НОВОСТИ

Инструменты для контроля Active Directory в Security Capsule SIEM

В классических SIEM-системах механизм мониторинга AD основан на сборе событий из журналов Windows. Это стандартный, но уязвимый подход.

Злоумышленник, обладающий базовыми знаниями об архитектуре объекта информатизации и применяемых СЗИ, в первую очередь стремится нарушить механизм логирования, чтобы «ослепить» систему мониторинга.

Удаление журналов, остановка службы логирования, подмена системных DLL — всё это приводит к одному результату:
SIEM перестаёт получать события.

Оператору информационной безопасности может показаться, что всё в порядке — «нет событий, нет проблем».
А в это время злоумышленник уже внутри, уверенно продвигается по инфраструктуре, реализуя одно за другим критически опасные сценарии:

• захват контроллера домена,
• эскалация привилегий,
• развертывание C2-инфраструктуры,
• подготовка к выводу данных или шифровке.

В чём уникальность SC SIEM?

SC SIEM реализует многоуровневый подход к контролю Active Directory, который не зависит от одного источника логов. Наш модуль:

• Использует альтернативные механизмы наблюдения за изменениями в AD, включая опрос каталогов и сравнение снимков состояния критичных объектов.
• Контролирует наличие и доступность служб журналирования и компонентов безопасности.
• Поддерживает встроенные корреляционные правила по MITRE ATT&CK, распознающие признаки маскировки, подавления логов и тактики уклонения (T1562.002, T1070.001 и др.).

Отслеживание изменений объектов AD и Group Policy

Отслеживайте все изменения пользователей AD, групп и членов групп, организационных единиц, разрешений и объектов групповых политик.
Получайте данные "кто, что, когда и где", а также значения до и после, чтобы упростить поиск и устранение неисправностей и ускорить реагирование на инциденты. Например:

• Добавление/удаление объектов (пользователи, компьютеры, группы).
• Изменения GPO (парольные политики, скрипты входа, сетевые параметры).
• Нестандартные изменения в OU (Organizational Units).

Контроль операций с учетными записями

Получайте оперативную информацию о блокировках. Идентифицируйте причину блокировки. Устраняйте неполадки быстрее. Например:

• Создание, удаление, блокировка, разблокировка пользователей.
• Добавление в критические группы (Domain Admins, Enterprise Admins).
• Изменение прав доступа или паролей.

Аудит аутентификации

Получайте оперативную информацию о блокировках. Идентифицируйте причину блокировки. Устраняйте неполадки быстрее. Например:

• Успешные и неуспешные входы в систему.
• Попытки входа в нерабочее время или с аномальных хостов.
• Сценарии «brute force» и «pass-the-hash».

Мониторинг сроков действия паролей

Минимизируйте загруженность отдела технической поддержки. Например:

• Выявление пользователей с устаревшими или истекшими паролями.
• Слежение за обходом политик (например, бесконечные пароли у сервисных аккаунтов).

Сохранение и анализ состояния объектов AD

Держите под постоянным контролем критические объекты. Например:

• Снимки критичных объектов (группы, сервисные аккаунты).
• Сравнение текущего состояния с эталонным (выявление скрытых изменений).

Итог: SC SIEM не теряет бдительности, даже если ОС перестала «говорить».
Мы не просто собираем события — мы контролируем, что события должны быть, и фиксируем их отсутствие.

Вот почему контроль AD от SC SIEM — это не просто журналирование. Это — противодействие молчаливому вторжению.