Änderungen im Active Directory und Dateizugriffe in Echtzeit überwachen

    Überwachen von Ordnern und DateienDer Nutzen einer Echt­zeit­über­wachung von kriti­schen IT-Ressourcen lässt sich schwer­lich be­streiten. Wenn Stan­dard­benutzer plötzlich admini­strative Privi­legien erhal­ten oder wenn auf einem File-Server viele Dateien in kurzer Zeit ver­ändert werden, dann sollte der Systemv­erwalter davon unver­züglich erfahren.

    Die Windows-Bordmittel bieten für das Reporting und Auditing des Active Directory nur rudimentäre Funktionen. So erfolgt die Aufzeichnung von bestimmten Ereignissen im Eventlog jedes einzelnen Domain-Controllers, von wo man die gewünschten Einträge anhand ihrer ID ausfiltern muss. Will man die Logs auf einem Server konsolidieren, dann muss man erneut mit Event-IDs hantieren.

    Tools von Drittanbietern

    PowerShell kann zwar dabei helfen, die Auswertung zu beschleunigen und einzelne kritische Vorkommnisse schneller zu bemerken. Spezialisierte Tools von Drittanbietern erfassen mit vorgefertigten Reports nicht nur ein größeres Spektrum von verdächtigen Aktivitäten, sondern ersparen dem Administrator obendrein das mühselige Erstellen und Warten von Scripts.

    Statistik der gescheiterten Logon-Versuche.

    Bei der Überwachung von verdächtigen Vorgängen steht das Active Directory natürlich im Zentrum, weil sich Angreifer gerne privilegierter Konten bemächtigen. Gescheiterte Anmelde­versuche von Administratoren, Änderung der Gruppen­zugehörigkeiten oder von Admin-Passwörtern gebührt daher entsprechende Aufmerksamkeit.

    Zugriffe auf Dokumente erkennen

    Bestimmte Bedrohungen lassen sich jedoch nur erkennen, wenn Unter­nehmen auch die Dateien und Freigaben auf File-Servern überwachen. So fällt etwa die Aktivität von Ransomware dadurch auf, dass sie zahlreiche Dokumente in kurzer Zeit verändert, wenn sie diese verschlüsselt.

    Auch hier sind die Bordmittel keine große Hilfe, so dass Anwender den Einsatz leistungsfähiger Tools von Drittanbietern ernsthaft in Erwägung ziehen sollten.

    Der technische Webcast AD-Audit und -Reporting & IT-Compliance führt anhand von ManageEngines ADAudit Plus und EventLog Analyzer vor, wie sich unterschiedliche Bedrohungs­szenarien rechtzeitig erkennen lassen.

    Themen sind unter anderem:

    • Angriffe auf Ihr Netzwerk frühzeitig identifizieren
    • Event-Analysen konfigurieren und kritische Events erkennen
    • AD-Änderungen in Echtzeit auditieren und überwachen
    • Privilegierte Benutzeraktivitäten überwachen
    • Datei- und Verzeichnis-Zugriffe überwachen
    • Log-Dateien und Events systemübergreifend sammeln und analysieren

    Die Veranstaltung findet am Freitag, den 31. März 2017 von 11:00 statt und dauert ca. 45 Minuten. Die Teilnahme ist kostenlos.

    Sie können sich hier anmelden »