ManageEngine ADAudit Plus整合的概覽
您可以將 ManageEngine ADAudit Plus 與 Sophos Central 整合,以便其將警示傳送到 Sophos 進行分析。
本頁面提供此整合功能的概覽。
產品概觀
Manage Engine 的 ADAudit Plus 是一款全面的 Active Directory (AD) 稽核解決方案,可提供即時監控、使用者和實體行為分析以及變更稽核。它提供有關 AD 物件變更、使用者登入活動和群組原則設定的詳細報告,確保合規性、安全性和取證準備。
Sophos 說明文件
我們擷取的內容
Sophos收到的範例警報包括以下內容:
- 管理員使用者登入失敗
- 團體成員變更
- 權限提升 - 首次使用權限
- 資料夾權限更改
- 使用者創建
- 密碼永不過期已啟用
- 異常活動 - 用戶管理活動
- 删除的使用者
- 最近偵測到網域為 DOMAIN 的重播攻擊報告已被檢視。
- 已為新登入指派特殊群組。已查看網域 DOMAIN 的報告。
- 證書請求狀態
- 更新網域 DOMAIN 的網域值失敗,網域已存在,請檢查是否具有管理員權限。
- Power BI 群組成員資格已修改
- 修改伺服器時出現問題,錯誤訊息:更新伺服器時出錯,已更改電腦:
- 警報設定檔已成功更新,警報設定檔名稱:修改後的管理員群組
- 已查看網域 DOMAIN 的系統關閉報告
- 異常活動 - 主機登入時間
資料篩選
我們按以下方式篩選警示:
- 允許有效的 CEF。
- 刪除各種已審核且與安全性無關的訊息和日誌。
威脅對應範例
{"alertType":"LAPS Password read - DOMAIN report was viewed for the domain DOMAIN", "threatId":"TA0006", "threatName":"Credential Access"}
{"alertType":"Successfully scheduled the event collection from selected computer(s) Domain :DOMAIN", "threatId":"T1070", "threatName":"Indicator Removal on Host"}
{"alertType":"Domain DOMAIN deletion process started", "threatId":"TA0040", "threatName":"Impact"}