Technisches Webinar: Änderungen im Active Directory und auf File-Shares in Echtzeit erkennen

    ADAudit PlusWenn sich im Active Dirctory die Mit­glieder von privile­gierten Gruppen ändern, dann sollte gewährleistet sein, dass es sich dabei um eine legitime Aktion handelt. Ähnliches gilt beim Zugriff auf Ver­zeichnisse eines File-Servers, der sen­sible Infor­mationen ent­hält. Die Windows-Bordmittel bieten dafür einige Basisfunktionen.

    Aktiviert man das Auditing im Active Directory, dann zeichnet jeder Domain-Controller die konfigurierten Ereignisse im Eventlog auf. Will man die Logs für das ganze AD auswerten, dann muss man sie erst auf einem Server konsolidieren. Dort filtert man sie dann nach bestimmten Event-IDs, typischerweise mit einem PowerShell-Script.

    Zu den kritischen Vorgängen im Active Directory gehören vor allem fehl­geschlagene Anmelde­versuche, Änderungen von Passwörtern administrativer Konten oder Änderungen in den Mitglied­schaften von Security-Gruppen. Sie sollten in jedem Fall beobachtet werden, zudem sollte man ein Auge auf mögliche Manipulationen von GPOs haben.

    Zugriffe auf Dokumente erkennen

    Bestimmte Bedrohungen lassen sich nur entdecken, wenn Unter­nehmen auch die Dateien und Frei­gaben auf File-Servern überwachen. So fällt etwa die Aktivität von Ransomware dadurch auf, dass sie zahlreiche Dokumente durch das Verschlüsseln in kurzer Zeit ändert.

    Gerade Insider-Angriffe trachten häufig danach, an vertrauliche geschäf­tliche Daten zu gelangen. Ein File-Server-Auditing für Verzeichnisse mit sensiblen Informationen bietet dort neben einem konse­quenten Berechtigungs-Management einen guten Schutz gegen Daten­diebstahl.

    Das Protokollieren von Zugriffen auf NTFS-Laufwerke funktioniert nach dem gleichen Muster wie beim Active Directory, wobei man hier noch die System Access Control List (SACL) für NTFS-Objekte einrichten muss.

    Tools von Drittanbietern

    Spezialisierte Tools von Drittanbietern erfassen mit vorgefertigten Reports nicht nur ein größeres Spektrum an verdächtigen Aktivitäten, sondern vereinfachen zudem den gesamten Vorgang, indem sie etwa die Logs automatisch konsolidieren. Obendrein ersparen sie dem Administrator das Erstellen und Warten von Scripts.

    Vorgefertigter Report in ADAudit Plus zu fehlgeschlagenen Anmeldungen am Active Directory

    Die Produktvorstellung von ADAudit Plus im Rahmen eines technischen Webinars führt anhand von praktischen Beispielen vor, wie sich unter­schied­liche Bedrohungs­­szenarien rechtzeitig erkennen lassen.

    Themen sind unter anderem:

    • Grundlegende sicherheits­relevante Konfigurations- und Anbindungs­möglich­keiten
    • Überblick über die wichtigsten Out-Of-The-Box-Reports bezüglich Änderungen in Ihrem AD
    • Möglichkeiten des File-Server-Auditings
    • Erstellung eventbasierter Techniker-Alarme
    • Einfache Erfüllung verschiedener IT-Compliance Vorgaben wie HIPPA, SOX etc.

    Die Veranstaltung findet drei Mal donnerstags, nämlich am 02. Februar, am 02. März und 30. März 2023 jeweils um 10:00 statt. Die Präsentation dauert ca. 45 Minuten. Die Teilnahme ist kostenlos.

    Sie können sich hier anmelden »

    *Dies ist ein bezahlter Beitrag der MicroNova AG.

    Bild von MicroNova AG

    MicroNova bietet seit 1987 Software und Systeme für die Bereiche Automotive Testing, Management von Mobil­funk­netzen sowie IT-Management. 300 Experten und Exper­tinnen arbeiten am Haupt­sitz in Vier­kirchen bei München sowie an neun weiteren Stand­orten in Deutsch­land und Tschechien

    // Kontakt: Web, Twitter //

    Weitere Beiträge von diesem Anbieter