在Windows环境中检测内部人员攻击

 

在所有的网络威胁中,可能对组织造成最坏影响的威胁在于:内部人员攻击。内部人员攻击者极为难以察觉,尤其当攻击者是受信任和特权用户时更是如此,因此此类攻击恶名远扬。当攻击者是一个有特权访问系统(如Active Directory)的IT工作人员时,几乎无法检测得到。这些攻击者知道组织从内到外的所有安全策略,这为他们提供了摆脱安全控制和掩盖其入侵。

内部人员攻击的主要负担是识别攻击者的有害行为,因为这可能看起来就像是和他的角色和责任一致的正常活动。只有关于情况的情境信息才有助于发现此类攻击。为了更好地理解这一点,请考虑下面的情况; 当单独看待这种情况时,很可能会把这三起事件当做平常事件而忽略。但是,如果调查人员将帐户封锁事件与其他两个相关事件相关联,则攻击变得很明显了。

Windows Active Directory中的恶意系统管理员滥用其授权特权来重置重要帐户的密码,从而获得对帐户的权利和组织机密数据的访问权限。
使用盗用的身份,管理员访问超出其权限的数据。所有这一切都是在一夜之间通过远程访问发生的,因为这些都是帐户允许的活动,所以不会触发任何告警。
第二天,帐户的所有者在不知道密码重置的情况下尝试登录时被锁定。假设她忘记了密码,她会寻求帮助台的帮助以获得新密码。

ADAudit Plus合并审计跟踪报表

ADAudit Plus提供了一个搜索实用工具,该实用工具为选定时间段内的任何用户帐户(包括Active Directory管理员)提供三种不同的审计概览(如下所示)的合并。概览中提供的每个细节都是一个链接,点击链接后会显示详细的报表以供进一步检查。同样,搜索也会为任何给定组或计算机对象提供合并审计摘要,并提供正确的信息组合,以便更好地进行事件调查

  • 帐户的操作:这是指定帐户在其他AD对象上执行的所有配置更改的摘要。
  • 帐户的登录历史记录:该摘要中列出了该帐户访问的每台计算机(交互式或远程访问),以及诸如登录时间和IP地址等详细信息。
  • 对象历史记录:这提供了特定帐户的背景,总结了由谁对其或其属性进行了怎样的更改。例如,它会显示谁更改了帐户的权限或密码。

当您使用ADAudit Plus调查上述帐户锁定事件时,此搜索将并列显示帐户中的管理员操作、从陌生IP地址进行的帐户远程访问以及帐户锁定等信息。这提供了必要的上下文,使您能够在相关的安全事件之间建立关系并最终揭露内部人员的所做的事。

有时候,攻击者会花时间仔细地分阶段进行操作。以这种方式,即使他们的行为被发现,这些行为的零散性会诱使观察者将他们视为意外或平常事件。这也给攻击者提供了一些时间,在此期间,他们在Active Directory中违规行为的迹象将从日志文件中删除(或降级到归档)。由于ADAudit Plus在本地数据库中维护审计数据,因此调查人员可以调整其搜索实用工具,为疑似用户提供几个月甚至一年的审计跟踪。这提供了一个上下文丰富的审计跟踪,调查人员可以用它来了解那些用户操作的真正意义。

在ADAudit Plus中,

有200余个即用型安全性、取证与合规审计报表

 
登录/注销
监控工作站登录和注销,了解每个成功和失败的登录情况
 
文件服务器
审计Windows文件服务器、集群、EMC、NetApp文件和文件夹变更
 
成员服务器
使用报表跟踪每一个Windows服务器的变更:摘要报表...
 
登录/注销
  • • 审计用户的工作站登录和注销次数、登录持续时间
  • • 用户登录失败、登录历史、终端服务和RADIUS登录
  • • 查看预配置的报表,并为关键帐户设置电子邮件告警
Windows文件服务器
  • • 审计文件服务器、Windows故障转移集群、NetApp Filer和EMC服务器
  • • 监控失败的尝试和成功的文件创建、修改、删除和文件读取
  • • 文件的移动或重命名、复制-粘贴、修改和访问权限
Windows成员服务器
  • • 审计成员服务器、文件完整性监控、打印机和USB访问
  • • 监控本地登录、注销、登录持续时间、登录失败和登录历史
  • • 跟踪计划的任务、进程、文件夹审计和权限变更

我们的客户