Application Control Plus 解决方案案例

 

ManageEngine卓豪助力太古地产,全面部署一站式AD域审计解决方案


2023年1月,ManageEngine卓豪签约太古地产有限公司,通过ADAudit Plus一站式AD域审计平台,帮助“太古地产”IT部门通过监视用户登录活动来检测潜在威胁,并对所有变更事件可视化分析,确保企业AD域的安全性和合规性;实时变更审计和UBA解决方案,确保Active Directory(AD)、Azure AD、成员服务器及工作站的安全性和兼容性。

太古地产于1972年成立,致力发展及管理商业、零售、酒店及住宅物业,发展策略集中在主要运输交汇点的上盖发展综合物业项目。太古地产在中国香港的投资物业组合以太古广场、太古坊及又一城为核心物业。于中国内地,太古地产于北京市、上海市、广州市和成都市,共拥有五个大型发展项目,当中以北京朝阳区的三里屯太古里和瑜舍酒店最为人熟悉。

在不同类型的网络攻击中,内部威胁最难被察觉,且难以提防。这归因于员工对合法凭证、机器和访问权限的使用不当。传统的SIEM解决方案,使用基于规则的警报,来检测潜在的内部威胁,无法分析用户行为或检测其中的任何异常。因此,当员工处理敏感数据时,很难知道他们是在做正常的工作,还是在发起恶意攻击。

通常情况下,IT管理员无法跟踪那些未能成功登录到公司网络的用户。所以大家常见的一种误解是,由于用户未能登录到公司网络,所以他们将无法访问内部网络资源,因此也不会对企业的网络安全构成威胁。值得一提的是这些失败的登录尝试恰恰可以作为分析网络安全攻击的一个重要指标。“密码猜测攻击”(例如暴力破解)会使用试错法来发现正确的密码组合或密钥。来自同一IP的持续失败登录,其实是发现攻击者恶意访问您网络资源的一个可靠指标。

1、恶意登录,包括非正常时间访问服务器。

2、特权滥用和权限升级。

3、首次远程访问服务器上的新应用,并尝试过滤数据。

4、通过分析超活跃账户,评估大多数用户的风险。

ManageEngine卓豪为“太古地产”统一部署ADAudit Plus ,IT 安全及合规解决方案。它提供了有关对 Active Directory、Azure AD 和 Windows 服务器的200 多个特定事件的报告和实时电子邮件告警。此外,它还提供全面的智能访问工作站和文件服务器,如NetApp 和EMC等。

1、审核和统计失败的用户登录尝试报告,包括哪些用户账户何时何地以及从何处登录的详细信息。

2、根据 IP 地址、登录时间和用户名等信息检查和定位多次失败的登录尝试。

3、当监控到短时间内有多次失败的登录尝试时立即触发响应机制抵制威胁。当特权用户被锁定或锁定数量过高时,ADAudit Plus会发出即时警报。这些警报也可以直接以电子邮件或短信方式发送到IT管理员或服务台技术员。

4、为帮助管理员和技术人员更好地了解其域中的帐户锁定状态,ADAudit Plus 提供了大量预置报表,这些报表包括:最近被锁定的用户、频繁锁定的用户、最近解锁的用户、频繁解锁的用户。

所有这些报表都列出了被锁定的用户帐户以及关键的详细信息,如被锁定的时间和相关域控制器。这些报表帮助“太古地产”IT管理员跟踪并密切关注经常被锁定的用户帐户。当IT管理员或服务台技术员需要找出哪个用户帐户可能存在攻击行为,他们可以通过检查最近被锁定的用户来判断。ADAudit Plus的用户行为分析可以通过使用动态阈值来发现用户登录活动的可疑数量以及持续时间。

ADAudit Plus的UBA引擎会警告管理员有关用户的异常登录活动,分析引擎会根据用户过去的行为以计算他们正常活动时间范围。如果在正常登录时间范围之外的登录成功,则会触发异常登录告警并将通知管理员。确保企业活动目录的安全性和合规性。