В SIEM-системе увеличилось число коннекторов, что расширило ее поле наблюдения.
GPOConnector отслеживает изменения в настройках объектов групповых политик, которые распространяются сразу на несколько объектов в системе, например, затрагивают целую группу пользователей.
Несанкционированные изменения групповых политик могут скомпрометировать сразу большое число устройств в корпоративной системе. Поэтому их важно отслеживать, что и делает GPOConnector. Для него доступны пять правил:
Еще один новый коннектор – ADMonitoringConnector – позволяет проводить ретроспективный анализ всех изменений Active Directory за выбранный период.
Ранее контроль за AD был реализован через набор готовых политик для атрибутов (подбор паролей и устаревшие пароли, временное включение/добавление учетной записи и т.д.). Теперь «СёрчИнформ SIEM» также позволяет отслеживать изменения всех атрибутов сразу.
Программа делает «снимки» состояния AD через определенные промежутки времени (раз в час, раз в день, раз в неделю). Администратор может сравнить несколько версий и вовремя заметить отличия в контролируемых атрибутах, количестве добавленных и/или удаленных объектов.
Функция помогает отслеживать в динамике несанкционированные или подозрительные изменения в AD. Допустим, месяц назад одна из учетных записей была скомпрометирована. С помощью AD мониторинга администратор сможет выявить все действия, выполненные под скомпрометированной учетной записью за данный период.
