Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=manage-engine-overview

Resumen de la integración de ManageEngine ADAudit Plus

Recopilador de registros Identidad

Puede integrar ManageEngine ADAudit Plus con Sophos Central para que envíe alertas a Sophos para analizarlas.

Esta página presenta una visión general de la integración.

Presentación del producto

ADAudit Plus de ManageEngine es una solución integral de auditoría de Active Directory (AD) que ofrece supervisión en tiempo real, análisis del comportamiento de usuarios y entidades, y auditoría de cambios. Proporciona informes detallados sobre los cambios en los objetos de AD, las actividades de inicio de sesión de los usuarios y la configuración de las directivas de grupo, lo que garantiza el cumplimiento de la normativa, la seguridad y la preparación para los análisis forenses.

Documentos de Sophos

Integrar ManageEngine ADAudit Plus

Datos que ingerimos

Entre los ejemplos de alertas vistos por Sophos se incluyen los siguientes:

  • Fallos de inicio de sesión para usuarios administradores
  • Cambios en la pertenencia a grupos
  • Aumento de privilegios - primera vez que se utiliza un privilegio
  • Cambios de permisos de carpetas
  • Usuarios creados
  • Contraseña no caduca nunca activada
  • Actividad inusual - Actividad de administración de usuarios
  • Usuarios eliminados
  • Se ha visualizado el informe Ataque de reproducción detectado recientemente para el dominio DOMAIN
  • Se ha visualizado el informe Grupos especiales asignados a un nuevo inicio de sesión para el dominio DOMAIN
  • Estado de la solicitud de certificado
  • Error al actualizar los valores de dominio para el dominio DOMAIN; el dominio ya existe. Compruébelo con privilegios de administrador
  • Se ha modificado la pertenencia a un grupo de Power BI
  • Problema al modificar los servidores; error: Error al actualizar servidor(es); ordenadores modificados:
  • Actualizado correctamente el perfil de alerta; nombre del perfil de alerta: Grupos de administración modificados
  • Se ha visualizado el informe Apagado del sistema para el dominio DOMAIN
  • Actividad inusual - Hora de inicio de sesión en el host

Filtrado

Filtramos las alertas de la siguiente manera:

  • AUTORIZAR un CEF válido.
  • DESCARTAR varios mensajes y registros revisados y no relacionados con la seguridad.

Muestra de asignaciones de amenazas

{"alertType": "LAPS Password read - DOMAIN report was viewed for the domain DOMAIN", "threatId": "TA0006", "threatName": "Credential Access"}
{"alertType": "Successfully scheduled the event collection from selected computer(s) Domain : DOMAIN", "threatId": "T1070", "threatName": "Indicator Removal on Host"}
{"alertType": "Domain DOMAIN deletion process started", "threatId": "TA0040", "threatName": "Impact"}

Documentación del proveedor

Integración de SIEM: Reenvío de datos de ADAudit Plus a un servidor de Syslog