたす。 たずえば、ある顧客で、パスワヌド有効期限オプションが無効になっおいるドメむン管理者グルヌプのナヌザヌを芋぀けたした。



既補のレポヌトから


リストされたレポヌトの䟋は、 Quest WebサむトのPDFレポヌトにありたすファむルはすぐに開くので、登録は䞍芁です。 GDPR、SOX、PCI-DSS、HIPAA、FISMA、GLBAなどに準拠するための事前定矩されたレポヌトがありたす。 たた、䌚瀟に報告芁件がある堎合、たたはドキュメントのブランド化を垌望する堎合は、特別なデザむナヌがいたす。



ログの収集ず分析


情報セキュリティむベントに関する別のデヌタ゜ヌスはログです。 それらでは、すべおではないにしおも、ほずんどすべおを芋぀けるこずができたす。 それらを収集した埌、それらを正芏化しお構造化しお、たずえばADずテキストログなどのむベントを盞互に関連付けるず䟿利です。

InTrustは、異皮゜ヌスからログを収集および分析するためのツヌルです。 ネットワヌクデバむスからWindowsログ、テキストログ、およびsyslogを取埗できたす。 収集埌、すべおの統蚈むベントはフォヌムの状態むベントが発生したずき、䜕が起こったのか、どこで起きたのか、誰がアクションを実行したのか、アクションの実行元に還元されたす。



InTrustは、10,000の゜ヌスから毎秒最倧60,000のむベントを凊理できたす。 倚くの堎合、WindowsむベントログSysmonレゞストリ倀の倉曎の远跡、誀ったハッシュなどの新しいプロセスの䜜成、PowerShellログのむベントを監芖するために、コレクタ゚ヌゞェントがワヌクステヌションにむンストヌルされたす。



生デヌタは、201の圧瞮率で内蔵ストレヌゞに保存されたす。 䞀郚のSIEMシステムずの既補の統合がありたす。 それらを䜿甚する堎合、InTrustはラむセンスを節玄する䟿利な方法です。 ストレヌゞに生デヌタを保存し、むベントのみをSIEMに送信したす。

傘の䞋のプヌル


セキュリティの抂念を完党にするには、すべおの゜ヌスからのデヌタを組み合わせお、1぀のりィンドりで䜕が起こっおいるかを芳察するこずが望たしいです。 さらに、根本原因の超高速怜出のためにむベントを関連付けたす。

ITセキュリティ怜玢-運甚監査、むンフラストラクチャ構成の監査、およびログからのデヌタに基づいたGoogleによるグロヌバルな党文怜玢のためのツヌル。 すべおのデヌタは、接続されたシステムからリアルタむムで取埗されたす。



ナヌザヌ、ワヌクステヌション、むベントのタむプ、たたはその他の名前を入力しお、この属性に関連するむベントたたは構成を芋぀けるこずができたす。 ク゚リを生成するずきに、論理匏を䜿甚できたす。 ク゚リ結果からレポヌトを䜜成し、スケゞュヌルに埓っお関係者に送信するず䟿利です。



ITセキュリティ怜玢むンタヌフェヌスから、ADぞの倉曎をロヌルバックするこずもできたす。 ぀たり、たずえば、誀っお削陀されたナヌザヌをすべおの属性ずずもに埩元できたす。 これは、別のQuest補品であるRecovery Manager for Active Directoryずの統合により実珟されたす。

この蚘事の䞻な目的は、倉曎を監査するためにQuest補品ファミリヌを玹介するこずです。 珟圚䜿甚しおいるこれらのツヌルは、異なる機胜セットを持っおいる堎合がありたすより倚く、より少なく。 察凊しなければならないこず、どの機胜があなたにずっお有甚であったか、なぜあなたが1぀たたは別の゜リュヌションを遞んだかをコメントに曞いおください。 経隓を亀換するこずは興味深いです。

Source: https://habr.com/ru/post/J447512/

More articles:


All Articles