De ce este importantă auditarea activităților neautorizate?
Evaluarea și înregistrarea atentă a activităților neautorizate reprezintă un proces important din mai multe motive:
a. Detectarea amenințărilor de securitate: prin monitorizarea activităților desfășurate pe rețele și sisteme, organizațiile pot identifica rapid comportamente neobișnuite sau acțiuni potențial dăunătoare, semnalând astfel prezența unor amenințări de securitate;
b. Prevenirea vulnerabilităților de securitate: prin identificarea și remedierea vulnerabilităților, auditarea activităților neautorizate poate contribui la prevenirea breșelor de securitate, împiedicând astfel accesul neautorizat la datele și resursele organizației;
c. Conformitatea cu reglementările și normele de securitate: multe industrii sunt supuse reglementărilor stricte privind protecția datelor și confidențialitatea informațiilor. Auditarea activităților neautorizate ajută organizațiile să se conformeze acestor reglementări și să evite sancțiunile legale, asigurând astfel integritatea și securitatea datelor lor.
Ce este Audit Logging?
Auditul activităților (audit logging) reprezintă procesul de documentare a activităților desfășurate în cadrul sistemelor software utilizate în organizația dumneavoastră. Jurnalele de audit înregistrează evenimentele, momentul la care au avut loc, utilizatorul sau serviciul responsabil și entitatea afectată. Toate dispozitivele din rețea, serviciile de cloud și aplicațiile emit jurnale (logs) care pot fi folosite în scopuri de auditare. O serie de jurnale de audit este numită urmărire a auditului, deoarece oferă o înregistrare secvențială a întregii activități într-un sistem specific. Prin revizuirea jurnalelor de audit, administratorii sistemelor pot urmări activitatea utilizatorilor, iar echipele de securitate pot investiga încălcările și asigura conformitatea cu cerințele reglementărilor.
Jurnalele de audit înregisterază următoarele tipuri de informații:
· Numele evenimentului identificat în sistem.
· O descriere ușor de înțeles a evenimentului.
· Momentul în care evenimentul a avut loc.
· Actorul sau serviciul care a creat, editat sau șters evenimentul (ID-ul utilizatorului sau ID-ul API-ului).
· Aplicația, dispozitivul, sistemul sau obiectul afectat (adresa IP, ID-ul dispozitivului, etc.).
· Sursa de unde a pornit actorul sau serviciul (țara, numele gazdei, adresa IP, ID-ul dispozitivului, etc.).
· Etichetele personalizate specificate de utilizator, cum ar fi nivelul de severitate al evenimentului.
Cum funcționează Audit Logging?
Majoritatea tehnologiilor oferă o interfață de utilizator unde poate fi activată colectarea jurnalelor de audit. În funcție de instrumentul specific, este posibil să aveți și control mai detaliat asupra colectării jurnalelor de audit. De exemplu, furnizorii de servicii de cloud precum Amazon Web Services, Microsoft Azure și Google Cloud colectează automat o gamă largă de jurnale de audit. Cu toate acestea, s-ar putea să trebuiască să activați înregistrarea jurnalelor de audit pentru anumite servicii sau anumite tipuri de activități pentru a vă asigura că aveți suficiente date pentru a dovedi conformitatea sau pentru a investiga un incident.
În Active Directory (AD), utilizatorii cu privilegii administrative au acces complet și nelimitat în întregul domeniu pentru a modifica obiectele AD și atributele acestora. Conturile de utilizator care fac parte din grupul Domain Admins sau alte grupuri cu privilegii de administrator trebuie monitorizate pentru comportament suspect. Iată cum să monitorizați acțiunile efectuate de conturile de administrator folosind auditarea nativă a Windows și utilizând ManageEngine ADAudit Plus.
Efectuați următoarele acțiuni pe controlerul de domeniu (DC):
1. Apăsați Start, căutați și deschideți Consola de Management a Politicii de Grup (Group Policy Management Console) sau rulați comanda gpmc.msc.
2. Faceți clic dreapta pe domeniul sau unitatea organizatorică (OU) (organizational unit (OU) pe care doriți să o auditați și faceți clic pe "Creați o GPO în acest domeniu și legați-o aici..." (Create a GPO in this domain, and Link it here... ).
3. Denumiți GPO-ul.
4. Faceți clic dreapta pe GPO și alegeți "Editare" (Edit).
5. În panoul din stânga al Editorului de Management al Politicii de Grup (Group Policy Management Editor), navigați la Configurația Computerului > Politici > Setări Windows > Setări de Securitate > Politici de Auditare (Computer Configuration > Policies > Windows Settings > Security Settings > Audit Policy.).
6. În panoul din dreapta, dublu-clic pe "Evenimentele de autentificare a contului de audit"(Audit account logon events), bifați casetele de lângă "Definiți aceste setări de politică", "Succes" și "Eșec"( Define these policy settings, Success, and Failure).
7. Navigați la Configurația Computerului > Politici > Setări Windows > Setări de Securitate > Configurarea Politicii Avansate de Auditare > Politici de Auditare > Autentificare Cont (Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies > Account Logon)
8. În panoul din dreapta, dublu-clic pe "Validarea acreditării de audit" (Audit Credential Validation), bifați casetele de lângă "Configurați următoarele evenimente de audit", "Succes" și "Eșec".
9. Faceți clic pe "Aplicare" (Apply), apoi pe "OK".
10. Navigați la Configurația Computerului > Politici > Setări Windows > Setări de Securitate > Configurarea Politicii Avansate de Auditare > Politici de Auditare > Management Cont de Utilizator (Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies > Account Management > Audit User Account Management) și bifați casetele de lângă "Configurați următoarele evenimente de audit", "Succes" și "Eșec" (Configure the following audit events, Success, and Failure).
11. Navigați la Configurația Computerului > Politici > Setări Windows > Setări de Securitate > Configurarea Politicii Avansate de Auditare > Politici de Auditare > Acces la DS > Modificări ale Serviciului de Director (Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies > Account Management > Audit Computer Account Management) și bifați casetele de lângă "Configurați următoarele evenimente de audit", "Succes" și "Eșec" (Configure the following audit events, Success,and Failure.)
12. Reveniți la Consola de Management a Politicii de Grup (Group Policy Management Console) și în panoul din stânga, faceți clic dreapta pe OU-ul dorit în care GPO a fost legată și faceți clic pe "Actualizare Politică de Grup..." (Group Policy Update...). Acest pas asigură aplicarea instantanee a noilor setări ale Politicii de Grup în loc să așteptați următoarea actualizare programată.
Pașii pentru vizualizarea acestor evenimente folosind Event Viewer
Odată ce acești pași sunt finalizați, evenimentele vor fi stocate în jurnalul de evenimente. Acestea pot fi vizualizate în Event Viewer. Cu toate acestea, înainte de a face acest lucru, trebuie să aflați ce utilizatori au privilegii de administrator. Efectuați următoarele acțiuni pe un controler de domeniu (DC):
1. Apăsați Start, apoi căutați și deschideți consola Active Directory Users and Computers.
2. Navigați la unitatea organizatorică, <Nume domeniu> > Utilizatori (<Domain name>Domain name > Users) și dați dublu-click pe grupul etichetat Domain Admins. Treceți la fila "Membri". Aici veți găsi o listă de utilizatori cu drepturi de admin.
3. Apăsați Start, căutați Event Viewer și faceți clic pe el pentru a-l deschide.
4. În panoul din stânga, faceți clic dreapta pe "Vizualizări personalizate" (Custom Views) și selectați "Creare Vizualizare Personalizată..." (Create Custom View....).
5. În fereastra "Creare Vizualizare Personalizată" (Create Custom View window), treceți la fila XML, bifați caseta de lângă "Editați interogarea manual" (Edit Query Manually) și faceți clic pe "Da" (Yes) în fereastra de avertisment care apare.
În câmpul de interogare, introduceți următoarea interogare:
xml
Copy code
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='SubjectUserName'] and(Data='<numele utilizatorului>')]]
</Select>
</Query>
</QueryList>
*Înlocuiți <numele utilizatorului> cu numele de utilizator al administratorului dorit.
6. Apăsați pe "OK" și dați un nume Vizualizări Personalizatei. Acum puteți vedea o listă de ID-uri de evenimente legate de acțiunile efectuate de contul de administrator sub "Vizualizări Personalizate".
Acești pași vă vor ajuta să monitorizați acțiunile efectuate de conturile de administrator în Active Directory și să identificați comportamentul suspect pentru a menține securitatea domeniului dumneavoastră.
Beneficiile Audit Logging
Prin monitorizarea activităților din rețele și sisteme, organizațiile pot identifica rapid comportamente neobișnuite sau acțiuni potențial dăunătoare, semnalând astfel prezența unor amenințări de securitate. Identificarea și remedierea vulnerabilităților contribuie la prevenirea breșelor de securitate, împiedicând accesul neautorizat la datele și resursele organizației.
Audit logging-ul este astfel o practică importantă în era digitală, asigurând că organizațiile rămân conforme cu reglementările, pot identifica și remedia problemele de sistem, pot investiga încălcările de securitate și pot îmbunătăți continuu politica lor de securitate și conformitate.