AD Audit Plus - Erfahrungsberichte
Moin,
hat irgendjemand von euch Erfahrungen mit der Software "ADAudit Plus"? Ich bin immer mal wieder auf dieses Programm gestoßen, zuletzt heute, nachdem ich recherchieren musste, wer wann wieso ein AD Konto gelöscht hat. In dem Fall war es nicht weiter schlimm, da der Benutzer eh seit über einem Monat deaktiviert gewesen ist, aber hin und wieder kommt es vor, dass man da doch nochmal rein schauen muss bzw. Kollegen und dann ist es uncool, wenn man sowas nicht sofort bemerkt.
Angeblich bietet das Tool genau für solche Fälle entsprechende Warnungen und Auswertungen und etliche andere Dinge mehr.
Mich würde nur mal interessieren, ob jemand einen tatsächlichen Erfahrungsbericht hat und diesen hier teilen wollen würde.
hat irgendjemand von euch Erfahrungen mit der Software "ADAudit Plus"? Ich bin immer mal wieder auf dieses Programm gestoßen, zuletzt heute, nachdem ich recherchieren musste, wer wann wieso ein AD Konto gelöscht hat. In dem Fall war es nicht weiter schlimm, da der Benutzer eh seit über einem Monat deaktiviert gewesen ist, aber hin und wieder kommt es vor, dass man da doch nochmal rein schauen muss bzw. Kollegen und dann ist es uncool, wenn man sowas nicht sofort bemerkt.
Angeblich bietet das Tool genau für solche Fälle entsprechende Warnungen und Auswertungen und etliche andere Dinge mehr.
Mich würde nur mal interessieren, ob jemand einen tatsächlichen Erfahrungsbericht hat und diesen hier teilen wollen würde.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669395
Url: https://administrator.de/contentid/669395
Ausgedruckt am: 13.11.2024 um 06:11 Uhr
12 Kommentare
Neuester Kommentar
Warum freiwillig Geld zum Fenster raus schmeißen wenn man sich das schnell selbst mit Event-Triggern und dem AD Auditing bauen kann ?!
Gruß catrell
- Änderungen im AD protokollieren
- Überwachen von wichtigen Active Directory Gruppen mit auslösen einer Mail bei Änderung
- ...
Gruß catrell
Hallo,
habe ich mir mal näher angesehen, aber letztlich nicht eingesetzt. Kritikpunkte sind eine hohe Dichte an Schwachstellen und die Problematik der One-Stop-Shops wie Zoho oder SolarWinds in qualitativer und funktionaler Hinsicht.
Die Funktionen sind durch Anpassungen/Auskopplungen im Log-Management und SIEM vollständig ersetzbar und dort in der Regel leistungsfähiger. Vom Anwendungsbereich her ist es daher ein Lückenfüller, wie ich ihn immer vermeiden würde, wenn mit etwas Strecken eine strategische Lösung in Reichweite ist.
Grüße
Richard
habe ich mir mal näher angesehen, aber letztlich nicht eingesetzt. Kritikpunkte sind eine hohe Dichte an Schwachstellen und die Problematik der One-Stop-Shops wie Zoho oder SolarWinds in qualitativer und funktionaler Hinsicht.
Die Funktionen sind durch Anpassungen/Auskopplungen im Log-Management und SIEM vollständig ersetzbar und dort in der Regel leistungsfähiger. Vom Anwendungsbereich her ist es daher ein Lückenfüller, wie ich ihn immer vermeiden würde, wenn mit etwas Strecken eine strategische Lösung in Reichweite ist.
Grüße
Richard
Hallo Jan,
wir nutzen diese Tool seit ein paar Jahren und sind happy damit.
Und zu Catrell's aussage.
Das AD Audit Plus erhält seine Info's eigentlich alle aus dem Eventlog der DC's.
Man sieht da natürlich sehr viel und kann sich für viele Fälle ein Report bzw. Alert bauen.
Einige Beispiele
Account wird gelöscht
Disabled Account wir wieder enabled !!
Änderungen an der Gruppe "Domain Admins" !!
Ist halt schon cool, wenn man direkt eine eMail erhält, wenn da jemand Domain Admin wird. Vor allem heutzutage, wenn es im Cyberangriffe geht.
Fileserver kann man damit auch überwachen und bekommt Info's über ungewöhnlich hohe "Modify" Änderungen eines Users.
Was auch noch äusserst cool ist, wenn dir ein User anruft und sagt, es wurde ein Ordner im Gruppenlaufwerk gelöscht. Jeder schon mal gehört, oder?
Ein kurzer Blick in das Tool und du siehst wer es war.
Und was soll ich sagen; in der Regel war es der, der reklamiert hat.
Neben dem AD kann das Tool mittlerweile auch das Azure AD überwachen.
Und auch so einige NAS Systeme kann man damit überwachen.
Wie gesagt, wir sind happy damit und würden es nicht mehr missen wollen.
Und ja, wie Catrell's und Richard schon sagt, man bekommt die Info's auch anderweitig, aber ist es nicht in sehr vielen Fällen so.
Ist immer eine Frage welchen Aufwand man selbst betreiben möchte und kann.
Meist hat man die Ressourcen dazu nicht wirklich.
Hier hast du halt ein fix fertige Lösung, welche alles mitbringt; zumindest was wir benötigen.
Ich kann es auf jeden Fall empfehlen.
Gruss Roland
wir nutzen diese Tool seit ein paar Jahren und sind happy damit.
Und zu Catrell's aussage.
Das AD Audit Plus erhält seine Info's eigentlich alle aus dem Eventlog der DC's.
Man sieht da natürlich sehr viel und kann sich für viele Fälle ein Report bzw. Alert bauen.
Einige Beispiele
Account wird gelöscht
Disabled Account wir wieder enabled !!
Änderungen an der Gruppe "Domain Admins" !!
Ist halt schon cool, wenn man direkt eine eMail erhält, wenn da jemand Domain Admin wird. Vor allem heutzutage, wenn es im Cyberangriffe geht.
Fileserver kann man damit auch überwachen und bekommt Info's über ungewöhnlich hohe "Modify" Änderungen eines Users.
Was auch noch äusserst cool ist, wenn dir ein User anruft und sagt, es wurde ein Ordner im Gruppenlaufwerk gelöscht. Jeder schon mal gehört, oder?
Ein kurzer Blick in das Tool und du siehst wer es war.
Und was soll ich sagen; in der Regel war es der, der reklamiert hat.
Neben dem AD kann das Tool mittlerweile auch das Azure AD überwachen.
Und auch so einige NAS Systeme kann man damit überwachen.
Wie gesagt, wir sind happy damit und würden es nicht mehr missen wollen.
Und ja, wie Catrell's und Richard schon sagt, man bekommt die Info's auch anderweitig, aber ist es nicht in sehr vielen Fällen so.
Ist immer eine Frage welchen Aufwand man selbst betreiben möchte und kann.
Meist hat man die Ressourcen dazu nicht wirklich.
Hier hast du halt ein fix fertige Lösung, welche alles mitbringt; zumindest was wir benötigen.
Ich kann es auf jeden Fall empfehlen.
Gruss Roland
@manuel-r
Gruß,
Dani
Artikel 17 DSGVO
Worin liegt nun juristisch der Unterschied, ob ich das AD Konto liegen lasse oder den Namen des AD Kontos in einem Logfile o.ä. steht?! Die verwendeten Daten sind die Gleichen.Gruß,
Dani
Zitat von @Dani:
@manuel-r
@manuel-r
Artikel 17 DSGVO
Worin liegt nun juristisch der Unterschied, ob ich das AD Konto liegen lasse oder den Namen des AD Kontos in einem Logfile o.ä. steht?! Die verwendeten Daten sind die Gleichen.Es gibt keinen. Auch Logs mit personenbezogenen Daten dürfen nicht ewig aufbewahrt werden. Es gilt der Grundsatz der Datenminimierung.
Bevor jetzt die Frage nach den Backups kommt in denen die Daten auch noch vorhanden sind: Das lässt sich bekanntlich nicht verhindern bzw. wäre widersinnig.
Nach Beendigung des Arbeitsverhältnisses dürfen nur noch Daten verarbeitet werden für die es eine über das Vertragsende hinaus andauernde rechtliche Verpflichtung, bspw. Aufbewahrungspflicht, gibt. Außer natürlich der Ex-Arbeitnehmer hat einer weiteren Verarbeitung zugestimmt.
Manuel
Es kommt auch ganz stark auf das System an. Da je nach Verwendungszweck des Systems ganz andere rechtliche Aufbewahrungspflichen gelten können sich die Fristen extrem unterscheiden.
Zb. Bewerber Managementsysteme bei abgelehnten Bewerbern vs. Systeme im pharmazeutisch Umfeld.
Da kann das zb bei der Email-Archivierung schon herausfordernd sein.
Ein System, verschiedene Fristen je archiviertes Dokument.
Zb. Bewerber Managementsysteme bei abgelehnten Bewerbern vs. Systeme im pharmazeutisch Umfeld.
Da kann das zb bei der Email-Archivierung schon herausfordernd sein.
Ein System, verschiedene Fristen je archiviertes Dokument.