Suchen

Auditing und unübliche Aktivitäten mit Varonis Überwachung des Active Directory im Rechenzentrum

| Autor / Redakteur: Thomas Joos [Red.: Ulrike Ostler] / Dipl.-Ing. (FH) Andreas Donner

Mit Varonis-Software können Administratoren im Rechenzentrum das „Active Directory“ (AD) überwachen und unnormale Aktionen erkennen. Mithilfe des Werkzeugs lassen sich zudem Änderungen im Active Directory überwachen.

Firma zum Thema

Thomas Joos hat sich die Varonis-Software angeschaut, mit der sich AD-Installationen im Rechenzentrum überwachen lassen.
Thomas Joos hat sich die Varonis-Software angeschaut, mit der sich AD-Installationen im Rechenzentrum überwachen lassen.
(Bild: Gerd Altmann auf Pixabay )

Mit Varonis-Software lassen sich Aktionen in Active Directory effektiv überwachen. Das Tool ist vor allem in Rechenzentren interessant, in denen es verschiedene Administratoren gibt, die mehrere Domänen und verschiedene Standorte verwalten müssen. Eine kostenlose Live-Demo kann auf der Webseite des Unternehmens gebucht werden.

Das Varonis-Tool überwacht das Rechenzentrum und alle angebundenen Server über Connectoren. Die gesammelten Daten werden nicht auf den lokalen Servern gespeichert, sondern direkt zum Varonis-Server übertragen.

Das Werkzeug kann auch Empfehlungen geben, um die Sicherheit zu erhöhen. Dazu werden alle gesammelten Daten verarbeitet, um zum Beispiel zu erkennen, ob bestimmte Benutzerkonten oder Administratoren über Rechte verfügen, die sie nicht benötigen. Pass-the-Ticket-Angriffe, Kerberos Token-Exploits und kritische Änderungen in Active Directory lassen sich so erkennen und rechtzeitig verhindern.

Außerdem ist es möglich, nicht nur Active-Directory-Installationen, sondern auch auch Dateiserver zu überwachen sowie Sharepoint und Exchange. Auch Office 365 lässt sich anbinden; das gilt auch für Cloud-Speicher, wie „Onedrive“.

Seine eignen Daten speichert Varonis in einer Datenbank, zum Beispiel auf einem Server mit „Microsoft SQL Server“. Die Daten, die Varonis analysiert, können aber auch zu SIEM-Systemen von Partnern und anderen Überwachungslösungen übertragen werden.

Änderungen an Gruppenrichtlinien

Werden zum Beispiel Änderungen in Gruppenrichtlinien vorgenommen, ist ohne Zusatzwerkzeuge schwer zu erkennen, wann diese Änderungen vorgenommen wurden und welche Änderungen konkret ausgeführt worden sind. Varonis stellt daher Berichte zur Verfügung, aus denen hervorgeht, wann welche Änderungen in den Gruppenrichtlinien erfolgt sind. Außerdem können Admins Alarme einrichten, mit denen sie darüber informiert werden, wenn Änderungen an Gruppenrichtlinien vorgenommen wurden.

Vor allem in größeren Umgebungen mit zahlreichen Domänen-Controllern kann es sinnvoll sein, den Zustand von Active Directory effektiv zu überwachen. Mit Varonis lassen sich sicherheitsrelevante Informationen im Rechenzentrum berücksichtigen, zum Beispiel Risiko-Indikatoren.

Dazu gehören leere Sicherheitsgruppen genauso, wie Benutzer, deren Kennwort abgelaufen ist. Zusätzlich überwacht Varonis auch kritische Aktionen, zum Beispiel wenn Benutzerkonten-Rechte angepasst und unüblich verwendet werden. Dabei zeigt das Tool die Warnungen in Berichten an. Das Interessante dabei ist, dass viele Regeln bereits standardmäßig in Varonis integriert sind.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46374538)