ADAudit Plus是一款活动目录变更审计和报告软件,通过提取Windows系统中的安全日志数据,并对其进行分析、解析和整理,将有用的数据提炼并保存到数据库中,帮助审计和跟踪Windows活动目录中的所有操作。
ADAudit Plus可详细记录变更历史,可以对诸如创建,删除和编辑用户/计算机/组/域策略对象等各类管理操作进行审计,报告活动目录所做的变更,并生成丰富而又详尽的报表。从而帮助IT管理员回答“谁在什么时间什么地方执行了什么行为”的问题,满足企业内部审计和外部法规监管的需要。
1.活动目录审计
在实时状态下,通过预配置审计报表和电子邮件告警监控域控制器的用户登录活动;审计报表确保管理员了解用户登录失败的原因、登录历史、终端服务活动和网络上用户最近的登录活动,包括工作站和服务器。
此外,该登录审计解决方案也是一个不可或缺的工具,使得特定登录事件、当前和过去登录活动的审计变得容易,并可列出所有与登录相关的变化。
帐户锁定分析
用户管理操作
跟踪用户登录操作
&61548;定期审核、分析员工的出勤情况
&61548;查看域中任意用户的完整登录历史
&61548;识别是否有用户正在尝试登录其权限不足的机器
&61548;识别连接到域控制器或工作站或通过远程访问的用户
2.文件服务器审计
安全地跟踪文件服务器以了解对文件和文件夹结构、共享和权限中文档的访问、变更。用50余种搜索属性和筛选器(它们基于用户、文件、服务器、共享或自定义报表)查看专属文件审计报表,以获取非常详细的信息。
同时,在出现对关键文件和文件夹的未经授权操作/访问后,获取有关文件服务器活动的即时电子邮件告警。找到至关重要的4W的回答 - 谁在何时何地在文件服务器中进行了什么变更。
Windows文件服务器审计
访问权限审计
合规性审计报表
&61548;对所有变更/文件创建、删除、修改和文件夹结构的失败尝试的详细取证
&61548;跟踪文件和文件夹访问权限和所有者
&61548;为安全、无停机和相容的网络环境审计Windows故障转移集群。
&61548;监控EMC服务器、NetApp Filers CIFS文件/文件夹创建、修改和删除、变更权限等。
故障转移集群
审计和管理重要的Windows文件服务器故障转移集群。监控业务关键型文件访问/修改痕迹。跟踪文件修改/文件夹权限变更!监控网络上的“文件/文件夹、共享和权限”修改!使用简单、详尽、易于理解的合规特定报表及告警,从而可审计完整的Windows文件服务器故障转移集群设置。
Windows文件服务器故障转移集群审计
&61548;各种各样的故障转移集群审计、告警和基于筛选器的报表功能
&61548;文件和文件夹结构中的已审批和未审批变更的详细取证
&61548;通过计划的报表自动跟踪变更
&61548;满足SOX、HIPAA、PCI、GLBA合规要求
NetAPP Filer
在中央位置审计、监控和报表NetApp Filer CIFS共享上的变更。查看预配置的审计报表,获取有关每个NetApp Filer CIFS文件/文件夹创建、修改和删除、变更权限等的即时告警。报表和告警包含全面的事件分析,帮助快速评估情况以获得更好地控制情形。
用合规特定的审计报表满足安全与IT合规需要,并以XLS、CSV、PDF和HTML格式提交报表。
NetApp Filer变更审计
&61548;监控对文件、共享、访问和权限的NetApp Filers变更
&61548;文件和文件夹结构中的已审批和未审批变更的详细审计线索
&61548;有关重要变更的可计划报表和电子邮件告警
&61548;满足SOX、HIPAA、PCI-DSS、FISMA、GLBA合规要求
多种报表
共享上的所有文件或文件夹变更、已创建文件、已修改文件、已删除文件、成功的文件读取访问、失败的读取文件尝试、失败的删除文件尝试、已移动(或)重命名文件、文件复制粘贴Pasted
EMC服务器
监控EMC (VNX/VNXe/Celerra)存储设备对企业的机密数据非常重要。记录每次成功和失败的文件/文件夹访问、修改、移动、复制和重命名尝试,以及审核设置和权限变更也非常重要。有了预配置的审计报表和即时告警,可即时知道谁何时在何地进行了什么变更。确保安全,并符合不同的合规法例。
EMC存储系统安全审计
&61548;跟踪由管理员、用户、帮助台、人力资源等进行的每次文件/文件夹访问/修改
&61548;查看预配置的报表,并为已监控文件夹/文件的变更设置电子邮件告警
&61548;使用XLS、CSV、PDF和HTML格式的审计报表满足PCI、SOX、GLBA、FISMA、HIPAA合规要求
&61548;归档AD事件数据以节省磁盘空间,并查看安全和取证的历史报表
3.工作站审计
管理员可查看用户在工作站登录的确切时间和注销时间以及登录持续时间。使用详细的报表可轻松查看未经授权进入或定期监控的关键数据,有助于尽快防止进一步错误行为。报表可安排为自动定期报表,也可为关键更改设置即时电子邮件告警。
Windows工作站审核
所有工作站审核报表
&61548;跟踪用户的工作站登录/注销
&61548;查看预配置的报表;使用计划报表实现自动化定期报表
&61548;为关键帐户、未经授权访问设置电子邮件告警
IT审核员登录时仅具有报表查看权限
4.成员服务器审计
Windows服务器审计
成员服务器是任何Microsoft服务器环境的(文件、打印、web、应用程序和通信)的重负荷机器。使用各种详细报表监视每个Windows成员服务器的变化:总结报表、进程跟踪、策略更改、系统事件、对象管理和计划任务。具有强大的属性审计报表对“事件”进行了深入分析,帮助您查明安全漏洞。
Windows成员服务器审计
计划任务和进程
所有审计报表
&61548;成员服务器监视与事件总结报表,跟踪计划任务和系统事件,跟踪所有进程和策略变化
&61548;文件完整性监控(FIM)的系统,配置,文件和文件属性修改
&61548;实时地识别所有在Windows网络上打印的文件
&61548;列出文件的详细信息,包括时间和日期、用户名、页面、副本、文件大小、打印机名称和服务器详细信息
多种报表
总结报表, 进程跟踪, 策略变更, 系统事件, 对象管理, 计划任务, 谁启动了进程
打印机审计
管理员可以实时审计、监视和查看打印机的使用情况、基于用户的报表、最近的作业和基于打印机的报表。快速评估打印机的使用情况,包括时间和日期、打印的用户名、文件名称、页数、副本、文件大小、打印机名称和服务器信息以及即时邮件告警。满足安全性和SOX, HIPAA合规要求,导出为XLS、HTML、PDF和CSV格式。
打印机审计
Windows成员服务器审计
所有审计报表
&61548;识别所有通过Windows网络打印的文件
&61548;理出文件信息:日期和时间、名称以及打印者用户
&61548;跟踪页面、副本、文件大小、打印机名称和服务器详细信息的数量
&61548;符合萨班斯-奥克斯利和HIPAA的合规要求
文件完整性监视
监视对配置、文件(日志、审计、文本、EXE、Web、配置、DB)、文件属性(DLL、EXE和其他系统文件)的尝试/更改。查看更改审计报表,并对文件夹/文件修改获得即时的邮件告警。确保Windows服务器的安全性并满足PCI DSS(Req)的符合要求:PCI DSS (Req. 10.5, 11.5), SOX (Sec 404), FISMA (NIST SP800-53 Rev3), HIPAA (NIST Publication 800-66)。
文件完整性监视
Windows成员服务器审计
所有审计报表
&61548;通过管理员、用户、服务台、人力资源部等审核系统、配置、程序文件和文件夹的修改
&61548;Windows系统的文件被监控:SysWOW64
System32
程序文件
DLLs
驱动
安装程序
&61548;受限数据监控:个人信息
财务报表
卡传输文件
&61548;每个报表都有20多个过滤属性,有助于在变更审计报表中轻松地确定要点信息
多种报表
文件修改, 文件删除, 文件复制和粘贴, 文件夹权限变更, 文件夹审计设置变更(SACL)
ADFS审计
Microsoft Active Directory联合身份验证服务(ADFS)帮助组织为用户提供单一登录(SSO)能力,从而让他们更容易访问组织边界间的系统和应用程序。这个基于声明的访问控制授权模型让组织能够与可信的业务合作伙伴分享身份信息。
ADAudit Plus提取由ADFS在安全事件日志中记录的所有身份验证尝试,并提供有关ADFS成功和ADFS失败的详尽报表。ADFS审核让管理员实时了解用户活动的趋势,还可帮助组织满足合规标准。利用ADAudit Plus,您可查看ADFS发布的声明并在规定的审核间隔生成ADFS特定的审核报表。
ADAudit Plus的ADFS报表工具让您能够:
使用最先进的解析技术(包括快速搜索和筛选器选项)检查大量的安全日志,以便获得用户详情,包括IP地址、依赖方和登录时间信息。
使用有关暴力破解的告警来加强安全,通过自定义规则集触发的操作发现入侵者。
生成ADFS特定的审核报表,通过减少所需的时间、精力和专门知识来简化安全分析。
将审核信息直接转发到您的SIEM解决方案,或以适合的数据格式转发到系统日志服务器。
安全日志和系统事件
了解用户何时变更计算机内部时钟上的时间和日期。如果系统时间已变更,记录的事件将反映此新时间,而不是事件发生的实际时间。对系统时间不正确的变更可对应用程序造成严重破坏。
您可在Windows 2003 / 2008 / 2012计算机的安全日志中找到有价值信息,它提供了有关登录活动、重要系统级事件、帐户管理、文件访问事件、管理事件等的重要信息。即时了解系统安全日志何时已清除并确定用户身份。安全日志通常进行清除来隐藏事件痕迹,对企业的安全审核与IT合规要求至关重要。
同时,系统启动/关机是重要的安全事件,因为当操作系统当机时,系统非常容易受到物理访问攻击。立即用ADAudit Plus执行审计!
任务和进程
想像一下100多个计划任务遍布所有2003 / 2008 / 2012 Server。当创建、删除、启用、禁用和更新这些任务时,想像一下手动查找这些任务时多么令人生畏。唷!在一个报表中监控1000个计划任务的每个变更。
跟踪流程相关事件,例如,流程创建/终止。监控执行的每个程序、流程何时结束、运行该程序的用户身份以及启动此流程的那个流程。进行定义以仅审计成功、仅失败、成功和失败,或根本不审计这些事件。立即用ADAudit Plus执行审计!
若匹配到此类型邮件,可以通过邮件形式发送通知到指定邮箱。
5.合规性审计
需要维持合规的组织现在必须依靠自动化信息监控系统,例如ADAudit Plus。这些系统确保有效的信息安全控制、持续和彻底的监控以及许多绝对保密、完整和准确的审核报表。这个安全软件跟踪为了满足SOX、HIPAA、PCI-DSS、FISMA和GLBA等各种合规要求所需的用户操作和数据访问/修改。
ADAudit Plus为您提供全天候监控、电子邮件告警和易于查看的预配置报表。拥有超过200个可查看更改的报表,合规变得更简单。
一些合规特定报表
&61548;SOX – 最近用户登录活动、登录失败、管理用户操作、域策略更改、用户管理、登录历史、成员服务器上的更改
&61548;HIPAA – 所有文件或文件夹更改、计算机管理、组织单位管理、登录持续时间、组管理、终端服务活动
&61548;GLBA – 本地登录失败、文件夹权限更改、文件夹审核设置更改(SACL)、成功的文件读取访问、域策略更改
&61548;PCI-DSS – 登录历史、登录失败、成功的文件读取访问、成员服务器上的更改、Radius登录历史(NPS)
&61548;FISMA – 管理用户操作、失败的删除文件尝试、失败的写入文件尝试、所有文件或文件夹更改、计算机管理