Suchen

Auditing und unübliche Aktivitäten mit Varonis Überwachung des Active Directory im Rechenzentrum

| Autor / Redakteur: Thomas Joos / Ulrike Ostler

Mit Varonis-Software können Administratoren im Rechenzentrum das „Active Directory“ (AD) überwachen und ´unnormale` Aktionen erkennen. Mithilfe des Werkzeugs lassen sich zudem Änderungen im Active Directory überwachen.

Firmen zum Thema

Autor Thomas Joos hat sich Varonis-Software angeschaut, mit der sich AD-Installationen im Rechenzentrum überwachen lassen.
Autor Thomas Joos hat sich Varonis-Software angeschaut, mit der sich AD-Installationen im Rechenzentrum überwachen lassen.
(Bild: Gerd Altmann auf Pixabay)

Mit Varonis-Software lassen sich Aktionen in Active Directory effektiv überwachen. Das Tool ist vor allem in Rechenzentren interessant, in denen es verschiedene Administratoren gibt, die mehrere Domänen und verschiedene Standorte verwalten müssen. Eine kostenlose Live-Demo kann auf der Webseite des Unternehmens gebucht werden.

Das Varonis-Tool überwacht das Rechenzentrum und alle angebundenen Server über Connectoren. Die gesammelten Daten werden nicht auf den lokalen Servern gespeichert, sondern direkt zum Varonis-Server übertragen.

Das Werkzeug kann auch Empfehlungen geben, um die Sicherheit zu erhöhen. Dazu werden alle gesammelten Daten verarbeitet, um zum Beispiel zu erkennen, ob bestimmte Benutzerkonten oder Administratoren über Rechte verfügen, die sie nicht benötigen. Pass-the-Ticket-Angriffe, Kerberos Token-Exploits und kritische Änderungen in Active Directory lassen sich erkennen und so rechtzeitig verhindern.

Außerdem ist es möglich nicht nur Active-Directory-Installationen, sondern auch auch Dateiserver überwachen, Sharepoint und Exchange. Auch Office 365 lässt sich angebinden; das gilt auch für Cloud-Speicher, wie „Onedrive“.

Seine eignen Daten speichert Varonis in einer Datenbank, zum Beispiel auf einem Server mit „Microsoft SQL Server“. Die Daten, die Varonis analysiert, können aber auch zu SIEM-Systemen von Partnern und andere Überwachungslösungen übertragen werden.

Änderungen an Gruppenrichtlinien

Werden zum Beispiel Änderungen in Gruppenrichtlinien vorgenommen, ist ohne Zusatzwerkzeuge schwer zu erkennen, wann Änderungen an Gruppenrichtlinien vorgenommen wurden und welche Änderungen ausgeführt worden sind. Varonis stellt Berichte zur Verfügung, aus denen hervorgeht, wann, welche Änderungen in Gruppenrichtlinien erfolgt sind. Außerdem können Admins Alarme eingerichten, mit denen Administratoren darüber informiert werden, wenn Änderungen an Gruppenrichtlinien vorgenommen wurden.

Vor allem in größeren Umgebungen mit zahlreichen Domänen-Controller kann es sinnvoll sein, den Zustand von Active Directory effektiv zu überwachen. Mit Varonis lassen sich sicherheitsrelevante Informationen im Rechenzentrum berücksichtigen, zum Beispiel Risiko-Indikatoren.

Dazu gehören leere Sicherheitsgruppen genauso, wie Benutzer deren Kennwort abgelaufen ist. Zusätzlich überwacht Varonis auch kritische Aktionen, zum Beispiel wenn Benutzerkonten-Rechte angepasst und unüblich verwendet werden. Dabei zeigt das Tool die Warnungen in Berichten an. Das Interessante dabei ist, dass viele Regeln bereits standardmäßig in Varonis integriert sind.

*Thomas Joos ist Autor vieler Fachbücher und -Artikel. Auf DataCenter-Insider befüllt er seinen eigenen Blog mit Tipps und Tricks für Admins: „Toms Admin-Blog“ Die jüngsten Veröffentlichungen beschäftigen sich mit:

Azuzre-Hybridvorteil hilft beim Geld sparen, Hybrid-Netzwerke: Lokale Windows-Server Lizenzen in der Cloud verwenden“und

Rechenzentrum und Hybrid-Netzwerke verwalten, Azure AD Connect deaktivieren - Azure und Office 365 in der PowerShell verwalten

(ID:46367310)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist