SearchInform SIEM cuenta con nuevos conectores para monitorear AD y trabajar con políticas de seguridad grupales

17.10.2019

Volver

El área de cobertura del sistema SIEM se ha ampliado gracias a la incorporación de nuevos conectores.

GPOConnector monitorea los cambios en la configuración de objetos de políticas grupales que se aplican a varios objetos en el sistema, por ejemplo, que afectan a todo un grupo de usuarios.

Los cambios no autorizados en las políticas grupales pueden comprometer una gran cantidad de dispositivos en el sistema corporativo a la vez. Por lo tanto, es importante rastrearlos, que es lo que hace el GPOConnector.

Las cinco reglas disponibles son:

  • delegación de permisos;
  • cambio de configuración;
  • cambio de estado;
  • cambio de la lista;
  • aplicación de políticas grupales a los departamentos

Otro conector nuevo, ADMonitoringConnector, permite analizar retrospectivamente todos los cambios de Active Directory durante un período seleccionado.

Anteriormente, el control de AD se implementaba a través de un conjunto de reglas preconfiguradas por atributos (adivinación de contraseñas y contraseñas obsoletas, inclusión / adición temporaria de una cuenta, etc.). Ahora, SearchInform SIEM también permite monitorear los cambios en todos los atributos a la vez.

El programa toma "muestras" del estado de AD con intervalos establecidos (una vez por hora, una vez al día, una vez a la semana). El administrador puede comparar varias versiones e identificar a tiempo las diferencias en los atributos controlados, la cantidad de objetos agregados y / o eliminados. 

La función ayuda a monitorear la dinámica de los cambios en AD no autorizados o sospechosos. Supongamos que hace un mes una de las cuentas se vio comprometida. Mediante el uso del monitoreo de AD, el administrador puede identificar todas las acciones realizadas bajo la cuenta comprometida durante un período determinado.