Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais

Saiba como rodar uma auditoria do AD usando Varonis

O monitoramento do Active Directory, combinado com a detecção e análise de ameaças, permite que ataques sejam evitados.
Emilia Bertolli
3 minuto de leitura
Publicado 2 de Abril de 2020
Ultima atualização 11 de Fevereiro de 2022

Hackers conhecem todos os truques para aproveitar as vulnerabilidades do AD e para permanecerem ocultos enquanto percorrem a rede para roubar dados confidenciais. Para evitar essas possíveis vulnerabilidades, as empresas precisam realizar uma auditoria do AD pelo menos uma vez por ano.

Mas, o maior desafio é manter os vetores de ataque no mínimo e os recursos das credenciais roubadas limitados. Assim, quando invasores roubam uma credencial, não têm acesso a todas as informações da empresa e podem ser descobertos e neutralizados antes de causarem mais prejuízos.

Recursos de auditoria do Varonis Active Directory

A auditoria do AD descobre diversas brechas que podem ser exploradas por invasores se infiltrarem na rede, mas esse processo não é apenas sobre evitar riscos, mas também para manter o AD limpo e gerenciável.

Pense no AD como uma planta, que precisa de cuidados regulares para que cresça saudável. O AD é semelhante, manter-se atualizado sobre a manutenção do AD evita crises e as auditorias servem para verificar se as operações diárias estão funcionando como esperado.

A Varonis ajuda a:

  • Descobrir possíveis ameaças
  • Limpar sua rede
  • Manter a organização
  • Monitorar o AD
  • Melhorar a segurança geral

Antes de executar uma auditoria do AD

Para ativar a auditoria, o DatAdvantage precisa estar instalado e em execução. Com a solução instalada, deve-se habilitar o monitoramento constante dos serviços de diretório e módulos do Azure AD, e pronto, não são necessárias instalações adicionais.

A plataforma Varonis não exige muito treinamento para usar o painel e entender  o que cada widget significa.

Quanto tempo demoram as auditorias?

Normalmente as auditorias do AD levam de duas semanas a um mês para coletar os dados e, em seguida, vários meses para remediar os riscos que são descobertos, isso realizando a auditoria manualmente ou via PowerShell. A Varonis automatiza o processo de coleta de dados e algumas tarefas de correção para tornar esse processo muito mais rápido.

Como habilitar a auditoria do Active Directory

Para realizar a auditoria básica basta fornecer um nome de usuário e senha que possam ler o Controlador de Domínio.

A Varonis realiza o pós-processamento no back-end para tornar os eventos de auditoria do AD legíveis e de fácil compreensão. Esse processamento também alimenta as linhas de base e a modelagem de comportamento, então, quanto maior a entrada de dados na detecção e análise de ameaças, melhor.

A auditoria de eventos do AD da Varonis é, na verdade, uma reunião de logs de eventos de segurança dos controladores de domínio. Fornecemos uma lista dos itens de GPO que precisam ser ativados para obter o recurso completo de auditoria e uma opção de configuração rápida que cria um objeto Varonis GPO que traz as configurações de auditora corretas.

Associação ao grupo de administradores de auditoria

A principal prioridade de uma auditoria do AD é verificar se as permissões concedidas correspondem às necessidades e não excedem as políticas e práticas recomendadas.  Por padrão, as permissões de administradores concedem aos usuários a autoridade para fazer alterações nas configurações do computador, nas políticas de grupo e exibir todos os compartilhamentos de arquivos na rede.

Grupo de administradores de domínio

Esses usuários podem fazer o que quiserem na rede. Então, essa associação ao grupo precisa ser limitada a poucas pessoas confiáveis, com conhecimento e experiência para essa tarefa. Se houver usuários que não precisam mais desses privilégios, é essencial removê-los.

Direitos da equipe de TI

A próxima etapa é investigar os direitos da equipe de TI para garantir que não tenham mais acesso que o necessário com base nas práticas recomendadas.  Administradores devem ter duas contas, uma com privilégios de usuário para uso diário e a uma segunda com privilégios para realizar alterações. Dessa forma, usuários raramente farão logon com suas contas de administrador, e quando isso acontece, um alarme é acionado.

Limite os usuários de TI ao acesso necessário para realizar seu trabalho. Isso impede que invasores tenham acesso significativo à rede se uma dessas contas for comprometida.

Auditando a Diretiva de Grupo do Active Directory

As diretivas de grupo são outra prioridade durante as auditorias. O que verificar?

  • GPOs são aplicados corretamente a todos os computadores e domínios? Faça uma auditoria cuidadosa e verifique se os GPOs corretos se aplicam aos usuários e computadores esperados
  • Verifique se os GPOs impõem uma política de senha forte
  • Verifique se as contas do administrador local estão desabilitadas via GPO corretamente

A Varonis monitora e lança ativamente alertas para todas as alterações nos GPOs.  Investigue qualquer alteração feita fora de uma janela oficial de alterações, pois podem indicar que alguém está tentando se infiltrar na rede.

Como auditar alterações de conta de usuário do AD

A Varonis facilita a auditoria das alterações feitas nos usuários e grupos do AD, monitorando e normalizando eventos de Log de Eventos de Segurança em todos os Controladores de Domínio em um único log legível.

Esse monitoramento, combinado com a detecção e análise de ameaças no DatAlert, significa que qualquer alteração é sinalizada como possível ataque de escalada de privilégios. Assim, remova as contas que não estão mais ativas no AD. Invasores cobiçam contas obsoletas porque ninguém presta atenção a essas contas.

Essas contas antigas são exibidas no Painel de Serviços de Diretório para revisão e rastreamento. O painel é atualizado regularmente para manter esses usuários visíveis e sob controle.

Exemplos de vulnerabilidades que a Varonis pode encontrar

  • Contas de computador que são contas de administrador, que podem ser usadas para ataques de escalada de privilégios
  • Contas sem política de senha
  • Contas ativadas sem expiração de senha
  • Domínios em que o grupo de usuários protegidos não existe
  • Número de usuários bloqueados ativados
  • Número de usuários desativados

Com a Varonis monitorando o AD é muito fácil mantê-lo sob controle e a auditoria é apenas uma das primeiras partes da jornada operacional da Varonis. Entre em contato e solicite uma demonstração gratuita.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Try Varonis free.
Get a detailed data risk report based on your company’s data.
Deploys in minutes.
Keep reading
por-trás-do-rebranding-da-varonis
Por trás do rebranding da Varonis
Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
O que é uma avaliação de risco de dados e por que você deve fazer
A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados 
guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
Guia de migração de dados: sucesso estratégico e práticas recomendadas
A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento