ManageEngine ADAudit Plus整合的概覽
您可以將 ManageEngine ADAudit Plus 與 Sophos Central 整合,以便其將警示傳送到 Sophos 進行分析。
本頁面提供此整合功能的概覽。
產品概觀
Manage Engine 的 ADAudit Plus 是一款全面的 Active Directory (AD) 稽核解決方案,可提供即時監控、使用者和實體行為分析以及變更稽核。它提供有關 AD 物件、使用者登入活動和群組原則設定變更的詳細報告,確保合規性、安全性並時刻準備可進行取證。
Sophos 文件資訊
資料擷取內容
索福斯(Sophos)檢測到的範例警示包括以下內容:
- 管理員使用者登入失敗
- 群組成員變更
- 權限提升 - 首次使用權限
- 資料夾權限變更
- 使用者已建立
- 密碼永不過期已啟用
- 異常活動 - 使用者管理活動
- 删除的使用者
- 最近偵測到的重放攻擊報告已經為 DOMAIN 領域檢視過。
- 已將特殊群組指派給新的登入。已檢視 DOMAIN 領域的報告。
- 憑證請求狀態
- 無法更新DOMAIN的域值,域已存在,請檢查管理員權限
- Power BI 群組成員資格已修改
- 修改伺服器時發生問題,錯誤:更新伺服器時發生錯誤,已更改電腦:
- 成功更新了警示設定檔,警示設定檔名稱:已修改的管理員群組
- 系統關機報告已查看,涉及的網域為DOMAIN
- 主機上的登入時間異常活動
資料篩選
我們按以下方式篩選警示:
- 允許有效的CEF。
- 我們刪除多項經審查後確認與安全性無關的訊息與日誌。
威脅對應範例
{"alertType": "LAPS Password read - DOMAIN report was viewed for the domain DOMAIN", "threatId": "TA0006", "threatName": "Credential Access"}
{"alertType": "Successfully scheduled the event collection from selected computer(s) Domain : DOMAIN", "threatId": "T1070", "threatName": "Indicator Removal on Host"}
{"alertType": "Domain DOMAIN deletion process started", "threatId": "TA0040", "threatName": "Impact"}