В продолжение статьи
Active Directory принадлежит ведущая роль в проверке подлинности, поэтому важно иметь возможность обнаружить подозрительную пользовательскую активность именно в AD. Например, взломщики, получающие высокопривилегированный доступ к домену Active Directory или контроллеру домена, могут уничтожить целый лес, так как любые изменения, вносимые ими в базу данных AD, будут реплицированы на все другие контроллеры домена. И даже учетные записи с меньшими привилегиями открывают доступ к конфиденциальным данным, повреждение или потеря которых может нанести ущерб бизнесу и привести к ошибкам в обеспечении соответствия требованиям.
Change Auditor Threat Detection может обнаружить многие признаки ненормальной активности AD, в том числе:
- резкий всплеск количества изменений, вносимых в AD пользователем, по сравнению с его обычной нормой, возможно указывающий, что учетная запись скомпрометирована и используется для уничтожения критических данных каталога (экран 1);
- привилегированные пользователи, выполняющие административные действия, которые не являются их обычной обязанностью, например сотрудник службы поддержки первого уровня, ответственный
только за разблокировку учетных записей пользователей и сброс их паролей, внезапно начинает создавать новые учетные записи пользователей или изменять членство в группах (экран 2); - изменение пользователями членства в конфиденциальных привилегированных группах AD, что может указывать на несанкционированную эскалацию привилегий;
значительное увеличение количества изменений учетных записей AD, за которым может скрываться использование интерактивной привилегированной учетной записи для запуска сценариев; - ненормальное число неудачных изменений AD, что может указывать на попытку использовать скомпрометированные учетные данные.