«СёрчИнформ SIEM» получил коннекторы для мониторинга AD и работы с групповыми политиками безопасности - SearchInform
«СёрчИнформ SIEM» получил коннекторы для мониторинга AD и работы с групповыми политиками безопасности
17.10.2019

В SIEM-системе увеличилось число коннекторов, что расширило ее поле наблюдения. 

GPOConnector отслеживает изменения в настройках объектов групповых политик, которые распространяются сразу на несколько объектов в системе, например, затрагивают целую группу пользователей. 

Несанкционированные изменения групповых политик могут скомпрометировать сразу большое число устройств в корпоративной системе. Поэтому их важно отслеживать, что и делает GPOConnector. Для него доступны пять правил:

  • делегирование разрешений;
  • изменение настроек;
  • изменение состояний;
  • изменение списка;
  • применение групповых политик к подразделениям.

Еще один новый коннектор – ADMonitoringConnector – позволяет проводить ретроспективный анализ всех изменений Active Directory за выбранный период. 

Ранее контроль за AD был реализован через набор готовых политик для атрибутов (подбор паролей и устаревшие пароли, временное включение/добавление учетной записи и т.д.). Теперь «СёрчИнформ SIEM» также позволяет отслеживать изменения всех атрибутов сразу.  

Программа делает «снимки» состояния AD через определенные промежутки времени (раз в час, раз в день, раз в неделю). Администратор может сравнить несколько версий и вовремя заметить отличия в контролируемых атрибутах, количестве добавленных и/или удаленных объектов. 

АД Мониторинг

Функция помогает отслеживать в динамике несанкционированные или подозрительные изменения в AD. Допустим, месяц назад одна из учетных записей была скомпрометирована. С помощью AD мониторинга администратор сможет выявить все действия, выполненные под скомпрометированной учетной записью за данный период. 

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.