Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=manage-engine-overview

Visão geral da integração do ManageEngine ADAudit Plus

Coletor de log Identidade

Você pode integrar o ManageEngine ADAudit Plus ao Sophos Central para o envio de alertas à Sophos para análise.

Esta página lhe dá uma visão geral da integração.

Apresentação do produto

ADAudit Plus da Manage Engine é uma solução de auditoria abrangente do Active Directory (AD) que oferece monitoramento, análise comportamental de usuário e entidade, e auditoria de mudanças em tempo real. Oferece relatórios detalhados sobre mudanças aos objetos AD, atividades de logon do usuário e configurações da Política de Grupo, garantindo conformidade, segurança e preparo para ações forenses.

Documentação da Sophos

Integrar ManageEngine ADAudit Plus

O que ingerimos

Alertas de amostra vistos pela Sophos incluem o seguinte:

  • Falhas de logon para usuários Admin
  • Alterações na Associação de Grupo
  • Escalonamento de privilégio – primeira utilização de um privilégio
  • Alterações de Permissão de Pasta
  • Usuários criados
  • Senha nunca expira habilitada
  • Atividade incomum - Atividade de Gerenciamento de Usuário
  • Usuários deletados
  • Relatório de Ataque de Reprodução Detectado Recentemente visualizado para o domínio DOMAIN
  • Relatório de Grupos Especiais atribuídos a um Novo Logon visualizado para o domínio DOMAIN
  • Status da Solicitação de Certificado
  • Falha ao atualizar os valores do domínio para o domínio DOMAIN, Domínio já existente, Verifique com Privilégios de Admin
  • Associação a Grupo do Power BI modificada
  • Problema ao modificar os servidores, Erro: Erro ao atualizar servidores, Computadores alterados:
  • Alerta do perfil atualizado com sucesso, Nome do Perfil de Alerta: Grupos de Admin modificados
  • Relatório de Desligamento do Sistema visualizado para o domínio DOMAIN
  • Atividade Incomum - Horário de Logon no Host

Filtragem

Filtramos alertas da seguinte forma:

  • PERMITIR CEF válido.
  • DESCARTAR várias mensagens e logs revisados e não relacionados à segurança.

Amostra de mapeamentos de ameaças

{"alertType": "LAPS Password read - DOMAIN report was viewed for the domain DOMAIN", "threatId": "TA0006", "threatName": "Credential Access"}
{"alertType": "Successfully scheduled the event collection from selected computer(s) Domain : DOMAIN", "threatId": "T1070", "threatName": "Indicator Removal on Host"}
{"alertType": "Domain DOMAIN deletion process started", "threatId": "TA0040", "threatName": "Impact"}

Documentação do fornecedor

SIEM Integration: Forwarding ADAudit Plus data to a Syslog Server