Vai al contenuto
Il supporto che offriamo per MDR.

Panoramica dell’integrazione ManageEngine ADAudit Plus

ManageEngine ADAudit Plus può essere integrato con Sophos Central per l’invio di avvisi a Sophos, a scopo di analisi.

Questa pagina fornisce una panoramica dell’integrazione.

Panoramica del prodotto

ADAudit Plus di ManageEngine è una soluzione completa di audit di Active Directory (AD), che offre monitoraggio in tempo reale, analisi dei comportamenti di utenti ed entità e controlli delle modifiche. Compila report dettagliati sulle modifiche degli oggetti AD, sulle attività di accesso degli utenti e sulle impostazioni per i criteri di gruppo, garantendo conformità, sicurezza e un’ottima preparazione analitica.

Documenti Sophos

Integrazione di ManageEngine ADAudit Plus

I dati raccolti e inseriti

I campioni di avvisi visualizzati da Sophos includono i seguenti:

  • Accessi non riusciti per utenti amministratori
  • Modifiche dell’appartenenza ai gruppi
  • Privilege escalation: primo utilizzo di un privilegio
  • Modifiche delle autorizzazioni di una cartella
  • Utenti creati
  • Attivazione dell’opzione Password Never Expire (La password non scade mai)
  • Attività insolita: attività di gestione degli utenti
  • Utenti eliminati
  • Visualizzazione recente del report “Detected Replay Attack” (Attacco replay rilevato) per il dominio DOMAIN
  • Visualizzazione del report “Special Groups have been assigned to a New Logon” (Sono stati assegnati gruppi speciali a un nuovo accesso) per il dominio DOMAIN
  • Stato della richiesta di certificato
  • Impossibile aggiornare i valori del dominio per il dominio DOMAIN, Dominio già esistente, verificare con i privilegi di amministratore.
  • Modifica dell’appartenenza al gruppo Power BI
  • Problema durante la modifica dei Server, errore: Error while updating server(s), Changed Computers : (Errore durante l’aggiornamento del/dei server, Computer modificato/i :)
  • Profilo degli avvisi aggiornato, Nome del profilo degli avvisi: Gruppi di amministratori modificati
  • Visualizzazione del report di arresto del sistema per il dominio DOMAIN
  • Attività insolita: orario di accesso sull’host

Filtraggio

Filtriamo gli avvisi nel modo indicato di seguito:

  • ALLOW valid CEF (Autorizza CEF valido).
  • Vengono RILASCIATI vari messaggi e log controllati e non correlati alla sicurezza.

Esempi di mapping delle minacce

{"alertType": "LAPS Password read - DOMAIN report was viewed for the domain DOMAIN", "threatId": "TA0006", "threatName": "Credential Access"}
{"alertType": "Successfully scheduled the event collection from selected computer(s) Domain : DOMAIN", "threatId": "T1070", "threatName": "Indicator Removal on Host"}
{"alertType": "Domain DOMAIN deletion process started", "threatId": "TA0040", "threatName": "Impact"}

Documentazione del vendor

SIEM Integration (Integrazione di SIEM): Forwarding ADAudit Plus data to a Syslog Server (Inoltro dei dati di ADAudit Plus a un Server Syslog)