Auditing blind spots.
Senza categoria

Auditing blind spots. Come evitarli con ADAudit

Auditing blind spots. Come evitarli con ADAudit.

Auditing blind spots. L’audit di Active Directory (AD) si concentra su argomenti quali chi ha fatto cosa, quando e da dove all’interno della rete. L’audit di AD e il monitoraggio SIEM sono strettamente correlati, ma svolgono due ruoli distinti nella sicurezza informatica. Il monitoraggio SIEM mostra come una modifica sia collegata a un attacco o a un incidente. Insieme, consentono indagini più rapide, analisi accurate delle cause principali e una postura di sicurezza più solida. Gli strumenti di audit offrono una visibilità completa sulle attività della rete, fornendo i dettagli granulari cruciali per le soluzioni SIEM.

Quali erano i punti deboli dell’attività di audit?

Il team ha evidenziato le seguenti lacune nell’attività di audit.

  • Modifiche alle GPO. Le GPO sono la spina dorsale di un ambiente Active Directory. Pertanto, il team di sicurezza necessitava di informazioni dettagliate su quali criteri fossero stati modificati, quali configurazioni fossero cambiate, chi avesse avviato le modifiche e quando si fossero verificate.
  • Modifiche amministrative. gli amministratori e i tecnici dispongono dei privilegi necessari per apportare modifiche critiche ad Active Directory. Senza un sistema di controllo, configurazioni errate o azioni dannose potrebbero passare inosservate.
  • Audit dei log. le soluzioni SIEM non sono in grado di fornire dettagli contestuali. Ad esempio, quando si verifica un blocco di un account, le cause possono essere molto diverse. L’utente potrebbe aver inserito la password errata oppure le attività in background potrebbero aver utilizzato credenziali obsolete. Senza i dati contestuali, gli amministratori sono costretti a ispezionare manualmente i log, ritardando la risoluzione immediata e aumentando il rischio.
  • Monitoraggio dell’integrità dei file. il maggiore onere operativo è stato rappresentato dalla gestione e dal controllo di 12 TB di condivisioni di file. Il monitoraggio delle modifiche ai file da parte di ogni utente su un volume così ingente è diventato insostenibile.

Oltre a queste difficoltà, il team ha riscontrato problemi nell’utilizzo di Netwrix Auditor. Il team ha affermato che lo strumento offriva opzioni di personalizzazione limitate e mancava di un’interfaccia intuitiva.

Come ADAudit Plus ha colmato queste lacune.

  • ADAudit Plus offriva report integrati completi per il controllo delle GPO. Oltre a tracciare gli eventi di creazione, eliminazione e modifica, la soluzione forniva dettagli granulari sulle modifiche di configurazione, inclusi i valori nuovi e precedenti.
  • L’Administrative User Actions report ha permesso di tracciare in modo completo le attività svolte dagli amministratori su utenti, gruppi, computer, unità organizzative e criteri di gruppo.
  • Il team di sicurezza ha ottenuto una visibilità completa su tutte le attività di accesso e disconnessione degli utenti e ha potuto valutare la produttività degli utenti utilizzando i report di accesso. Questi report specificavano chi aveva effettuato l’accesso, il dispositivo utilizzato, il server di autenticazione e l’ora esatta di accesso.
  • Grazie al supporto del nostro team di implementazione, la funzionalità di audit è stata abilitata senza problemi su 12 TB di condivisioni di file. Con l’aiuto dei report basati sulle condivisioni, il team ha potuto quindi monitorare tutte le modifiche a file/cartelle, le modifiche alle autorizzazioni e gli aggiornamenti di proprietà da un’unica console.
  • La personalizzazione si è rivelata un altro importante vantaggio. Il team ha potuto generare report su misura utilizzando filtri come gli ID evento, definire i formati di visualizzazione preferiti e programmare l’invio automatico dei report.

Adottando ADAudit Plus, il team di sicurezza ha eliminato i propri punti ciechi e ridotto i costi operativi. La soluzione ha permesso al team di raccogliere informazioni dettagliate sul proprio ambiente Active Directory e di integrarle nelle soluzioni SIEM, ottenendo così un quadro più completo e chiaro dell’infrastruttura.

Prova la versione demo di ADAudit: https://www.manageengine.com/it/active-directory-audit/ e contattaci per maggiori informazioni. Chiama lo 0643230077 o invia una e-mail a sales@bludis.it

By
Written by:

Bludis è il distributore ufficiale in Italia delle soluzioni ManageEngine. Da 30 anni si occupa della distribuzione di soluzioni ICT e della fornitura di una vasta gamma di servizi a valore aggiunto per consentire il massimo livello di soddisfazione possibile per Vendor, Reseller e End-User

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.

Le tue preferenze relative alla privacy | Cookie Policy