Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=manage-engine-overview

Integration von ManageEngine ADAudit Plus – Übersicht

Protokollsammler Identität

Sie können ManageEngine ADAudit Plus in Sophos Central integrieren, sodass Warnmeldungen zur Analyse an Sophos gesendet werden.

Auf dieser Seite erhalten Sie einen Überblick über die Integration.

Produktübersicht

ADAudit Plus von Manage Engine ist eine umfassende Active-Directory-Überwachungslösung (AD), die Echtzeitüberwachung, Verhaltensanalyse von Benutzern und Entitäten sowie Änderungsüberwachung bietet. Mit detaillierten Berichten zu Änderungen an AD-Objekten, Benutzer-Anmeldeaktivitäten und Gruppenrichtlinieneinstellungen gewährleistet es Compliance, Sicherheit und forensische Bereitschaft.

Sophos-Dokumente

ManageEngine ADAudit Plus integrieren

Was wir erfassen

Beispiel-Alerts, die von Sophos erfasst werden, umfassen Folgendes:

  • Anmeldefehler für Administratoren
  • Gruppenmitgliedschaftsänderungen
  • Rechteausweitung – Erstmalige Nutzung einer Berechtigung
  • Berechtigungsänderungen für Ordner
  • Erstellte Benutzer
  • Kennwörter auf „nie ablaufen“ gesetzt
  • Ungewöhnliche Aktivität – Aktivität in der Benutzerverwaltung
  • Gelöschte Benutzer
  • Kürzlich erkannter Bericht über Replay-Angriffe wurde für die Domäne DOMAIN angesehen.
  • Spezielle Gruppen wurden einer neuen Anmeldung zugewiesen. Bericht für die Domäne DOMAIN wurde angesehen.
  • Zertifikatanfragestatus
  • Das Aktualisieren der Domänenwerte für die Domäne DOMAIN ist fehlgeschlagen, Domäne existiert bereits. Bitte überprüfen Sie die Admin-Berechtigungen.
  • Power BI-Gruppenmitgliedschaft geändert
  • Problem beim Ändern der Server, Fehler: Fehler beim Aktualisieren des Servers, Computer wurden geändert:
  • Alert-Profil erfolgreich aktualisiert, Alert-Profil-Name: Geänderte Administratorengruppen
  • Der System-Shutdown-Bericht wurde für die Domäne DOMAIN angesehen.
  • Ungewöhnliche Aktivität – Anmeldezeit auf Host

Filterung

Warnmeldungen werden wie folgt gefiltert:

  • Gültiges CEF ZULASSEN.
  • Verschiedene überprüfte und nicht sicherheitsrelevante Nachrichten und Protokolle VERWERFEN.

Beispiele für Bedrohungszuordnungen

{"alertType": "LAPS Password read - DOMAIN report was viewed for the domain DOMAIN", "threatId": "TA0006", "threatName": "Credential Access"}
{"alertType": "Successfully scheduled the event collection from selected computer(s) Domain : DOMAIN", "threatId": "T1070", "threatName": "Indicator Removal on Host"}
{"alertType": "Domain DOMAIN deletion process started", "threatId": "TA0040", "threatName": "Impact"}

Herstellerdokumentation

SIEM-Integration: Weiterleitung von ADAudit Plus-Daten an einen Syslog-Server