Оцените эту статью

В продолжение статьи

Active Directory принадлежит ведущая роль в проверке подлинности, поэтому важно иметь возможность обнаружить подозрительную пользовательскую активность именно в AD. Например, взломщики, получающие высокопривилегированный доступ к домену Active Directory или контроллеру домена, могут уничтожить целый лес, так как любые изменения, вносимые ими в базу данных AD, будут реплицированы на все другие контроллеры домена. И даже учетные записи с меньшими привилегиями открывают доступ к конфиденциальным данным, повреждение или потеря которых может нанести ущерб бизнесу и привести к ошибкам в обеспечении соответствия требованиям.

Change Auditor Threat Detection может обнаружить многие признаки ненормальной активности AD, в том числе:

  • резкий всплеск количества изменений, вносимых в AD пользователем, по сравнению с его обычной нормой, возможно указывающий, что учетная запись скомпрометирована и используется для уничтожения критических данных каталога (экран 1);безопасность AD
  • привилегированные пользователи, выполняющие административные действия, которые не являются их обычной обязанностью, например сотрудник службы поддержки первого уровня, ответственный
    только за разблокировку учетных записей пользователей и сброс их паролей, внезапно начинает создавать новые учетные записи пользователей или изменять членство в группах (экран 2);отслеживание активности в АД
  • изменение пользователями членства в конфиденциальных привилегированных группах AD, что может указывать на несанкционированную эскалацию привилегий;
    значительное увеличение количества изменений учетных записей AD, за которым может скрываться использование интерактивной привилегированной учетной записи для запуска сценариев;
  • ненормальное число неудачных изменений AD, что может указывать на попытку использовать скомпрометированные учетные данные.