EventSentry 4.0: Änderungen im Active Directory überwachen

    EventSentry ADMonitorEventSentry ist ein erschwing­liches SIEM-Tool (Security Infor­mation and Event Manage­ment), das Windows- sowie Linux-Systeme über­wacht und über alle Vor­gänge im Netz­werk infor­miert. Die wich­tigste Neuerung der Version 4.0 besteht im Add-on ADMonitor, das sämt­liche Änderungen im Active Directory erfasst.

    Frühere Versionen von EventSentry boten eine AD-Überwachung mittels Security Event Log und Windows Audit, die über Änderungen bei Benutzern, Computern und Gruppen informieren. ADMonitor, eine optionale Zusatz­komponente für EventSentry 4.0, ist dagegen ein vollwertiger Monitor für die AD Domain Services (AD DS). Er verfolgt Änderungen an allen AD-Objekten bis hinunter zu einzelnen Attributen.

    Analysen auf Basis einer AD-Kopie

    Es zeigt, welche Objekte von welchem Wert auf welchen Wert geändert wurden. Es verfolgt auch Änderungen an den Gruppen­richtlinien, gibt Ihnen umfassende Berichte über den Benutzerstatus (User, die sich nicht anmeldet haben und solche, deren Passwort abgelaufen ist, etc.), ohne dass man dafür das Auditing im AD aktivieren muss.

    ADMonitor muss nicht auf einem Domänen-Controller (DC) laufen. So habe ich es in meiner Testinstallation genutzt und es hat gut funktioniert. Während der Einrichtung wird ein Service-Konto erzeugt, für das Sie das Passwort angeben. Zudem wird die AD-Datenbank kopiert, was je nach Größe des Forests etwas Zeit in Anspruch nehmen kann.

    Reports erstellen

    Nachdem die Datenbank befüllt ist, können Sie nun tägliche, wöchentliche oder monatliche Berichte über Änderungen an Objekten, Gruppen­richtlinien und den Benutzer­status anfordern.

    Überwachen der Group Policies

    Mit dem Report über Objekt­änderungen können Sie nach dem Objekttyp wie Gruppe, Benutzer oder Organisations­einheit (OU) sowie nach der durch­geführten Aktion (geändert, hinzugefügt oder entfernt) und nach dem Benutzer, der die Aktion ausgeführt hat, filtern.

    ADMonitor Reporting

    Der Benutzerbericht zeigt Ihnen eine Liste aller Benutzer an, diese lassen sich anhand der folgenden Kriterien filtern:

    • handelt es sich um Administratoren
    • laufen ihre Passwörter nie ab oder sind sie abgelaufen
    • sind die Konten gesperrt
    • den letzten Anmeldedaten
    • dem Erstellungsdatum der Konten
    • haben die Konten ein Ablaufdaten

    ADMonitor-Report

    Man kann die Bedeutung dieses Themas nicht hoch genug einschätzen. Das Active Directory sauber zu halten und alte Konten (insbesondere Service Accounts) sowie ungenutzte Gruppen loszuwerden, kann nämlich ein großes Unter­fangen sein, wenn es dem Unternehmen in der Vergangen­heit an verbindlichen Regeln und Dokumentation gemangelt hat.

    Die Hauptkonsole von EventSentry Web verfügt über viele vorkon­figurierte Berichte, einschließlich solcher, die auf ADMonitor basieren.

    Die Hauptkonsole von EventSentry

    Hier finden sich auch die Reports zu Änderungen an den Gruppen­richtlinien. Von besonderem Interesse sind Compliance-Berichte, wenn Ihr Unternehmen PCI, FISMA, SOX, HIPAA, GLBAA, ISO 27000 oder NIST 800-171 einhalten muss.

    ADMonitor Web-Reports

    Änderungen in Echtzeit überwachen

    Die geplanten Berichte sind nützlich, besonders wenn man Änderungen im Zeitverlauf vergleichen möchte. Dagegen kann der mitgelieferte ADMonitor Viewer die Änderungen am Active Directory in Echtzeit darstellen. Ergebnisse lassen sich anhand einer Zeichenkette filtern oder Sie wenden eine vorgegebene Suchanfrage an.

    ADMonitor Viewer

    Sie können auch einen Zeitbereich, die Aktion (Erstellen, Ändern, Löschen), Objektnamen und Klassen sowie den Benutzer, der die Aktion ausgeführt hat, auswählen. Wenn Sie einen Multi-Domain-Forest haben, dann lässt sich die Ausgabe auf eine bestimmte Domäne beschränken.

    ADMonitor-Vorlagen für Echtzeitansichten

    Darüber hinaus können Sie Echtzeit­benach­richtigungen per E-Mail auf Basis von Suchkriterien konfigurieren, um über bestimmte Änderungen (zum Beispiel an der Gruppe Domänen-Admins oder bei Erstellung neuer Administratoren) sofort verständigt zu werden.

    Wenn es also darum geht, die AD-Änderungen im Auge zu behalten, ist dieses Tool sehr hilfreich. Sie können die gefundenen Änderungen auch in einer CSV- oder HTML-Datei speichern, wobei sich die Ausgabe detailliert steuern lässt.

    Einstellungen für die Exportdatei des ADMonitor Viewers

    Verbesserungen in EventSentry 4.0

    Die Version 4.0 bringt weitere Neuerungen, wie etwa eine über­arbeitete Benutzer­oberfläche mit Menüband (Ribbon). Außerdem fühlt sich das Antwort­verhalten des Produkts im Vergleich zur Version 3.5 performanter an. Es verfügt auch über einen integrierten Betrachter für Windows-Ereignis­protokolle, der viel besser ist als jener, der zum Lieferumfang von Windows gehört.

    Wenn Sie NetFlow in EventSentry verwenden (was Sie sollten), dann erhalten Sie eine integrierte Erkennung von Bedrohungen. Diese informiert Sie über Traffic an bösartige IP-Adressen und bemerkt Port-Scans.

    EventSentry ist insgesamt eine sehr leistungs­fähige und kosten­günstige SIEM-Lösung, die als zentrale Repository- und Alarmplattform für alle Sicherheits­ereignisse von Windows-, Linux- und Netzwerkgeräten fungiert.

    Preise und Verfügbarkeit

    Eine Einzel­lizenz von EventSentry für Windows Server oder Workstation kostet 85 USD. Bei einer größeren Zahl greift eine Preisstaffel, so dass etwa bei 100 Stück der Preis pro Lizenz schon auf 47 USD sinkt. Lizenzen für Linux, macOS, Firewalls oder Switches beginnen bei 58 USD, ihr Preis reduziert sich ebenfalls mit steigender Anzahl.

    Die Kosten für die Erweiterung ADMonitor hängen von der Zahl der Benutzer im Active Directory ab, bei 100 fallen 798 USD an. Eine Preisübersicht und einen Online-Shop gibt es auf der Website des Herstellers.

    Von EventSentry gibt es eine kostenlose Light Edition, eine Testversion mit vollem Funktionsumfang kann 30 Tage lang ausprobiert werden. Beide stehen hier zum Download bereit.

    Keine Kommentare