如需獲得最佳網頁瀏覽體驗,請使用 IE 11 或更高版本、Chrome、Firefox 或 Safari。

Change Auditor for Logon Activity

提供Active Directory用户登录报告,以及检测混合AD身份验证中的漏洞和可疑行为。不断增加的合规性法规和安全性顾虑使得自动化且可靠地跟踪用户登录和注销活动变得不可或缺。遗憾的是,大多数第三方工具的实施过程非常繁琐,而且无法提供所需的审核级别来确保对用户操作的充分问责制。此外,系统自带的审核工具无法检测对手用于入侵网络的关键漏洞和漏洞攻击。但是,Change Auditor for Logon Activity改变了这一切,可主动检测身份验证漏洞攻击,揭示暴露指标,以及提供Active Directory用户登录报告以简化取证调查工作。
Change Auditor for Logon Activity - Active Directory用户登录报告
Change Audtior for Logon Activity
借助Change Auditor for Logon Activity,您可以通过捕获所有AD登录/注销和Azure AD登录活动并提供相应警报和报告,来提高组织的安全性与合规性并优化审核。Change Auditor for Logon Activity可检测常见的Kerberos漏洞攻击,识别NTLM漏洞,以及提供易于导航的取证分析功能以确定攻击者和攻击时间。

黄金票据检测

检测在黄金票据/票据传递攻击期间使用的常见Kerberos身份验证漏洞,并发出相应警报。

NTLM身份验证审核

检测仍在使用安全性较低的NTLM身份验证的应用程序。

Active Directory用户登录报告

审核Active Directory帐户登录,从登录到注销以及其间的所有操作都包括在内(与其他Change Auditor模块结合使用时)。

托管控制板

On Demand Audit中,通过灵活的搜索和丰富的可视化功能来查看所有AD登录/注销、Azure AD登录以及Office 365活动。

360°安全保护

从前期漏洞评估到入侵检测和受损帐户监控,Change Auditor全程为您保驾护航。

SIEM集成

与SIEM解决方案相集成,将Change Auditor事件转发到Sentinel、Splunk、ArcSight、QRadar或任何支持Syslog的平台。

可直接呈递审核员的报告

生成全面的报告以符合GDPR、PCI DSS、HIPAA、SOX、FISMA/NIST、GLBA等法规的合规性要求。

随时随地获得实时警报

向电子邮件地址和移动设备发送关键Active Directory用户登录报告警报,让您即便不在现场也能收到有关立即采取措施的提醒。
Overview of On Demand Audit 07:25

On Demand Audit Hybrid Suite for Office 365

可将Change Auditor和On Demand Audit配对,以获得涵盖AD、Azure AD、Exchange Online、SharePoint Online、OneDrive for Business和Teams中所有漏洞和可疑活动的单一托管安全控制板。On Demand Audit主动突出显示安全威胁和异常活动,并可通过上下文和交互式数据可视化加快事件调查。

功能

最佳实践报告

获得全面的Active Directory用户登录报告,从而轻松遵循最佳实践,例如有关访问、成功登录和失败登录的报告、授权比较报告以及按用户分组的报告。

混合安全感知

报告AD用户登录和注销,并与Azure AD登录相关联以帮助发现混合云环境中的可疑活动。捕获的信息包括登录类型、IP地址和地理位置、获得身份验证的应用程序以及登录尝试是否成功。

相关搜索

只需单击一下,便可立即访问关于您所查看更改的所有信息以及所有相关事件(包括由特定用户进行的所有其他更改),从而消除额外的不确定因素和未知安全隐患。

威胁时间线

支持查看、突出显示和筛选随时间推移顺次发生的登录活动及相关更改事件,以便更好地对这些事件和趋势进行取证分析。

保护AD攻击路径

使用BloodHound Enterprise识别Tier Zero资产及其攻击路径,并使用Change Auditor监控和保护这些攻击路径免遭攻击。

可直接呈递审核员的报告

生成全面的报告以符合GDPR、PCI DSS、HIPAA、SOX、FISMA/NIST、GLBA等法规的合规性要求。

大型零售连锁店

Change Auditor对象保护功能堪称大救星。我设置了此保护以防止对我们文件服务器上特定目录中的ACL进行更改,以及保护所有管理帐户。我们请几位渗透测试专家进来测试,令我们惊讶的是,他们无法穿过Change Auditor对象保护屏障。

大型零售连锁店企业管理员 阅读案例分析

AFV Beltrame Group

借助Change Auditor,我们不仅可以进行所需的持续监控以确保顺畅的业务运营,还可以获得历史信息以确切跟踪所发生的情况。GDPR需要快速响应,这非常重要而且是强制性要求,而Change Auditor使我们可以实现合规性。

Mirco Destro AFV Beltrame Group的CIO兼IT经理 阅读案例分析

霍华德县

当出现问题时,经理总是要求IT立即报告所更改的内容。原生工具无法使我们快速应对这些请求,尤其是在我们的IT员工非常有限的情况下。但是,借助Change Auditor,我们可以立即开始创建报告。这对我们来说真得至关重要。

John Eckard 霍华德县服务器团队经理 阅读案例分析

荣获2018年Stevie Awards美国人民选择奖

在2018年Stevie Award美国人民选择奖的角逐中,Change Auditor得票最多,荣获最佳软件奖,此外,还获得2018年最佳新产品银奖。

教程

黄金票据检测
NTLM身份验证审核
实时警报
包含On Demand Audit的托管控制板
黄金票据检测

黄金票据检测

检测在黄金票据/票据传递攻击期间使用的常见Kerberos身份验证漏洞,并发出相应警报。

规格

Change Auditor协调器(服务器端)、Change Auditor客户端(客户端)、Change Auditor代理(服务器端)、Change Auditor工作站和Web客户端(可选组件)具有特定的系统要求。有关Change Auditor可以审核的所有组件和目标系统的完整系统要求与所需权限列表,请参见Change Auditor安装指南

Change Auditor协调器负责执行客户端和代理的请求并生成警报。

处理器

等效于四核英特尔®酷睿™ i7或更高配置的处理器

内存

最低:8 GB内存或更高配置

建议:32 GB RAM或更高配置

SQL Server

最高支持以下版本的SQL数据库:

  • Microsoft SQL Server 2014 SP3
  • Microsoft SQL Server 2016 SP3
  • Microsoft SQL Server 2017
  • Microsoft SQL Server 2019
  • 具有SQL身份验证或Azure Active Directory身份验证的Azure SQL托管实例(PaaS)

注意:性能可能因网络配置、拓扑和Azure SQL托管实例配置而异。

注意:Change Auditor支持SQL AlwaysOn可用性组、SQL群集以及应用了行和页面压缩的数据库。

操作系统

最高支持以下版本的安装平台(x64):

  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

注意:必须启用Microsoft Windows Data Access Components (MDAC)。(MDAC是操作系统的一部分,默认情况下已启用。)

协调器软件和配置

为实现卓越的性能,Quest强烈建议:

  • 专用成员服务器上安装Change Auditor协调器。
  • 应在单独的专用SQL Server实例上配置Change Auditor数据库。

注意:当Change Auditor数据库驻留在Azure SQL托管实例上并且选择了Azure Active Directory身份验证时,需要用于SQL Server的Microsoft ODBC Driver 17。

注意:请勿为Change Auditor数据库预分配固定大小。

此外,需要满足以下软件/配置要求:

  • 协调器必须拥有与本地域和林根域中所有域控制器的LDAP和GC连接。
  • Microsoft .NET 4.7.1(x64版)
  • Microsoft XML Parser (MSXML) 6.0(x64版)
  • Microsoft SQLXML 4.0(x64版)
协调器占用空间
  • 预计使用1 GB的硬盘空间。
  • 协调器占用的内存大小主要取决于环境、代理连接数和事件量。
  • 估计的数据库大小因所部署的代理数量和所捕获的审核事件数量而异。

有关其他所需的帐户协调器最低权限,请参见Change Auditor安装指南

立即开始使用

针对AD登录和注销以及Azure AD登录活动发出相应警报并进行报告。

支持和服务

产品支持

自助式工具将帮助您安装、配置产品以及进行故障排除。

支持服务

查找适当的支持级别,以满足企业的独特需求。

专业服务

从现场或异地提供的一系列可用服务中进行搜索,以最好地满足您的需求。

培训与认证

通过网络在线、现场或虚拟形式提供教师指导的培训课程。