En post anteriores sobre Quest Changeauditors enseñábamos como establecer las monitorizaciones y los controles pertinentes sobre nuestro dominio consiguiendo una correcta supervisión del entorno. En este post mostraremos las posibilidadesa la hora de extraer información de las diferentes monitorizaciones establecidas.
Para la consecución de dicho fin, esta vez no será necesario acceder a la pestaña de monitorización, ya que Quest ChangeAuditors nos otorga directamente una pestaña de acceso para la realización de búsquedas, como vemos en la siguiente imagen.
Imagen 1: Búsquedas en ChangeAuditor
Las búsquedas se encuentran divididas en tres carpetas:
· Búsquedas privadas (“Private”).
· Búsquedas compartidas (“Shared”).
· Búsquedas mediante informes de SQL Server Reporting Services (“SRS Reports”).
De momento, vamos a centrarnos en las búsquedas incorporadas en la carpeta “Shared”,ya que contiene búsquedas predefinidas de seguridad relacionadas directamente con el Directorio Activo.
Una vez situados en la carpeta informes de seguridad (Security Reports) disponemos de varias búsquedas para el filtrado de la información generada por las monitorizaciones. En la siguiente imagen podemos visualizar uno de los filtros disponibles (Access Control – Administrator Acc), gracias al cual vamos a poder realizar una búsqueda de las actuaciones realizadas por los administradores del Dominio. Podemos observar claramente las distintas búsquedas compartidas disponibles para dicho filtro, como por ejemplo, la que nos proporciona la información de aquellos usuarios que hayan cambiado de grupo en los últimos 30 días (Group Membership Changes in last 30 days).
Imagen 2: Búsquedas de seguridad
Otro de los aspectos que podemoscomprobar es el estado de seguridad actual de nuestro dominio. Para ello, podemos revisar las actualizaciones implantadas, service packsinstalados, la eliminación de los registros de auditoria de seguridadlimpiados en los últimos 30 días, etc. Este tipo de información aporta datos muy relevantesa la hora de averiguar si nuestra infraestructura ha sufrido algún tipo de ataque.
Imagen 3: Búsquedas de seguridad en el dominio
Pero aún podemos ir más allá y refinar aún más las búsquedasque se realicen en el ámbito de nuestro dominio. En el caso de que tengamos que realizar una comprobación o análisis forense en busca de aquellos rastros que nos puedan servir para averiguar si nos han realizado algún tipo de ataque o se hayan realizado cambios indebidos en su estructura, podemos recurrir a la carpeta Seguridad de dominio (Domain Security). Gracias a esta carpeta, vamos a poder disponer de primera mano de la información que se almacena en el sistema y que se encarga de registrarcualquier cambio que se pueda producir en las políticas de seguridad establecidas, en los elementos de auditoría configurados, en los permisos de seguridad otorgados o denegados, o información de índole parecida, proporcionando en su conjunto puntos vitales en el funcionamiento de nuestro dominio.
Imagen 4: Búsquedas de cambios en la seguridad del dominio
Otro de los muchos ejemplos que muestran la versatilidad del producto en cuanto a posibilidades ofrecidas por parte de la herramienta a la hora de realizar un análisis del entornoes la de supervisar y controlar el uso que se está realizando en las cuentas de usuario de nuestro dominio.
Esta actividad nos va a ayudar a mantener nuestro dominio limpio y actualizado de aquellos usuarios que puedan estar inactivos o poder conocer el grado de conectividad en el sistema.
A través de la carpeta Actividad de usuario (User Activity) podemos disponer de información muy interesante que afecta a los usuarios de nuestro dominio. Pongamos como ejemplo de dicha información interesante el caso en el que como Administradores del sistema queramos averiguar qué usuarios cuentan con contraseñas con nivel de complejidad media o baja y cuantos cambios de contraseña con esta peculiaridad se han producido en el último mes. Para este tipo de ejemplo bien pudiéramos remitirnos rápidamente a una de las búsquedas compartidas disponibles en la aplicación y averiguar dicha información.
Otro ejemplo bien pudiera ser el obtener información de los inicios de sesión que se hayan producido en el sistema, o disponer rápidamente de aquella información que nos pueda indicar qué usuarios están bloqueados o deshabilitados en nuestro entorno.
Imagen 5: Monitorización de usuarios
No quiero acabar el post sin reseñar un aspecto muy importante que incorpora la aplicación. Este post se ha centrado en mostrar las posibilidades a la hora de realizar búsquedas para controlar el grado de seguridad de nuestro dominio, pero una de las mayores bondades de la herramienta es la de encontrarse completamente preparada para dar forma y cumplimiento a normativas de alta importancia como puedan ser la ISO, PCI y la severa normativa SOX. Para poder acceder a este tipo de búsquedas tan solo hemos de acceder a la carpeta denominada Cumplimiento de las normas (RegulatoryCompliance).
Imagen 6: Cumplimiento de normativas
Nada más por hoy, amigos, desearos unas felices fiestas y que en el 2011 continuemos reuniéndonos en torno a los productos de Questanimándoos de nuevo a que os probéis Quest ChangeAuditor a la hora de analizar y auditar vuestro sistema. Un cordial saludo
Enviado
ene 05 2011, 05:30
por
Ignacio Briones