ManageEngine ADAudit Plus 통합에 대한 개요
Sophos Central에 ManageEngine ADAudit Plus를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
제품 개요
Manage Engine의 ADAudit Plus는 실시간 모니터링, 사용자 및 엔터티 동작 분석, 변경 사항 감사를 제공하는 포괄적인 Active Directory (AD)감사 솔루션입니다. 이 시스템은 AD 개체 변경 사항, 사용자 로그인 활동 및 그룹 정책 설정에 대한 자세한 보고서를 제공하여 규정 준수, 보안 및 포렌식 준비 상태를 보장합니다.
Sophos 문서
수집되는 것
Sophos 에서 확인된 경고 예시는 다음과 같습니다.
- Logon Failures for Admin Users
- Group Membership Changes
- Privilege Escalation - First time Utilizing a Privilege
- Folder Permission Changes
- Users Created
- Password Never Expire Enabled
- Unusual Activity - User Management Activity
- Deleted Users
- Recently Detected Replay Attack report was viewed for the domain DOMAIN
- Special Groups have been assigned to a New Logon. report was viewed for the domain DOMAIN
- Certificate Request Status
- Failed to update the domain values for the domain DOMAIN, Domain Already Exists, Please check with Admin Privileges
- Power BI Group Membership Modified
- Problem while modifying the Servers, Error : Error while updating server(s), Changed Computers :
- Successfully updated the Alert Profile, Alert Profile Name : Modified Admin Groups
- System Shutdown report was viewed for the domain DOMAIN
- Unusual Activity - Logon Time on Host
필터링
경고는 다음과 같이 필터링됩니다.
- 유효한 CEF를 허용합니다.
- 검토된 다양한 비보안 관련 메시지와 로그를 삭제합니다.
샘플 위협 매핑
{"alertType": "LAPS Password read - DOMAIN report was viewed for the domain DOMAIN", "threatId": "TA0006", "threatName": "Credential Access"}
{"alertType": "Successfully scheduled the event collection from selected computer(s) Domain : DOMAIN", "threatId": "T1070", "threatName": "Indicator Removal on Host"}
{"alertType": "Domain DOMAIN deletion process started", "threatId": "TA0040", "threatName": "Impact"}