Technisches Webinar: Änderungen im Active Directory und auf Netzfreigaben in Echtzeit erkennen

    Tags: ,

    ADAudit PlusWenn sich im Active Dirctory die Mit­glieder von admini­strativen Gruppen ändern, dann sollte die System­verwaltung unverzüglich davon er­fahren. Gleiches gilt beim Zugriff auf Ver­zeichnisse eines File-Servers, der sen­sible Infor­mationen ent­hält. Die Windows-Bordmittel bieten dafür aber nur rudi­mentäre Funktionen.

    Aktiviert man etwa im AD das Auditing für Administrator­konten, dann zeichnet jeder Domain-Controller die konfigurierten Ereignisse im Eventlog auf. Von dort filtert man dann bestimmte Einträge anhand ihrer ID aus, meistens mit einem selbst geschriebenen Script. Will man die Logs für das ganze AD auswerten, dann muss man sie erst auf einem Server konsolidieren.

    Tools von Drittanbietern

    Spezialisierte Tools von Drittanbietern erfassen mit vorgefertigten Reports nicht nur ein größeres Spektrum von verdächtigen Aktivitäten, sondern ersparen dem Administrator obendrein das Erstellen und Warten von Scripts.

    Report für Anmeldungen an einem Domänen-Controller

    Zu den kritischen Vorgängen im Active Directory gehören vor allem fehl­geschlagene Anmelde­versuche, Änderungen von Passwörtern administrativer Konten und neue Mitglied­schaften in privilegierten Gruppen. Solche Aktivitäten sollten ebenso überwacht werden wie Manipulationen von GPOs.

    Zugriffe auf Dokumente erkennen

    Bestimmte Bedrohungen lassen sich nur entdecken, wenn Unter­nehmen auch die Dateien und Frei­gaben auf File-Servern überwachen. So fällt etwa die Aktivität von Ransomware dadurch auf, dass sie zahlreiche Dokumente in kurzer Zeit verändert, wenn sie diese verschlüsselt.

    Gerade Insider-Angriffe trachten häufig danach, an vertrauliche geschäf­tliche Daten zu gelangen. Ein File-Server-Auditing für Verzeichnisse mit sensiblen Informationen bietet dort neben einem konse­quenten Berechtigungs-Management einen guten Schutz gegen Daten­diebstahl.

    Das technische Webinar Angriffe auf das Unternehmens­netzwerk frühzeitig erkennen - Änderungen im AD nachvollziehen führt anhand von ManageEngine ADAudit Plus vor, wie sich unterschiedliche Bedrohungs­szenarien rechtzeitig erkennen lassen.

    Themen sind unter anderem:

    • Logons und Logoffs überwachen
    • Veränderungen an Usern, Gruppen oder Group Policy Objects überwachen und auditieren
    • Herausfinden, wer wann welche Änderung im Active Directory vorgenommen hat
    • Aktivitäten privilegierter Benutzer überwachen
    • Datei- und Verzeichnis-Zugriffe auf File-Servern überwachen
    • Reports anpassen und mit Filtern speichern
    • Alarmierung bei sicherheits­relevanten Aktivitäten einrichten

    Die Veranstaltung fand am Dienstag, den 26. November 2019 statt und dauerte ca. 30 Minuten. Eine Aufzeichnung können Sie hier abrufen »