Quest® Change Auditor 7.0 release說明
Quest® Change
Auditor 7.0
關於Quest Change Auditor 7.0
Change Auditor為您的企業網路提供全面的稽核和安全保障。
Change Auditor稽核您基礎架構中發生的活動,並通過即時告警提供有關重要變更和活動的訊息。立即知道誰進行了更改,包括IP原始工作站的地址,它在何時何地發生以及之前和之後的值。然後自動將這些訊息轉化為智能,深入的稽核和管理證實 — 並減少與日常修改相關的風險。
l 稽核整個企業中的所有重要變更,包括Active Directory,Azure Active Directory,Office365 Exchange Online
\ SharePoint Online \ OneDrive For Business,Exchange,Windows File
Server,NetApp,EMC,SQL Server,VMware vCenter,SharePoint,Microsoft Skype for
Business和Fluid File
Systems。
l 收集用戶登入和登出活動,以便遵守規範和用戶活動追蹤。
l 自動執行對遵守計劃的追蹤和報告的規範,包括SOX,PCIDSS,HIPAA,FISMA,GLBA等。
l 通過全面的Audit Library即時洞察變更,加快故障排除速度內建的稽核告警,報告和強大的搜尋功能。
l 主動保護(lock down)Active Directory關鍵對象,Exchange郵箱和Windows文件和有害的改變文件夾,可能會打開安全漏洞或導致資源變成無法使用。
l 模組化方法允許針對關鍵環境單獨進行產品部署和管理,包括Active
Directory,Exchange,Windows File Servers,NetApp,EMC,SQL Server,Active Directory Queries,SharePoint,Logon Activity和Skype for Business。
Change Auditor 7.0中的新功能:
l 能夠將事件轉發給第三方工具
您可以將Change Auditor配置為使用webhook技術將事件發送到第三方工具。這個技術允許您將Change Auditor與SIEM工具或任何其他接受webhook的工具整合通知。
目前,您可以為託管和非託管Splunk Cloud創建和管理訂閱Splunk Enterprise版本通過Change Auditor client。
PowerShell命令可用於配置事件轉發到IBM QRadar(內部部署)和Hewlett Packard Enterprise的ArcSight Logger。此版本這些命令處於預覽模式。
l 增強SQL Server和Coordinator之間的數據安全性
在Coordinator配置期間,您可以選擇對Coordinator和SQLServer之間發送的所有數據使用SSL加密。要使用此選項,SQL Server必須安裝憑證並且指定的SQLServer名稱的格式必須與憑證中使用的名稱格式完全匹配(例如FQDN或NetBios)。
l 能夠使用PowerShell命令管理Active Directory保護添加了
以下命令以使您能夠管理Active
Directory保護樣板:
ü New-CAADProtectionTemplate,用於創建Active Directory保護樣板。
ü New-CAProtectedObject,用於創建要包含在保護樣板中的受保護對象。
ü New-CAScheduledTimeRange,用於安排何時實施保護。
ü Get-CAADProtectionTemplates用於列表中出現有的Active Directory保護樣板。
ü 刪除CAADProtectionTemplate以刪除Active Directory保護樣板。
l 能夠識別Read-Only Domain controller
通過“部署”頁面,您可以:
ü 選擇以包括顯示domain controller是否為只能讀取欄位。
ü 選擇僅在forest中顯示read-only domain controller。
l 配置如何處理auto-deployment和read-only domain controller。如果你啟用了將 “Do Not
Deploy on Read-Only DCs” 選項,將read-only domain controller添加到domain時,代理程序未安裝在該domain上。 預設情況下,這是關閉的,因此當將read-only domain controller添加到domain時,會安裝代理程序。
l 搜尋增強功能
已實施以下搜尋增強功能:
ü 其他欄位允許您通過search Layout tab顯示額外訊息:來源 - AD站點名稱:發起事件的電腦的Active Directory site。注意:Change Auditor和ArcSight / QRadar之間的連接當前不支援TLS / SSL用於安全連接。事件的預覽版本僅支援不安全的連接轉發到ArcSight和QRadar。
ü User-
IsAdministrator:'Yes'表示用戶是直接或間接成員local Administrators,Active Directory Administrators,Domain Admins or
Enterprise Admins groups。
ü 對於Active Directory搜尋,您可以選擇基於組成員身份搜尋事件。
l 新的內建搜尋
添加了以下內建報告,以幫助您快速了解您的活動Azure Active
Directory部署:
ü 過去7天內的所有Azure Active Directory用戶事件
ü 過去7天內的所有Azure Active Directory群組事件
ü 過去7天內的所有Azure Active Directory目錄事件
ü 過去7天內的所有Azure Active Directory策略事件
ü 過去7天內的所有Azure Active Directory應用程序事件
ü 過去7天內所有Azure Active Directory同步事件
ü 過去7天內的所有Azure Active Directory自助服務活動事件
l SQL AlwaysOn可用性組是Change Auditor和支援的SQL高可用性解決方案檔案資料庫。 SQL AlwaysOn可用性組中的資料庫直接與資料庫連接也是如此支援的。
l 其他平台支援
增加了以下支援:
ü SQL Server 2017用於Coordinator database
ü SQL Server 2012
SP4用於Coordinator
database
ü CEE8.4用於EMC稽核
ü SQLServer 2017
for SQL DLA稽核
ü 用於SQL DLA稽核的SQL Server 2012 SP4
ü Exchange2010 RU
19
ü Exchange2013
CU19
ü Exchange2016
CU9
ü Active Roles7.2.1
ü GPOADmin5.12
l 其他增強功能和更新
ü 能夠看到“who”負責關閉代理。
ü 處理許多AD Query事件時提高了性能。
ü 處理許多NetApp事件時提高了性能。
ü 能夠使用Group Managed Service
Account(gMSA)進行資料庫連接,代理部署,並將報告發送到網路芳鄰。
重要訊息
以下是此版本的重要訊息。
l 截至Change Auditor 6.x高性能資料庫:使用Change Auditor 6.x的新資料庫結構,您可以online訪問大量數據,而無需定期存檔數據。這裡有關稽核和訪問“大數據”的幾點建議:
ü
構建客製搜尋時,請記住新模式在其中組織其事件索引“hourly locks”。在標準時間窗口越小,性能越好,所返回結果集會到客戶端。
ü
雖然Change Auditor 6.x為我們的代理提供了有效的事件稽核,但它非常重要建議您保持“focused”稽核。這確保了何時的高性能訪問Change Auditor客戶端中的大量數據。
如果在同一小時內收到過多的稽核,性能可能會急劇下降取決於所選的標準。
l 在擁有者郵箱“event storm”上的SMTP警告通知:強烈建議使用郵箱配置為接收SMTP警告將從稽核“by Owner”事件中排除。一場“event storm”可能當擁有者在受稽核的郵箱上收到新的SMTP警告時,會發生永無止境的警告“Inbox opened
by owner”和“Message read
by owner”事件的循環。
l 在高容量Exchange Server上升級代理:安排代理升級至關重要,任何Exchange配置的維護間隔或其他低用戶郵箱活動期Server。不應在活動Exchange上嘗試更改稽核以進行Exchange代理升級無論如何都是Server叢集節點。
嘗試在繁忙的Exchange Server上升級代理可能會導致:
ü
Exchange2010客戶端訪問角色:代理升級失敗,不需要的RpcClientAccess服務重新啟動或未安排的Exchange叢集節點故障轉移。
ü
Exchange2013郵箱角色:代理升級失敗,不需要的RpcClientAccess服務重新啟動或未安排的Exchange叢集節點故障轉移。
ü
Exchange2010或2013客戶端訪問角色:不需要的IIS Exchange應用程序池重新啟動。
ü
Exchange2016郵箱角色:代理升級失敗,不需要的RpcClientAccess或IIS應用程序池重新啟動或未調度的Exchange叢集節點故障轉移。
要消除計劃外Exchange Server停機的可能性,請在郵箱活動較少或沒有郵箱活動期間對Exchange Server執行代理升級。
l EMC通用概念:
Control
Stations:Control
Stations是一台監控和控制的專用管理電腦機櫃組件,允許訪問Celerra或VNX網路Server的全部功能軟件。它包含用於安裝和配置Celerra或VNX Network Server的實用程序,用於維護系統,監控系統性能。Control
Stations運行一組程序統稱為Control
Stations軟體。Control Stations本身使用EMC定制的Linux版本作為其操作系統。
Data Movers:Data Movers是在存儲器之間傳輸數據的Celerra或VNX組件系統和網路客戶端。Data Movers使用Control Stations進行管理。預設情況下,Data Movers名為server_n,其中n是Data Movers的slot。例如,server_2就是slot 2中的Data Movers。
l EMC事件故障排除:如果Change Auditor代理未稽核EMC事件,請首先檢查EMC CAVA代理服務是否在收集EMC事件的Windows Server上運行。 其次,使用以下命令檢查EMC Data Mover上的CEPP服務是否正在運行或狀態是否離線:
server_cepp
{mover_name} -p –i
此命令的結果輸出應類似於以下內容:
IP = {mover IP},state = ONLINE ...等
如果CEPP服務處於離線狀態,您可以通過首先在Windows上重新啟動EMC CAVA服務來解決此問題服務。如果這無作用,請使用以下命令重新啟動Data Mover上的EMC CEPP服務命令:
server_cepp
{mover_name} -service –start
l Chagne Auditor代理需要Windows Server 2008/2012上的文件和印表機共享:預設情況下,Windows Server
2008/2012安裝上未啟用文件和印表機共享。要遠程安裝代理到Windows Server
2008/2012(完整UI和Server核心),啟用文件和印表機共享(SMBin)目標主機上的Windows防火牆(Port 445)中的inbound規則。
還需要網路連接器上的Microsoft網路服務的文件和印表機共享已啟用遠端部署。
l NAS和mapped network drives的文件系統稽核:更改稽核員不支援文件除EMC Celerra /
VNX / Isilon或NetApp之外的NAS設備或mapped network drives上的系統稽核Data ONTAP文件管理器。
l Microsoft
Office文件:自更改Auditor for Windows File Server,NetApp和EMC驅動程序擷取與文件活動相關的事件,可能是包含文件的文件夾被打開和編輯Microsoft
Office產品(Word,Excel,PowerPoint等)將生成意外結果。了解MS Office產品如何與文件系統交互可能有助於解釋部分稽核擷取的事件。
l SAN的文件系統稽核:支援和工程將嘗試對問題進行故障排除和解決當SAN連接到基於Windows的文件Server時,它們的最佳能力使其顯示為該主機上的本地drive。在此配置中,SAN通常表現為一個額外的disk drive server,可由該Server上的Change Auditor代理程序稽核。成功完成此配置取決於許多因素但這並不保證。
l 文件系統稽核:更改稽核員不稽核大小為零(0)bytes的文件。
l 重新編譯Change Auditor MOF文件:Change Auditor不再附帶MOF文件作為其中的一部分Coordinator安裝程序。 CA WMI命名空間是否應該損壞,或者是否應該安裝失敗,可以使用以下命令行重新編譯該文件:
ChangeAuditor.Service.exe --install
l Outlook“Show
New Mail Desktop Alert”觸發“Message Read
by Owner”事件:何時此操作選項已啟用,到達的新電子郵件會在桌面系統tray附近閃爍半透明的“警告”。發生這種情況時,Change Auditor會擷取所有者發送的消息。新的電子郵件警告窗口在到達時打開每封新電子郵件以構建警告。注意:“Message Read
by Owner”在稽核事件配置中,預設情況下不啟用此事件。
l Microsoft
Outlook / Exchange add-ins:更改稽核程序可能與Microsoft Outlook或Microsoft Outlook不兼容交換與Exchange Server交互的“add-ins”(商業或客製)。雖然任務使每一個為確保正常的功能和性能,我們無法驗證許多add-ins適用於Microsoft Outlook或Exchange Server。
l Blackberry
Enterprise Server(或類似)服務:為了消除自動化任務的稽核,更改Auditor代理嘗試自動排除Blackberry對郵箱訪問的稽核企業Server(BES)或類似的服務帳戶。這些帳戶都有“Receive All”和郵箱資料庫上的“Administer Information
Setup”權限。如果將這些顯式權限授予用戶帳戶,這些帳戶也被排除在郵箱稽核之外,這可能是不需要的。如有必要,可以server-by-server關閉此自動排除。
l “By Owner”稽核功能:選擇“By Owner”稽核許多郵箱可以產生許多郵箱事件。這會對Change Auditor稽核產生負面影響,嚴重時會影響Exchange Server本身的性能。在極端情況下,Outlook連接可能會減慢或遺失。選擇所有者稽核最多只有幾個關鍵郵箱。
l 稽核具有許多代理的郵箱。稽核訪問權限所在的普通郵箱授予許多代表(超過10個),可以產生大量的非所有者事件。這會對更改稽核員稽核以及嚴重情況下Exchange Server的性能本身產生負面影響。如果需要稽核這些郵箱,請將它們添加到共享郵箱列表(User Defined tab)中減少不需要的non-owner事件並提高性能。
l 對domain administration
level安全對象的更改可能會生成後續的DACL更改報告,改變後的訊息為“NT AUTHORITY \ ANONYMOUS
LOGON”原始的變化。根據Microsoft文章http://support.microsoft.com/kb/232199,保存primary domain controller(PDC)操作主要角色的Active Directory domain
controller每小時運行一個線程,以檢查多個內建管理組的成員的訪問控制列表。 如果用戶帳戶是其中一個administrative groups,即使只是因為其成員使用分配小組,也會在運行該線程時檢查用戶帳戶的ACL,並且可以將其重置為ACL of the CN =
AdminSDHolder,CN = System,DC = <domain> object。
l 從防毒軟體中排除更改稽核員元件和受監控的程序:Quest建議從以下任何部分中排除以下Change Auditor組件和受監控的進程使用類似“Buffer Overrun Protection”或“On Access Scanner”的技術的防毒軟體:
ü DSAMain.exe
ü Lsass.EXE
ü Microsoft.Exchange.RpcClientAccess.Service.exe(僅限Exchange 2010/2013)
ü NPSRVhost.exe
ü Services.exe
ü “Server”服務
l 在服務帳戶(而不是Local System)下運行的Change Auditor Coordinator服務:
如果Coordinator服務在服務帳戶(而不是Local System)下運行:
ü 用戶必須使用Change Auditor客戶端的連接重新保存現有的Forest或GC配置文件wizard。這將使用正確的訊息更新SPN。
ü 用戶必須在連接中輸入Coordinator的IP地址而不是用其DNS名稱設置:
Change Auditor
Web客戶端的web.config
Change Auditor客戶端連接wizard中的手動選項
留言
張貼留言