viernes, 21 de noviembre de 2014

Auditoria IT. Netwrix. Parte 2. Eventos en Active Directory.

Espero que os gustará el último artículo sobre la plataforma Auditor 6.5 de la compañía Netwrix 


En esta ocasión vamos a configurar unas cuentas opciones a nivel de Active Directory, algo que podéis hacer sin la necesidad de la herramienta.

La idea es preparar la estructura base de seguridad en nuestro Active Directory, para luego gestionarla desde la consola de Netwrix Auditor 6.5.


Lo primero que voy a hacer es desde un controlador de dominio, voy a crear una política de seguridad para añadir todas las opciones que voy a habilitar, y así poder indentificar facilmente a la hora de ajustar.


De esta manera vamos a habilitar la auditoría de acceso a objetos de Active Directory, eventos relacionados con la administración, con los inicios de sesión...

El siguiente paso es habilitar un tamaño aceptable al log, a los registros del Visor de Eventos.


Hemos asignado un tamaño máximo de retención de logs de 1gb. 1048576 kilobytes

Accedemos a Usuarios y Equipos de Active Directory y habilitamos las opciones avanzadas.


Accedemos a la opción de auditoría.


Creamos una entidad de auditoría, para el grupo de usuarios TODOS, y habilitamos todas las opciones salvo las 3 que se aprecian en la imagen.


Ahora vamos a configurar la auditoría del esquema Active Directory, algo importante para auditar :-)



Para hacer un resumen, hasta este punto, hemos habilitado la auditoría de objetos Active Directory. Podemos comprobar que realmente se están monitorizando los cambios.

Voy a tomar un usuario y voy a agregarlo al grupo de administradores de Active Directory.

Volvemos a Netwrix Auditor 6.5 y ejecutamos manualmente la recolección de datos. Automáticamente recibimos un correo con la información de cambios.


Como podemos apreciar, nos indica que un usuario se ha activado (estaba desactivada la cuenta) y se ha añadido al grupo administradores.

En el caso de sufrir un incidente de seguridad en nuestra organización, la elevación de privilegios es uno de los pasos que realizará un atacante para conseguir aumentar sus acceso. De esta manera, podemos detectar una intrusión o simplemente un cambio de configuración no autorizado.

Vamos a realizar otra prueba, crear una simple unidad organizativa.


Una de las configuraciones que debemos realizar es la programación de estas notificaciones. Por defecto se hará una vez al día, a las 3 de la mañana. Podemos cambiarlo desde aquí.


Ahora es el turno de visualizar las opciones de reporting que nos genera la herramienta.

Vamos a seleccionar uno al azar, para ver como se genera un report.


Otra de las opciones que más interesante me parece es la de poder revertir la configuración de Active Directory a un estado anterior. Cada vez que se hace una recolección de información, se genera un SnapShot del estado del sistema. Podemos usar esta instantánea para revertir el estado. Las imágenes hablan de lo sencillo del proceso.


Creo que ha quedado suficientemente claro las posibilidades que nos ofrece esta plataforma, Netwrix Auditor 6.5 por un precio bajo. Si hay más de un sysadmin para Active Directory, o se manejan un gran número de usuarios, una herramienta para la detección de cambios es necesaria. 

En otras entregas de Inseguros hablaremos de otros módulos del programa para monitorizar cambios en otras plataformas, como pueda ser Vmware, muy interesante en mi caso.

Espero que os guste, gracias por leerme !!!