Wenn sich im Active Directory die Mitglieder von privilegierten Gruppen ändern, dann sollte gewährleistet sein, dass es sich dabei um eine legitime Aktion handelt. Ähnliches gilt beim Zugriff auf Verzeichnisse eines File-Servers, der sensible Informationen enthält. Die Windows-Bordmittel bieten dafür einige Basisfunktionen.
Aktiviert man das Auditing im Active Directory, dann zeichnet jeder Domain-Controller die konfigurierten Ereignisse im Eventlog auf. Will man die Logs für das ganze AD auswerten, dann muss man sie erst auf einem Server konsolidieren. Dort filtert man sie dann nach bestimmten Event-IDs, typischerweise mit einem PowerShell-Script.
Zu den kritischen Vorgängen im Active Directory gehören vor allem fehlgeschlagene Anmeldeversuche, Änderungen von Passwörtern administrativer Konten oder Änderungen in den Mitgliedschaften von Security-Gruppen. Sie sollten in jedem Fall beobachtet werden, zudem sollte man ein Auge auf mögliche Manipulationen von GPOs haben.
Zugriffe auf Dokumente erkennen
Bestimmte Bedrohungen lassen sich nur entdecken, wenn Unternehmen auch die Dateien und Freigaben auf File-Servern überwachen. So fällt etwa die Aktivität von Ransomware dadurch auf, dass sie zahlreiche Dokumente durch das Verschlüsseln in kurzer Zeit ändert.
Gerade Insider-Angriffe trachten häufig danach, an vertrauliche geschäftliche Daten zu gelangen. Ein File-Server-Auditing für Verzeichnisse mit sensiblen Informationen bietet dort neben einem konsequenten Berechtigungs-Management einen guten Schutz gegen Datendiebstahl.
Das Protokollieren von Zugriffen auf NTFS-Laufwerke funktioniert nach dem gleichen Muster wie beim Active Directory, wobei man hier noch die System Access Control List (SACL) für NTFS-Objekte einrichten muss.
Tools von Drittanbietern
Spezialisierte Tools von Drittanbietern erfassen mit vorgefertigten Reports nicht nur ein größeres Spektrum an verdächtigen Aktivitäten, sondern vereinfachen zudem den gesamten Vorgang, indem sie etwa die Logs automatisch konsolidieren. Obendrein ersparen sie dem Administrator das Erstellen und Warten von Scripts.
Moderne Lösungen beschränken sich dabei nicht auf eine simple Log-Auswertung, sondern sind mit Hilfe von Machine Learning in der Lage, Anomalien frühzeitig zu erkennen und so vor Angriffen zu warnen. Sie beobachten dabei nicht nur ungewöhnliche Benutzeraktivitäten, sondern etwa auch den Start von Prozessen oder Dateioperationen.
Die Produktvorstellung von ADAudit Plus im Rahmen eines technischen Webinars führt anhand von praktischen Beispielen vor, wie sich unterschiedliche Bedrohungsszenarien rechtzeitig erkennen lassen.
Themen sind unter anderem:
- Grundlegende sicherheitsrelevante Konfigurations- und Anbindungsmöglichkeiten
- Überblick über die wichtigsten Out-Of-The-Box-Reports bezüglich Änderungen in Ihrem AD
- Möglichkeiten des Auditings für File- und Member-Server sowie Workstations
- Erstellung eventbasierter Techniker-Alarme
- Erkennen von Anomalien mittels Machine Learning
- Azure AD auditieren
- Einfache Erfüllung verschiedener IT-Compliance Vorgaben wie HIPPA, SOX etc.
Die Veranstaltung findet am Donnerstag, den 21. September 2023, um 10:00 statt. Die Präsentation dauert ca. 45 Minuten. Die Teilnahme ist kostenlos.
Sie können sich hier anmelden »
*Dies ist ein bezahlter Beitrag der MicroNova AG.
MicroNova bietet seit 1987 Software und Systeme für die Bereiche Automotive Testing, Management von Mobilfunknetzen sowie IT-Management. 300 Experten und Expertinnen arbeiten am Hauptsitz in Vierkirchen bei München sowie an neun weiteren Standorten in Deutschland und Tschechien
Weitere Beiträge von diesem Anbieter