Hace un tiempo escribí una nota sobre “LepideAuditor for File Server”(pueden verla en Review de LepideAuditor for File Server {Tools}) una excelente herramienta para las auditorias de nuestros file server. Hoy quería hablar sobre la auditoria y las herramientas que tenemos para realizarlas.
Algo que es cada vez más común y también más complicado; es administrar la auditoria de nuestros File Servers. Esto es complejo, porque nuestras empresas cada vez manejan mayor cantidad de información y también porque cada vez son más los requisitos en cuanto a la seguridad de la información. Las herramientas que tenemos a nuestro alcance, sin hacer una inversión extra son muy engorrosas y difíciles de seguir, como alternativa a esta situación podemos acceder a un software de terceros que nos brinde las facilidades que necesitamos.
Como hemos visto LepideAuditor es una potente plataforma de auditoría, ya hemos comprobado como funciona con nuestros File Servers, y hoy veremos esta versión que nos permite centralizar nuestra auditoría de Active Directory, directivas de grupo, Exchange Server, SQL Server y SharePoint Server dentro de una consola única y con una usabilidad envidiable por su facilidad.
Con esta herramienta, nos ahorramos el tiempo de analizar los files de registros que se generan al tener la auditoria habilitada de nuestros servidores. Tal como otras soluciones, siempre lo mejor es administrar nuestros recursos de forma centralizada, con esta herramienta podremos hacerlo; facilitando ampliamente nuestra tareas de administración y control de la seguridad; obviamente esto nos agilizará la tarea de emitir reportes y controles frente a una auditoria a distinto nivel de distintos productos.
Actualmente la auditoría de los sistemas dejó de ser sólo de auditoría pasiva de los acontecimientos o eventos pasados. Las organizaciones y los departamentos de IT (administradores y directores) buscan un sistema que pueda generar alertas en tiempo real para eventos críticos, con lo que buscan aplicar las medidas necesarias para evitar la posibilidad de cualquier daño o pérdida que surja de ellas.
Con esta herramienta podremos registrar todos los cambios de configuración efectuados, realizar análisis de causa de dichos cambios, restaurar la configuración, mantener la seguridad en toda la organización, y cumplir con todos los requerimientos de distintas certificaciones como ISO, ISAE, HIPAA, GLBA y PCI por medio de la gran cantidad de reportes disponibles (más de 270).
Con este producto podemos monitorear los cambios en nuestros sistemas más críticos – incluso aquellos que no tienen generan un log de cambio -. Además, como sabemos todos aquellos que hemos trabajado con auditorias, es muy engorroso seguir los logs de seguridad y en cuanto ampliamos el rango de fechas peor es; lo bueno es que con esta herramienta podemos consolidar la gran cantidad de los registros de nuestra auditoría y eventos del sistema en las entradas comprensibles para proporcionar una visibilidad y una visión de los cambios realizados en los objetos, permisos, sistemas y datos esenciales de seguridad de nuestra arquitectura.
La instalación es sumamente sencilla y en unos cuantos pasos (ocho) podemos tener instalada nuestra Suite de auditoria; y luego su configuración es sumamente sencilla también. Lo que nos permite fácilmente implementarlo y empezar a configurar y analizar nuestra auditoria.
En los reportes disponibles podremos ver quién, cuándo, dónde y qué información tuvo un cambio. Con la utilización de los agentes podemos asegurarnos que los cambios son capturados por nuestra herramienta. Podemos personalizar la captura de estos eventos de acuerdo a nuestras necesidades, es decir, de acuerdo a los requerimientos que debemos cumplir.
También tenemos unos potentes Dashboards en donde podemos ver fácilmente los cambios. Con cuadros de mando intuitivos que muestran los usuarios más activos haciendo cambios y tendencias de cambio en función de cada sistema, junto con la LiveFeed, que proporciona hasta el detalle cambio minuto, los Dashboards son esenciales para rápida y fácilmente identificar problemas en un nivel alto, sirviendo como la base para una investigación más profunda del caso.
Ejemplos de Dashboards
Con esta herramienta podemos ver los informes en tres vistas diferentes: Cuadrícula, Gráfico y Calendario. De estas formas se mostrará todos los detalles de una modificación. En el caso de Active Directory y las directivas de grupo (GPOs), tenemos la opción de deshacer un cambio no deseado.
Tenemos la posibilidad de programar o ejecutar informes en tiempo real sobre los cambios realizados, así como los informes históricos basados en las copias de seguridad realizadas por LepideAuditor. Podemos aplicar distintos filtros que nos permitirán encontrar un cambio de forma fácil y rápida; y disponemos de múltiples formatos de informes, incluyendo vistas de gráficos y calendario.
También tenemos la posibilidad de crear informes personalizados. En algunos casos, debemos cumplir con un requerimiento puntual de auditoria que no está disponible en los reportes estándares, en estos casos es cuando más valoramos los informes personalizados. Con LepideAuditor podemos crearlos rápidamente por medio de un Wizards y filtrar su información detallada para cumplir con la necesidad puntual.
Configurando el Archiving de los archivos de auditoria
Envio Automatico de Reportes
“LepideAuditor Suite” nos da la posibilidad de generar alertas en tiempo real sobre ciertos cambios críticos tanto de Active Directory, de Políticas de Grupo, de cambios dentro de nuestro Exchange Server; y recibirlas por medio de un correo electrónico que nos ayudaran a proteger nuestros servidores contra el acceso no autorizado, las amenazas potenciales, cambios de políticas; alertas de usuarios, etc., etc. Nos brinda la posibilidad de emitir informes completos como para llevar a cabo la auditoría completa de nuestro ambiente. En los reportes podremos ver Qué, Cuándo y Dónde, nuestra información cambio; y tal como comentamos recibir alertas es sumamente crítico. Tener toda la información de forma centralizada mejorara los tiempos y el esfuerzo que debemos emplear para reunir la información necesaria y tomar las acciones preventivas necesarias.
Creando Alertas
LepideAuditor Suite hace una copia de seguridad periódica para guardar los estados de Active Directory y los objetos de las políticas de grupo; y tenemos la posibilidad de ver dichas instantáneas generadas y un informe detallado de su contenido. Con esto tenemos la posibilidad de restaurar el estado, en su totalidad o parcialmente, de nuestro Active Directory y de los objetos de las directivas de grupo. Este detalle es muy importante, ya que esta característica de restauración de objetos nos permitiría configurar un entorno de prueba para Active Directory, donde hacer test y cambios sin afectar nuestro entorno productivo.
Algo muy importante al momento de elegir una herramienta de auditoria, y la ventaja de LepideAuditor Suite, según mi criterio, es que nos ofrece una plataforma auditoría unificada para diversos productos: Active Directory, GPOs, Exchange Server, SQL Server y Sharepoint Server. Esto es importantísimo, ya que lo que estamos buscando con este tipo de herramientas es minimizar la carga de trabajo al momento de auditar logs y registros; y si por un lado agrupamos estos eventos en una aplicación, pero a su vez tenemos muchas aplicaciones que verificar para cada uno de los casos, y aprender el funcionamiento y las funcionalidades de cada aplicación, vuelvo a tener una carga excesiva de trabajo al momento de una auditoria.
Para tener una breve idea y a modo de resumen de lo que nos brinda por sistema seria:
-
Active Directory: cambios de auditoría a AD, entre ellos antes y después de los valores, con la capacidad de deshacer los cambios y recuperar objetos.
-
Directiva de grupo (GPOs): Track y la posibilidad de deshacer todos los cambios en los objetos de directiva de grupo, así como las políticas locales, políticas de contraseñas.
-
Exchange Server: cambios de auditoría a los objetos de Exchange y atributos en AD, la configuración, la seguridad, y el uso de intercambio, así como el acceso al buzón.
-
SQL Server: nos permite supervisar e informar sobre todos los inicios de sesión, cambios administrativos, y uso de los clientes de las instancias de SQL Server.
-
SharePoint Server: podemos auditar todo el uso y cambios a las granjas, servidores, sitios, almacenamiento, seguridad y contenido.
Obviamente, lo que buscamos con la implementación de un software de las características de “Lepide Auditor Suite” es bajar los costos ya sean de implementación o los costos asociados al realizar las distintas auditorias que el negocio nos pide; y con esta herramienta podemos auditar varios productos: Active Directory, GPOs, Exchange Server, SQL Server y SharePoint Server. Por lo cual esta solución es altamente recomendable y no solo cumple con todos los requerimientos, sino que además es fácil y amigable de utilizar.
Espero que les sea de interés. Saludos. Roberto Di Lello.