Soluciones de registro de eventos de seguridad de Windows de Manageengine ADAudit Plus

Monitoreo del registro de eventos de seguridad de Windows en tiempo real

 

ADAudit Plus es una galardonada solución de auditoría de arquitectura de registro centralizada que permite a los administradores de entornos de Microsoft Windows ver, monitorear, archivar y recibir alertas en tiempo real junto con informes de auditoría completos de los eventos de registro de seguridad de Windows. El registro de seguridad contiene registros de eventos relacionados con la seguridad especificados por la política de auditoría del sistema. Los administradores pueden detectar y rastrear el intento y la actividad exitosa no autorizada y solucionar problemas. Los ejemplos de eventos de seguridad incluyen eventos de autenticación, eventos de auditoría, eventos no autorizados y estos eventos se almacenan en los registros de seguridad de los sistemas operativos.

 
En el centro, supervise y analice los registros de eventos de seguridad para ver los cambios en Windows Active Directory & Servers; rastrear acciones sospechosas del usuario y garantizar un análisis de causa raíz rápido en caso de un delito
Obtenga toda la información en tiempo real en objetos AD: cambios de usuarios, grupos, GPO, computadora, OU, DNS, AD Schema y configuración con más de 200 informes detallados de GUI específicos y alertas por correo electrónico.
Informes automatizados y archivo de datos para cumplimiento de TI: HIPAA requiere 7 años de datos de registro, PCI requiere 5 años de datos de registro ... Los datos de registro de seguridad se pueden usar para revisiones de seguridad internas y análisis forense de registros

¿Por qué la necesidad de Windows Security Event Log Monitoring?

La necesidad de cumplir con los requisitos de seguridad como SOX, PCI-DSS, FISMA, GLBA, HIPAA, etc. requiere que los administradores implementen un proceso seguro para proteger contra el intento o el acceso no autorizado exitoso. La supervisión constante de la información clasificada de la red es fundamental para todas las empresas, con o sin el cumplimiento de algunas normas. Los registros de eventos de seguridad de Windows son una de las fuentes con las que se puede rastrear e iniciar sesión en los intentos de inicio de sesión. Una verificación manual en cada dispositivo de Windows es tediosa e imposible y garantiza la auditoría y el control automatizados de los registros de eventos de forma regular.
Registros críticos de eventos de Windows que necesitan auditoría
4768/4771 Éxito / fracaso del inicio de sesión de la cuenta
4624/4625 Éxito / falla de inicio de sesión local
4647 Inicio de sesión iniciado por el usuario
4778/4779 Sesión de servicio de terminal reconectada / desconectada
5136/5137 Modificación / creación de objetos AD / movimiento
5139/5141 Objeto AD movido / borrado
4670 Cambio de permiso con atributos antiguos y nuevos
4663/4659, 4660 Acceso / eliminación de archivos

Las categorías de eventos de registro de seguridad de Windows Server 2008 que se pueden registrar son

La cantidad incalculable de eventos enchufables significa que analizar el registro de eventos de seguridad puede ser una tarea que consume mucho tiempo. Si desea auditar éxitos, fallas de auditoría o no auditar este tipo de evento, debe definir la política de auditoría avanzada requerida bajo la configuración de seguridad local, asegurando que solo se recopilan los registros de seguridad necesarios para la auditoría, lo que garantiza que el espacio en disco no llenar rápidamente con registros no deseados.

Estos son los eventos de seguridad recomendados que se configurarán para auditar, que se encuentran en la configuración avanzada de la directiva de auditoría: Para controladores de dominio | Para servidores de archivos de Windows | Para servidores miembros de Windows | Para estaciones de trabajo con Windows

A continuación se enumeran las diversas categorías de políticas de auditoría avanzadas
Inicio de sesión de la cuenta El documento intenta autenticar los datos de la cuenta en un controlador de dominio o en un Administrador de cuentas de seguridad (SAM) local.
Administración de cuentas Supervise los cambios en cuentas y grupos de usuarios y computadoras.
Seguimiento detallado Monitoree las actividades de aplicaciones individuales y usuarios en esa computadora.
Acceso a servicios de directorio Vea un seguimiento de auditoría detallado de los intentos de acceso y modificación de objetos en los Servicios de dominio de Active Directory (AD DS).
Logon / Logoff Seguimiento intenta iniciar sesión en una computadora de forma interactiva o en una red. Estos eventos son particularmente útiles para rastrear la actividad del usuario e identificar posibles ataques a los recursos de la red.
Acceso a objetos Seguimiento de intentos para acceder a objetos específicos o tipos de objetos en una red o computadora.
Cambio de política Haga un seguimiento de los cambios e intente cambiar las políticas de seguridad importantes en un sistema o red local.
Uso de privilegio Haga un seguimiento de los permisos otorgados en una red para que los usuarios o las computadoras completen las tareas definidas.
Sistema Supervise los cambios a nivel de sistema en una computadora que no están incluidos en otras categorías y que tienen posibles implicaciones de seguridad.
Auditoría global de acceso a objetos Los administradores pueden definir listas de control de acceso al sistema de computadora (SACL) por tipo de objeto para el sistema de archivos o para el registro.

Las características ADAudit Plus, que hacen una solución SIEM efectiva

 
Desplazarse hacia abajo
 
Facilidad de uso
Los informes sencillos, basados ​​en la web y operados centralmente, incluso para personal no técnico con alertas, ayudan a responder las cuatro Ws vitales: '¿Quién' hizo 'qué' acción, 'cuándo' y 'dónde'?
 
Manténgase obediente
Obtenga un "conjunto de informes gráficos detallados" específicos para cumplir con los requisitos de cumplimiento de SOX, HIPAA, GLBA, PCI y FISMA. Además, exporte los resultados a formatos xls, html, pdf y csv
 
Informes en tiempo real
Auditoría de más de 200 informes preconfigurados con generación automática de informes. Filtra los resultados con más de 50 atributos de búsqueda y elige negocios / no empresas / todas las horas
 
Alertas en tiempo real
¡Alertas en tiempo real en la pantalla y envío de alertas por correo electrónico a su bandeja de entrada! Las alertas de umbral basadas en el usuario, el tiempo y el volumen ayudan a identificar el problema con precisión
 
Dashboards
Visualice la información de auditoría diaria crítica en un solo tablero de instrumentos. Puede supervisar las actividades por separado para Active Directory y servidores de archivos
 
Monitorización del usuario
La solución de auditoría de inicio de sesión de usuario en tiempo real, ayuda a rastrear las actividades de los usuarios en el entorno de Windows Server, como los tiempos de inicio de sesión, el historial de inicio de sesión, las actividades de servicios de terminal
 
Directorio Activo
En tiempo real, supervise la información de cambio de dominio en Usuarios, Grupos, GPO, Computadora, Unidad organizativa, Contenedores, Contactos, Esquema, Configuración, Sitio, DNS y Permisos
 
Servidor de archivos
Seguimiento de servidores de archivos / clústeres de conmutación por error para cambios de documentos en archivos (creación / modificación / eliminación de archivos) y acceso de auditoría de carpetas, recursos compartidos y permisos
 
Servidor miembro
Controle cada cambio con informes detallados: informe resumido, seguimiento de procesos, cambios de política, eventos del sistema, gestión de objetos, tareas programadas ...
 
Estaciones de trabajo
Controle cada inicio de sesión / cierre de sesión de usuario y conozca las acciones diarias del usuario con informes detallados de cada evento de inicio de sesión correcto / fallido en las estaciones de trabajo de la red
 
NetApp / EMC
Supervise los recursos compartidos de CIFS de NetApp Filer / EMC con los informes de auditoría de cambios en los archivos creados / modificados / eliminados, los cambios de permisos
 
Archivo de datos
Archive los datos para el análisis forense 3 años, 5 años o 7 años en el futuro! Obtenga informes históricos y ahorre espacio en el disco

 

Clientes que confían en ADAudit Plus