Какие есть средства аудита Active Directory?

Question

[OstaninKI]

Доброго времени суток!
Задались вопросом аудита событий AD внутри компании. Базовые требования к ПО следующие:
1) Полный отчет по logon/logoff событий пользователей: когда, куда, во сколько;
2) Аудит создания/изменения/удаления объектов AD;
3) Возможность настраивать предупреждения с отправкой на почту по различным критериям;
4) Желательно наличие web-интерфейса;
5) Разделение пользователей по ролям;
6) Желательно безрезидентный сбор событий.

Может быть кто-то что-либо подскажет из данного ПО?
Пока нагуглил следующие продукты, более-менее подходящие под требования:
- ManageEngine: ADAudit Plus ( https://www.manageengine.com/products/active-direc... )
- Dell: Change Auditor for Active Directory ( software.dell.com/products/change-auditor-for-acti... )
- Netwrix: Netwrix Auditor ( www.netwrix.com/ru/ad_audit.html )
- BetondTrust: PowerBroker Auditor for Active Directory ( www.beyondtrust.com/Products/PowerBrokerAuditorAD )

Comments

[Анатолий Ивашина]

Добрый день, OstaninKI!
Мне было бы интересно узнать, на чем остановились, все ли устраивает, с какими проблемами столкнулись?
Т.к. сам стою перед выбором ПО для решения аналогичных задач.
Буду благодарен за ответ!

Answer 1

[Morgil]

Еще есть Adaxes (www.adaxes.com/)

1) Полный отчет по logon/logoff событий пользователей: когда, куда, во сколько — есть
2) Аудит создания/изменения/удаления объектов AD — есть
3) Возможность настраивать предупреждения с отправкой на почту по различным критериям — есть, очень гибко настраиваемый
4) Желательно наличие web-интерфейса — есть, тоже тонко настраиваемый
5) Разделение пользователей по ролям — есть
6) Желательно безрезидентный сбор событий — есть

При том, что это скорее солюшн для автоматизации, для целей аудита подходит более чем полностью, всем запросам удовлетворяет. Дальше, насколько я понимаю, вопрос только в цене будет

Answer 2

[athacker]

Не очень понятно, зачем вам для этого ОТДЕЛЬНЫЙ софт, да ещё с веб-интерфейсом. События, в том числе и AD-шные, логируются в журналах винды. Даже если вы поставите какой-то сторонний софт, у него никакого другого источника информации, кроме системных журналов, не будет.

Аудит типов событий настраивается по желанию, встроенными средствами (Политики аудита). Фильтрацию и отправку предупреждений можно запросто реализовать на powershell в несколько строчек.

Comments

[OstaninKI]

Отдельный софт как раз служит как прослойка для коллекционирования данных логов с 10ка КД, а так же предоставляет удобочитаемый и настраиваемый GUI + реагирование на события (изменение состава критических групп, удаление/блокировка/изменение УЗ ТОПов).
Для малой организации с небольшим количеством КД и пользователей эта задача не такая проблема, но для средней и большой организации вместо написания собственных костылей и велосипедов будет логичнее воспользоваться уже готовыми решениями.

[OstaninKI]

WEB-интерфес в данном случае нужен для службы ИБ, которым крайне не хочется давать доступ до сервера (даже с правами гостя)

[Дядька Серёжа]

OstaninKI: что присмотрели в итоге?

[OstaninKI]

Дядька Серёжа: запустили пилот Varonis, присматриваемся, но пока все устраивает