Panoramica dell’integrazione ManageEngine ADAudit Plus
ManageEngine ADAudit Plus può essere integrato con Sophos Central per l’invio di avvisi a Sophos, a scopo di analisi.
Questa pagina fornisce una panoramica dell’integrazione.
Panoramica del prodotto
ADAudit Plus di ManageEngine è una soluzione completa di audit di Active Directory (AD), che offre monitoraggio in tempo reale, analisi dei comportamenti di utenti ed entità e controlli delle modifiche. Compila report dettagliati sulle modifiche degli oggetti AD, sulle attività di accesso degli utenti e sulle impostazioni per i criteri di gruppo, garantendo conformità, sicurezza e un’ottima preparazione analitica.
Documenti Sophos
Integrazione di ManageEngine ADAudit Plus
I dati raccolti e inseriti
I campioni di avvisi visualizzati da Sophos includono i seguenti:
- Accessi non riusciti per utenti amministratori
- Modifiche dell’appartenenza ai gruppi
- Privilege escalation: primo utilizzo di un privilegio
- Modifiche delle autorizzazioni di una cartella
- Utenti creati
- Attivazione dell’opzione Password Never Expire (La password non scade mai)
- Attività insolita: attività di gestione degli utenti
- Utenti eliminati
- Visualizzazione recente del report “Detected Replay Attack” (Attacco replay rilevato) per il dominio DOMAIN
- Visualizzazione del report “Special Groups have been assigned to a New Logon” (Sono stati assegnati gruppi speciali a un nuovo accesso) per il dominio DOMAIN
- Stato della richiesta di certificato
- Impossibile aggiornare i valori del dominio per il dominio DOMAIN, Dominio già esistente, verificare con i privilegi di amministratore.
- Modifica dell’appartenenza al gruppo Power BI
- Problema durante la modifica dei Server, errore: Error while updating server(s), Changed Computers : (Errore durante l’aggiornamento del/dei server, Computer modificato/i :)
- Profilo degli avvisi aggiornato, Nome del profilo degli avvisi: Gruppi di amministratori modificati
- Visualizzazione del report di arresto del sistema per il dominio DOMAIN
- Attività insolita: orario di accesso sull’host
Filtraggio
Filtriamo gli avvisi nel modo indicato di seguito:
- ALLOW valid CEF (Autorizza CEF valido).
- Vengono RILASCIATI vari messaggi e log controllati e non correlati alla sicurezza.
Esempi di mapping delle minacce
{"alertType": "LAPS Password read - DOMAIN report was viewed for the domain DOMAIN", "threatId": "TA0006", "threatName": "Credential Access"}
{"alertType": "Successfully scheduled the event collection from selected computer(s) Domain : DOMAIN", "threatId": "T1070", "threatName": "Indicator Removal on Host"}
{"alertType": "Domain DOMAIN deletion process started", "threatId": "TA0040", "threatName": "Impact"}