Saiba como rodar uma auditoria do AD usando Varonis

O monitoramento do Active Directory, combinado com a detecção e análise de ameaças, permite que ataques sejam evitados.
Emilia Bertolli
3 minuto de leitura
Ultima atualização 11 de Fevereiro de 2022

Hackers conhecem todos os truques para aproveitar as vulnerabilidades do AD e para permanecerem ocultos enquanto percorrem a rede para roubar dados confidenciais. Para evitar essas possíveis vulnerabilidades, as empresas precisam realizar uma auditoria do AD pelo menos uma vez por ano.

Mas, o maior desafio é manter os vetores de ataque no mínimo e os recursos das credenciais roubadas limitados. Assim, quando invasores roubam uma credencial, não têm acesso a todas as informações da empresa e podem ser descobertos e neutralizados antes de causarem mais prejuízos.

Recursos de auditoria do Varonis Active Directory

A auditoria do AD descobre diversas brechas que podem ser exploradas por invasores se infiltrarem na rede, mas esse processo não é apenas sobre evitar riscos, mas também para manter o AD limpo e gerenciável.

Pense no AD como uma planta, que precisa de cuidados regulares para que cresça saudável. O AD é semelhante, manter-se atualizado sobre a manutenção do AD evita crises e as auditorias servem para verificar se as operações diárias estão funcionando como esperado.

A Varonis ajuda a:

  • Descobrir possíveis ameaças
  • Limpar sua rede
  • Manter a organização
  • Monitorar o AD
  • Melhorar a segurança geral

Antes de executar uma auditoria do AD

Para ativar a auditoria, o DatAdvantage precisa estar instalado e em execução. Com a solução instalada, deve-se habilitar o monitoramento constante dos serviços de diretório e módulos do Azure AD, e pronto, não são necessárias instalações adicionais.

A plataforma Varonis não exige muito treinamento para usar o painel e entender  o que cada widget significa.

Quanto tempo demoram as auditorias?

Normalmente as auditorias do AD levam de duas semanas a um mês para coletar os dados e, em seguida, vários meses para remediar os riscos que são descobertos, isso realizando a auditoria manualmente ou via PowerShell. A Varonis automatiza o processo de coleta de dados e algumas tarefas de correção para tornar esse processo muito mais rápido.

Como habilitar a auditoria do Active Directory

Para realizar a auditoria básica basta fornecer um nome de usuário e senha que possam ler o Controlador de Domínio.

A Varonis realiza o pós-processamento no back-end para tornar os eventos de auditoria do AD legíveis e de fácil compreensão. Esse processamento também alimenta as linhas de base e a modelagem de comportamento, então, quanto maior a entrada de dados na detecção e análise de ameaças, melhor.

A auditoria de eventos do AD da Varonis é, na verdade, uma reunião de logs de eventos de segurança dos controladores de domínio. Fornecemos uma lista dos itens de GPO que precisam ser ativados para obter o recurso completo de auditoria e uma opção de configuração rápida que cria um objeto Varonis GPO que traz as configurações de auditora corretas.

Associação ao grupo de administradores de auditoria

A principal prioridade de uma auditoria do AD é verificar se as permissões concedidas correspondem às necessidades e não excedem as políticas e práticas recomendadas.  Por padrão, as permissões de administradores concedem aos usuários a autoridade para fazer alterações nas configurações do computador, nas políticas de grupo e exibir todos os compartilhamentos de arquivos na rede.

Grupo de administradores de domínio

Esses usuários podem fazer o que quiserem na rede. Então, essa associação ao grupo precisa ser limitada a poucas pessoas confiáveis, com conhecimento e experiência para essa tarefa. Se houver usuários que não precisam mais desses privilégios, é essencial removê-los.

Direitos da equipe de TI

A próxima etapa é investigar os direitos da equipe de TI para garantir que não tenham mais acesso que o necessário com base nas práticas recomendadas.  Administradores devem ter duas contas, uma com privilégios de usuário para uso diário e a uma segunda com privilégios para realizar alterações. Dessa forma, usuários raramente farão logon com suas contas de administrador, e quando isso acontece, um alarme é acionado.

Limite os usuários de TI ao acesso necessário para realizar seu trabalho. Isso impede que invasores tenham acesso significativo à rede se uma dessas contas for comprometida.

Auditando a Diretiva de Grupo do Active Directory

As diretivas de grupo são outra prioridade durante as auditorias. O que verificar?

  • GPOs são aplicados corretamente a todos os computadores e domínios? Faça uma auditoria cuidadosa e verifique se os GPOs corretos se aplicam aos usuários e computadores esperados
  • Verifique se os GPOs impõem uma política de senha forte
  • Verifique se as contas do administrador local estão desabilitadas via GPO corretamente

A Varonis monitora e lança ativamente alertas para todas as alterações nos GPOs.  Investigue qualquer alteração feita fora de uma janela oficial de alterações, pois podem indicar que alguém está tentando se infiltrar na rede.

Como auditar alterações de conta de usuário do AD

A Varonis facilita a auditoria das alterações feitas nos usuários e grupos do AD, monitorando e normalizando eventos de Log de Eventos de Segurança em todos os Controladores de Domínio em um único log legível.

Esse monitoramento, combinado com a detecção e análise de ameaças no DatAlert, significa que qualquer alteração é sinalizada como possível ataque de escalada de privilégios. Assim, remova as contas que não estão mais ativas no AD. Invasores cobiçam contas obsoletas porque ninguém presta atenção a essas contas.

Essas contas antigas são exibidas no Painel de Serviços de Diretório para revisão e rastreamento. O painel é atualizado regularmente para manter esses usuários visíveis e sob controle.

Exemplos de vulnerabilidades que a Varonis pode encontrar

  • Contas de computador que são contas de administrador, que podem ser usadas para ataques de escalada de privilégios
  • Contas sem política de senha
  • Contas ativadas sem expiração de senha
  • Domínios em que o grupo de usuários protegidos não existe
  • Número de usuários bloqueados ativados
  • Número de usuários desativados

Com a Varonis monitorando o AD é muito fácil mantê-lo sob controle e a auditoria é apenas uma das primeiras partes da jornada operacional da Varonis. Entre em contato e solicite uma demonstração gratuita.

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

afinal,-os-usuários-windows-devem-ou-não-trocar-as-suas-senhas-periodicamente?
Afinal, os usuários Windows devem ou não trocar as suas senhas periodicamente?
É regra em qualquer área de TI fazer com que os usuários alterem suas senhas periodicamente. Na verdade, a necessidade de alterações programadas de senha é uma das práticas recomendadas de TI mais antigas.  Recentemente, no entanto, as coisas começaram a mudar. A Microsoft reverteu o curso sobre as práticas recomendadas que vinham em vigor há décadas e não…
evite-o-roubo-de-senhas-que-pode-ser-realizado-pelos-ataques-meltdown-e-spectre
Evite o roubo de senhas que pode ser realizado pelos ataques Meltdown e Spectre
Senhas são essenciais para o trabalho. O roubo de senhas pode causar prejuízos graves. Impeça que os ataques Meltdown e Spectre roubem suas senhas.
o-que-é-o-modelo-de-segurança-confiança-zero?
O que é o modelo de segurança Confiança Zero?
Confiança Zero é um modelo de segurança que verifica todas as credencias, todas as vezes que elas acessarem qualquer recurso, dentro ou fora da rede
o-que-as-recentes-invasões-nos-ensinam-sobre-senhas-de-acesso?
O que as recentes invasões nos ensinam sobre senhas de acesso?
Você usa a mesma senha para serviços bancários, e-mail etc? A sua senha de acesso é a garantia da segurança de seus dados