Dell und Securonix bieten Security Analytics für Active Directory

Zudem können Administratoren mithilfe der Software Log-Dateien gezielt nach bestimmten Vorkommnissen und Änderungen durchsuchen und entsprechende Reports generieren. Laut einem White Paper von Dell sollten Sicherheits- und AD-Systemverwalter beispielsweise regelmäßig Berichte über Änderungen und "Events" in folgenden Bereichen anfertigen und analysieren:

• bei Group Policy Objects (GPO),
• Änderungen der Basiseinstellungen, Registry-Einträgen und Konfigrations­dateien von Domänen-Controllern,
• beim Hinzufügen und Löschen von Mitgliedern in "kritischen" Gruppen wie Administratoren,
• bei Änderungen an der Replizierungs­topologie der Domain Controller, inklusive des Spiegelns von Berechtigungen, Passwörtern, GPOs et cetera sowie
• bei Schema-Änderungen, beispielsweise durch die Implementierung neuer Anwendungen oder Anpassungen an AD selbst.

Securonix: User-basierte Sicherheitsanalyse

Securonix wiederum hat sich darauf spezialisiert, potenzielle und reale Sicherheitsrisiken zu identifizieren, entsprechende Vorfälle zu untersuchen und Gegenmaßnahmen einzuleiten. Ein zentrales Element dabei ist die Analyse des Verhaltens von Nutzern und Systemen (User And Entity Behavior Analytics, UEBA). Mithilfe von Machine-Learning-Verfahren und einer Engine, die ungewöhnliche Verhaltensmuster erkennt, lassen sich Angriffe erkennen – solche von außen, sprich Hackern, und Attacken von innen, also von Insidern.

Die Security-Analytics Plattform der amerikanischen Firma führt eine Art "Baselining" durch, bei dem der Normalzustand von Netzwerken und Vorgängen im Zusammenhang mit AD ermittelt wird. Das bezieht sich vor allem auf die Aktivitäten von Nutzern. Starten beispielsweise bestimmte Nutzer Versuche, weitergehende Berechtigungen zu erhalten oder die Einstellungen von zentralen IT-Systemen zu ändern, kann das ein Hinweis auf einen Angriff sein.

Informationen darüber, wer wann was getan hat

Die Kombination der Software und Plattformen von Securonix und Dell bietet nach Angaben der beiden Unternehmen folgende Vorteile:

• Fehlerhafte AD-Konfigurationen und sicherheits­relevante Vorkommnisse lassen sich schneller erkennen und beheben.
• Administratoren erfahren, wer wann welche Änderungen an bestimmten Systemen vorgenommen hat und welche Endgeräte dabei zum Einsatz kamen. Das lässt Rückschlüsse auf eventuelle Angriffe zu.

Das ist beispielsweise möglicherweise dann der Fall, wenn sich ein – vermeintlicher - Mitarbeiter plötzlich von einem Rechner in Fernost aus am Firmennetz anmeldet. Es kann sich dann um einen Angreifer handeln, der die Account-Daten eines Nutzers gestohlen hat.

Snypr für große Datenmengen

Dell und Securonix bieten ihre Software trotz der Zusammenarbeit weiterhin separat an. Das Datenblatt von Dell Change Auditor for AD ist auf dieser Seite zu finden.

Securonix hat mit Snypr zudem eine Version seiner Plattform vorgestellt, die auf Hadoop basiert. Dadurch lassen sich auch große Datenbestände ("Big Data") analysieren und für eine spätere Auswertung speichern. Die Hadoop-Distribution steuert Cloudera bei. Dem entsprechend kommt auch die Management-Lösung von Cloudera zum Zuge.