Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=manage-engine-overview

Aperçu de l’intégration de ManageEngine ADAudit Plus

Outil de collecte des journaux Identité

Vous pouvez intégrer ManageEngine ADAudit Plus à Sophos Central pour lui permettre d’envoyer des alertes à Sophos pour analyse.

Cette page vous donne une vue générale de l’intégration.

Présentation du service

ADAudit Plus de Manage Engine est une solution complète d’audit Active Directory (AD) qui offre une surveillance en temps réel, des analyses du comportement des utilisateurs et des entités et un audit des modifications. Elle fournit des rapports détaillés sur les modifications apportées aux objets AD, aux activités de connexion des utilisateurs et aux paramètres de stratégie de groupe, garantissant ainsi la conformité, la sécurité et la préparation aux analyses approfondies.

Documents Sophos

Intégrer ManageEngine ADAudit Plus

Ce que nous ingérons

Les échantillons d’alertes observés par Sophos incluent les éléments suivants :

  • Échecs de connexion des utilisateurs administrateurs
  • Changements d'appartenance aux groupes
  • Élévation des privilèges : première utilisation d’un privilège donné
  • Modifications des autorisations de dossier
  • Utilisateurs créés
  • Activation du mode « ne jamais expirer » des mots de passe
  • Activité inhabituelle : activité de gestion des utilisateurs
  • Utilisateurs supprimés
  • Le rapport Attaque par relecture détectée récemment a été consulté pour le domaine DOMAINE
  • Des groupes spéciaux ont été assignés à une Nouvelle Connexion. Le rapport a été consulté pour le domaine DOMAINE
  • État Demande de certificat
  • Impossible de mettre à jour des valeurs de domaine pour le domaine DOMAINE; Ce domaine existe déjà; Veuillez vérifier avec les privilèges d’administrateur
  • Modification de l'appartenance au groupe Power BI
  • Problème lors de la modification des Serveurs, Erreur : Erreur lors de la mise à jour du(des) serveur(s); Ordinateurs modifiés :
  • Profil d'alerte mis à jour avec succès; Nom du profil d'alerte : Groupes d'administration modifiés
  • Rapport d'arrêt du système consulté pour le domaine DOMAINE
  • Activité inhabituelle : Heure de connexion sur l'hôte

Filtrage

Nous filtrons les alertes comme suit :

  • AUTORISER un CEF valide.
  • INJECTER divers messages et journaux révisés et non liés à la sécurité.

Exemples de mappages de menaces

{"alertType": "LAPS Password read - DOMAIN report was viewed for the domain DOMAIN", "threatId": "TA0006", "threatName": "Credential Access"}
{"alertType": "Successfully scheduled the event collection from selected computer(s) Domain : DOMAIN", "threatId": "T1070", "threatName": "Indicator Removal on Host"}
{"alertType": "Domain DOMAIN deletion process started", "threatId": "TA0040", "threatName": "Impact"}

Documentation fournisseur

SIEM Integration: Forwarding ADAudit Plus data to a Syslog Server