Tags: Active Directory, Monitoring, Log-Management
EventSentry ist ein erschwingliches SIEM-Tool (Security Information and Event Management), das Windows- sowie Linux-Systeme überwacht und über alle Vorgänge im Netzwerk informiert. Die wichtigste Neuerung der Version 4.0 besteht im Add-on ADMonitor, das sämtliche Änderungen im Active Directory erfasst.
Frühere Versionen von EventSentry boten eine AD-Überwachung mittels Security Event Log und Windows Audit, die über Änderungen bei Benutzern, Computern und Gruppen informieren. ADMonitor, eine optionale Zusatzkomponente für EventSentry 4.0, ist dagegen ein vollwertiger Monitor für die AD Domain Services (AD DS). Er verfolgt Änderungen an allen AD-Objekten bis hinunter zu einzelnen Attributen.
Analysen auf Basis einer AD-Kopie
Es zeigt, welche Objekte von welchem Wert auf welchen Wert geändert wurden. Es verfolgt auch Änderungen an den Gruppenrichtlinien, gibt Ihnen umfassende Berichte über den Benutzerstatus (User, die sich nicht anmeldet haben und solche, deren Passwort abgelaufen ist, etc.), ohne dass man dafür das Auditing im AD aktivieren muss.
ADMonitor muss nicht auf einem Domänen-Controller (DC) laufen. So habe ich es in meiner Testinstallation genutzt und es hat gut funktioniert. Während der Einrichtung wird ein Service-Konto erzeugt, für das Sie das Passwort angeben. Zudem wird die AD-Datenbank kopiert, was je nach Größe des Forests etwas Zeit in Anspruch nehmen kann.
Reports erstellen
Nachdem die Datenbank befüllt ist, können Sie nun tägliche, wöchentliche oder monatliche Berichte über Änderungen an Objekten, Gruppenrichtlinien und den Benutzerstatus anfordern.
Mit dem Report über Objektänderungen können Sie nach dem Objekttyp wie Gruppe, Benutzer oder Organisationseinheit (OU) sowie nach der durchgeführten Aktion (geändert, hinzugefügt oder entfernt) und nach dem Benutzer, der die Aktion ausgeführt hat, filtern.
Der Benutzerbericht zeigt Ihnen eine Liste aller Benutzer an, diese lassen sich anhand der folgenden Kriterien filtern:
- handelt es sich um Administratoren
- laufen ihre Passwörter nie ab oder sind sie abgelaufen
- sind die Konten gesperrt
- den letzten Anmeldedaten
- dem Erstellungsdatum der Konten
- haben die Konten ein Ablaufdaten
Man kann die Bedeutung dieses Themas nicht hoch genug einschätzen. Das Active Directory sauber zu halten und alte Konten (insbesondere Service Accounts) sowie ungenutzte Gruppen loszuwerden, kann nämlich ein großes Unterfangen sein, wenn es dem Unternehmen in der Vergangenheit an verbindlichen Regeln und Dokumentation gemangelt hat.
Die Hauptkonsole von EventSentry Web verfügt über viele vorkonfigurierte Berichte, einschließlich solcher, die auf ADMonitor basieren.
Hier finden sich auch die Reports zu Änderungen an den Gruppenrichtlinien. Von besonderem Interesse sind Compliance-Berichte, wenn Ihr Unternehmen PCI, FISMA, SOX, HIPAA, GLBAA, ISO 27000 oder NIST 800-171 einhalten muss.
Änderungen in Echtzeit überwachen
Die geplanten Berichte sind nützlich, besonders wenn man Änderungen im Zeitverlauf vergleichen möchte. Dagegen kann der mitgelieferte ADMonitor Viewer die Änderungen am Active Directory in Echtzeit darstellen. Ergebnisse lassen sich anhand einer Zeichenkette filtern oder Sie wenden eine vorgegebene Suchanfrage an.
Sie können auch einen Zeitbereich, die Aktion (Erstellen, Ändern, Löschen), Objektnamen und Klassen sowie den Benutzer, der die Aktion ausgeführt hat, auswählen. Wenn Sie einen Multi-Domain-Forest haben, dann lässt sich die Ausgabe auf eine bestimmte Domäne beschränken.
Darüber hinaus können Sie Echtzeitbenachrichtigungen per E-Mail auf Basis von Suchkriterien konfigurieren, um über bestimmte Änderungen (zum Beispiel an der Gruppe Domänen-Admins oder bei Erstellung neuer Administratoren) sofort verständigt zu werden.
Wenn es also darum geht, die AD-Änderungen im Auge zu behalten, ist dieses Tool sehr hilfreich. Sie können die gefundenen Änderungen auch in einer CSV- oder HTML-Datei speichern, wobei sich die Ausgabe detailliert steuern lässt.
Verbesserungen in EventSentry 4.0
Die Version 4.0 bringt weitere Neuerungen, wie etwa eine überarbeitete Benutzeroberfläche mit Menüband (Ribbon). Außerdem fühlt sich das Antwortverhalten des Produkts im Vergleich zur Version 3.5 performanter an. Es verfügt auch über einen integrierten Betrachter für Windows-Ereignisprotokolle, der viel besser ist als jener, der zum Lieferumfang von Windows gehört.
Wenn Sie NetFlow in EventSentry verwenden (was Sie sollten), dann erhalten Sie eine integrierte Erkennung von Bedrohungen. Diese informiert Sie über Traffic an bösartige IP-Adressen und bemerkt Port-Scans.
EventSentry ist insgesamt eine sehr leistungsfähige und kostengünstige SIEM-Lösung, die als zentrale Repository- und Alarmplattform für alle Sicherheitsereignisse von Windows-, Linux- und Netzwerkgeräten fungiert.
Preise und Verfügbarkeit
Eine Einzellizenz von EventSentry für Windows Server oder Workstation kostet 85 USD. Bei einer größeren Zahl greift eine Preisstaffel, so dass etwa bei 100 Stück der Preis pro Lizenz schon auf 47 USD sinkt. Lizenzen für Linux, macOS, Firewalls oder Switches beginnen bei 58 USD, ihr Preis reduziert sich ebenfalls mit steigender Anzahl.
Die Kosten für die Erweiterung ADMonitor hängen von der Zahl der Benutzer im Active Directory ab, bei 100 fallen 798 USD an. Eine Preisübersicht und einen Online-Shop gibt es auf der Website des Herstellers.
Von EventSentry gibt es eine kostenlose Light Edition, eine Testversion mit vollem Funktionsumfang kann 30 Tage lang ausprobiert werden. Beide stehen hier zum Download bereit.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Auditing: Administratoren im Active Directory überwachen
- Replikation des Active Directory analysieren mit der Operations Management Suite
- Dell und Securonix bieten Security Analytics für Active Directory
- Gartner-Quadrant zu SIEM: 5 Hersteller führend (u.a. Microsoft, Splunk, IBM)
- Active Directory mit Microsoft Defender for Identity schützen
Weitere Links