jann0r
Goto Top

AD Audit Plus - Erfahrungsberichte

Moin,

hat irgendjemand von euch Erfahrungen mit der Software "ADAudit Plus"? Ich bin immer mal wieder auf dieses Programm gestoßen, zuletzt heute, nachdem ich recherchieren musste, wer wann wieso ein AD Konto gelöscht hat. In dem Fall war es nicht weiter schlimm, da der Benutzer eh seit über einem Monat deaktiviert gewesen ist, aber hin und wieder kommt es vor, dass man da doch nochmal rein schauen muss bzw. Kollegen und dann ist es uncool, wenn man sowas nicht sofort bemerkt.

Angeblich bietet das Tool genau für solche Fälle entsprechende Warnungen und Auswertungen und etliche andere Dinge mehr.
Mich würde nur mal interessieren, ob jemand einen tatsächlichen Erfahrungsbericht hat und diesen hier teilen wollen würde.

Content-ID: 669395

Url: https://administrator.de/contentid/669395

Ausgedruckt am: 13.11.2024 um 06:11 Uhr

catrell
catrell 11.11.2024 aktualisiert um 11:22:28 Uhr
Goto Top
Warum freiwillig Geld zum Fenster raus schmeißen wenn man sich das schnell selbst mit Event-Triggern und dem AD Auditing bauen kann face-smile?!

Gruß catrell
Dirmhirn
Dirmhirn 11.11.2024 um 12:11:54 Uhr
Goto Top
Hi,
wir sind gerade dabei es anzuschaffen. In ein paar Monaten kann ich mehr sagen.

Sg Dirm
jann0r
jann0r 11.11.2024 aktualisiert um 12:23:26 Uhr
Goto Top
@Dirmhirn Magst du vorab aber sagen, weshalb ihr euch für diese Software entschieden habt?
Dani
Dani 11.11.2024 um 12:43:33 Uhr
Goto Top
Moin,
warum löscht man heutzutage überhaupt noch Konten? Man verliert damit evtl. in 3rd Party Anwendungen den Klarnamen und damit auch evtl. historische Daten, wer was wo gemacht macht. Deaktivieren und verschieben - fertig.


Gruß,
Dani
manuel-r
manuel-r 11.11.2024 um 12:59:34 Uhr
Goto Top
Zitat von @Dani:

Moin,
warum löscht man heutzutage überhaupt noch Konten?

Artikel 17 DSGVO

Manuel
C.R.S.
C.R.S. 11.11.2024 um 13:20:41 Uhr
Goto Top
Hallo,

habe ich mir mal näher angesehen, aber letztlich nicht eingesetzt. Kritikpunkte sind eine hohe Dichte an Schwachstellen und die Problematik der One-Stop-Shops wie Zoho oder SolarWinds in qualitativer und funktionaler Hinsicht.
Die Funktionen sind durch Anpassungen/Auskopplungen im Log-Management und SIEM vollständig ersetzbar und dort in der Regel leistungsfähiger. Vom Anwendungsbereich her ist es daher ein Lückenfüller, wie ich ihn immer vermeiden würde, wenn mit etwas Strecken eine strategische Lösung in Reichweite ist.

Grüße
Richard
Dirmhirn
Dirmhirn 11.11.2024 um 14:36:20 Uhr
Goto Top
Zitat von @jann0r:

@Dirmhirn Magst du vorab aber sagen, weshalb ihr euch für diese Software entschieden habt?

Ich bin nicht wirklich involviert. Es kennt ein Kollege von früher, ist relativ günstig und wir verschieben damit die von C.R.S. erwähnten Punkte auf später....

Sg Dirm
Roland567
Roland567 11.11.2024 um 15:42:54 Uhr
Goto Top
Hallo Jan,

wir nutzen diese Tool seit ein paar Jahren und sind happy damit.
Und zu Catrell's aussage.
Das AD Audit Plus erhält seine Info's eigentlich alle aus dem Eventlog der DC's. face-smile

Man sieht da natürlich sehr viel und kann sich für viele Fälle ein Report bzw. Alert bauen.

Einige Beispiele
Account wird gelöscht
Disabled Account wir wieder enabled !!
Änderungen an der Gruppe "Domain Admins" !!
Ist halt schon cool, wenn man direkt eine eMail erhält, wenn da jemand Domain Admin wird. Vor allem heutzutage, wenn es im Cyberangriffe geht.
Fileserver kann man damit auch überwachen und bekommt Info's über ungewöhnlich hohe "Modify" Änderungen eines Users.
Was auch noch äusserst cool ist, wenn dir ein User anruft und sagt, es wurde ein Ordner im Gruppenlaufwerk gelöscht. face-smile Jeder schon mal gehört, oder?
Ein kurzer Blick in das Tool und du siehst wer es war.
Und was soll ich sagen; in der Regel war es der, der reklamiert hat. face-smile

Neben dem AD kann das Tool mittlerweile auch das Azure AD überwachen.
Und auch so einige NAS Systeme kann man damit überwachen.

Wie gesagt, wir sind happy damit und würden es nicht mehr missen wollen.
Und ja, wie Catrell's und Richard schon sagt, man bekommt die Info's auch anderweitig, aber ist es nicht in sehr vielen Fällen so.

Ist immer eine Frage welchen Aufwand man selbst betreiben möchte und kann.
Meist hat man die Ressourcen dazu nicht wirklich.
Hier hast du halt ein fix fertige Lösung, welche alles mitbringt; zumindest was wir benötigen.

Ich kann es auf jeden Fall empfehlen.
Gruss Roland
catrell
catrell 11.11.2024 aktualisiert um 16:34:42 Uhr
Goto Top
Das AD Audit Plus erhält seine Info's eigentlich alle aus dem Eventlog der DC's. face-smile
Eben, alles schon da und das kostenlos face-big-smile
Dani
Dani 12.11.2024 um 20:39:37 Uhr
Goto Top
@manuel-r
Artikel 17 DSGVO
Worin liegt nun juristisch der Unterschied, ob ich das AD Konto liegen lasse oder den Namen des AD Kontos in einem Logfile o.ä. steht?! Die verwendeten Daten sind die Gleichen.


Gruß,
Dani
manuel-r
manuel-r 12.11.2024 um 21:07:33 Uhr
Goto Top
Zitat von @Dani:

@manuel-r
Artikel 17 DSGVO
Worin liegt nun juristisch der Unterschied, ob ich das AD Konto liegen lasse oder den Namen des AD Kontos in einem Logfile o.ä. steht?! Die verwendeten Daten sind die Gleichen.

Es gibt keinen. Auch Logs mit personenbezogenen Daten dürfen nicht ewig aufbewahrt werden. Es gilt der Grundsatz der Datenminimierung.
Bevor jetzt die Frage nach den Backups kommt in denen die Daten auch noch vorhanden sind: Das lässt sich bekanntlich nicht verhindern bzw. wäre widersinnig.
Nach Beendigung des Arbeitsverhältnisses dürfen nur noch Daten verarbeitet werden für die es eine über das Vertragsende hinaus andauernde rechtliche Verpflichtung, bspw. Aufbewahrungspflicht, gibt. Außer natürlich der Ex-Arbeitnehmer hat einer weiteren Verarbeitung zugestimmt.


Manuel
Delta9
Delta9 13.11.2024 um 07:08:10 Uhr
Goto Top
Es kommt auch ganz stark auf das System an. Da je nach Verwendungszweck des Systems ganz andere rechtliche Aufbewahrungspflichen gelten können sich die Fristen extrem unterscheiden.
Zb. Bewerber Managementsysteme bei abgelehnten Bewerbern vs. Systeme im pharmazeutisch Umfeld.
Da kann das zb bei der Email-Archivierung schon herausfordernd sein.
Ein System, verschiedene Fristen je archiviertes Dokument.