Technisches Webinar: Änderungen im Active Directory und auf Netzfreigaben in Echtzeit erkennen
Wenn sich im Active Dirctory die Mitglieder von administrativen Gruppen ändern, dann sollte die Systemverwaltung unverzüglich davon erfahren. Gleiches gilt beim Zugriff auf Verzeichnisse eines File-Servers, der sensible Informationen enthält. Die Windows-Bordmittel bieten dafür aber nur rudimentäre Funktionen.
Aktiviert man etwa im AD das Auditing für Administratorkonten, dann zeichnet jeder Domain-Controller die konfigurierten Ereignisse im Eventlog auf. Von dort filtert man dann bestimmte Einträge anhand ihrer ID aus, meistens mit einem selbst geschriebenen Script. Will man die Logs für das ganze AD auswerten, dann muss man sie erst auf einem Server konsolidieren.
Tools von Drittanbietern
Spezialisierte Tools von Drittanbietern erfassen mit vorgefertigten Reports nicht nur ein größeres Spektrum von verdächtigen Aktivitäten, sondern ersparen dem Administrator obendrein das Erstellen und Warten von Scripts.
Zu den kritischen Vorgängen im Active Directory gehören vor allem fehlgeschlagene Anmeldeversuche, Änderungen von Passwörtern administrativer Konten und neue Mitgliedschaften in privilegierten Gruppen. Solche Aktivitäten sollten ebenso überwacht werden wie Manipulationen von GPOs.
Zugriffe auf Dokumente erkennen
Bestimmte Bedrohungen lassen sich nur entdecken, wenn Unternehmen auch die Dateien und Freigaben auf File-Servern überwachen. So fällt etwa die Aktivität von Ransomware dadurch auf, dass sie zahlreiche Dokumente in kurzer Zeit verändert, wenn sie diese verschlüsselt.
Gerade Insider-Angriffe trachten häufig danach, an vertrauliche geschäftliche Daten zu gelangen. Ein File-Server-Auditing für Verzeichnisse mit sensiblen Informationen bietet dort neben einem konsequenten Berechtigungs-Management einen guten Schutz gegen Datendiebstahl.
Das technische Webinar Angriffe auf das Unternehmensnetzwerk frühzeitig erkennen - Änderungen im AD nachvollziehen führt anhand von ManageEngine ADAudit Plus vor, wie sich unterschiedliche Bedrohungsszenarien rechtzeitig erkennen lassen.
Themen sind unter anderem:
- Logons und Logoffs überwachen
- Veränderungen an Usern, Gruppen oder Group Policy Objects überwachen und auditieren
- Herausfinden, wer wann welche Änderung im Active Directory vorgenommen hat
- Aktivitäten privilegierter Benutzer überwachen
- Datei- und Verzeichnis-Zugriffe auf File-Servern überwachen
- Reports anpassen und mit Filtern speichern
- Alarmierung bei sicherheitsrelevanten Aktivitäten einrichten
Die Veranstaltung fand am Dienstag, den 26. November 2019 statt und dauerte ca. 30 Minuten. Eine Aufzeichnung können Sie hier abrufen »
Weitere Beiträge von diesem Anbieter
- Technisches Webinar: User im Active Directory und VPNs mit Multifaktor-Authentifizierung (MFA) absichern
- Technisches Webinar: PCs im Home-Office remote verwalten und absichern
- Technisches Webinar zu Active Directory: Benutzerverwaltung automatisieren, Aufgaben delegieren, unerwünschte Änderungen erkennen
