ADAudit Plus
ADAP&DSP-在文件活动审计方面工作方式有什么区别?
ADAudit Plus和DataSecurity Plus产品都支持文件服务器和工作站的文件活动审计,那两者有什么区别呢? 以Windows文件服务器文件活动审计举例(工作站、集群同理)。 ADAudit Plus:通过获取日志事件查看器(eventviewer)中的日志(events),然后在产品中以报表形式呈现给用户; architecture如下: 可以安装agent也可以不安装,安装agent会实现实时同步抓取到的日志到产品,不安装agent只能通过计划的间隔来同步日志数据。 ...
ADAP-文件活动(共享文件和非共享文件审计的各自报表在哪里查看?)
ADAudit Plus产品支持共享及非共享文件活动审计。 共享文件(夹)活动在如下报表查看: 非共享文件(夹)/本地文件活动在如下报表查看: 另外,ADAP审计文件活动是通过获取日志/event,基于SACL(系统访问控制列表)(可参考Manual configuration of SACL | Windows file audit | ADAudit Plus ...
ADAP-文件重命名报表已经支持显示旧文件名(Since7050Build)
Before 7050 Build: ADAudit Plus是(如Windows文件服务器:eventviewer)通过获取日志审计文件活动,所以日志本身记录了什么,ADAudit Plus的报表就包含什么字段值;由于日志本身只记录变更事件,即修改文件后的文件名称等,而不包含修改前的文件名,所以ADAudit Plus产品的报表中也并不包含旧文件(夹)名。Windows文件服务器、NetApp等都是基于日志审核的,报表都不完全体现‘旧’名称。 ...
ADAP-如何排除一些具有“迷惑性”的日志事件?
如果ADAudit Plus审计到了比如大量的用户登录失败事件(某用户一天几万条),首先要知道如果没有ADAudit Plus工具,其实这些大量的事件也是不停地在域控上产生,只是ADAudit Plus以一种报表形式友好地为用户呈现出来,帮助用户及时了解到这种AD异常事件。 ...
ADAP-高级GPO报表(组策略设置的变更)
“被修改”,“被添加”或者“被移除”的Details对应的都有可能是“常规/明细”标签下的值,这是System Changes,每一个如下的Change都会有: 比如: 再比如: 但有些GPOSettingsChanges会显示“被添加”或者“被移除”的具体Values,这取决于具体Change了什么GPOSettings,即这是exact details done by admins/users: 比如: 再比如: ...
ADA可以审计powershell命令吗?
可以的,详见下图:
ADAudit Plus的日志转发(SIEM集成),是怎样的原理?
1.原理:“SIEM 集成”选项允许您将数据从 ADAuditPlus 实时转发到外部 SIEM 产品或系统日志服务器。 2.是否实时转发?是的
ADAudit Plus日志归档后压缩比是多少?
ADA日志存档压缩比为10:1
ADAP-RPC错误
请先检查以下两项: 1.关于Windows防火墙入站规则: COM+ Network Access (DCOM-In) Remote Event Log Management (NP-In) Remote Event Log Management (RPC) Remote Event Log Management (RPC-EPMAP) 2.关于端口: Port "389" to communicate with the LDAP Protocol. Port "135" to ...
ADAudit Plus什么时候需要安装代理?
ADAudit Plus什么时候需要安装代理? 第一,如果是大型企业网络架构,建议使用代理,可以降低宽带使用率和平滑处理采集数据; 第二,无论网络规模大或小,但是如果(File servers&Windows servers)需要“实时”收集数据,则需要使用代理,“计划”的情况下可以不用代理; 无论域控是否安装代理,都是实时收集日志的,但是也可以对域控收集日志后计划同步到ADAudit Plus:
如何理解ADAudit Plus中”休眠管理员账户“报表
休眠管理员账户(Dormant Admin Account): 此报表列出了在指定的时间段内,没有任何admin操作的用户账户,通俗理解为"那些休眠的没有管理员操作的账户". 但是可以通过筛选找出指定的管理员账户或某些特殊账户,如下图:
ADAudit Plus中不审核的设备会占用许可吗?
如果启用了设备审核,则会占用许可;反之如果禁用了,则不会占用许可数。 如下图所示:
在ADAudit Plus中如何配置SIEM集成
如下图所示: 输入SIEM解决方案所在的服务器IP地址或者主机名、端口(确保端口513/514没被占用)和RFC,然后右上角选择需要转发的ADAudit Plus中的日志事件。 比如使用的卓豪的日志分析产品Event log Analyzer,配置如下: 如果在ADAudit Plus中日志转发状态为Success和EventLog Analyzer中的LogReceiver中显示收到了syslog,那说明配置成功了。
关于ADAudit Plus中的DataEngine XNode服务
关于DataSecurity Plus中的DataEngine XNode服务: DataEngine是ADAuditPlus的一个新组件,用于更有效地存储和检索日志数据。 DataEngine将取代审计日志的数据库,这意味着更快地搜索和检索数据。它还增强了解决方案的可伸缩性。 如下截图所示,目前Powershell审计和文件审计的数据被存储在DataEngine中,其他数据存储在数据库。
ADAP数据库存储哪些信息:
我们将审核数据存储在数据库中,并在需要时通过用户界面显示它们。 We store the audit data in the database and display them when needed through the user-interface.
ADAP设置双因素的位置在哪里?
ADAP中LDAP审核的数据如何获得?
关于LDAP报表,需要进行如下配置才能成功获取报表: 1.LDAP身份验证审核日志记录在事件查看器中“应用程序和服务日志”类别下的“目录服务”中,并且应在LDAP Servers(DC)上更新以下注册表项,以启用这些日志。 2.打开注册表编辑器,然后导航到Local Machine-->System-->Current Control Set-->Services--->NTDS--->Diagnostics 3.将以下对象的值设置为5: Field Engineering LDAP ...
ADAP审计的事件ID描述
可以在此链接中查找:https://www.manageengine.com/products/active-directory-audit/kb/windows-event-log-id-list.html
ADAudit Plus(ADAP)支持HA吗?
ADAP6010版本开始支持HA,具体配置步骤如下: https://downloads.zohocorp.com/ADAudit_Plus/XqK0vPudvgg492p/High_Availability_Setup_Procedure.zip
能列举几个用户案例吗?
1)真功夫餐饮:真功夫餐饮有限公司的IT部门一直采用信息化手段进行日常工作上的管理,不断简化IT部门人员的工作,解放IT部门人员的双手,从AD管理到网络、系统管理等方面都采用信息化手段进行优化和管理,但是美中不足的就是,这些管理并没有相应的行为记录审计,包括AD活动目录跟人力资源部门自动整合帐号,这些动作是否成功,帐号是否成功创建,光靠人工去活动目录服务器上核验,工作量是非常庞大的。ADAudit ...
有哪些功能优势和亮点?
1)实时Windows活动目录(AD)审计,帮助了解即谁在什么时间什么地点进行了什么操作。 2)Windows登录/注销审计:内置用户登录活动、访问活动、权限变更审计报表;登录、注销审计报表等,直观清晰的了解AD域内的活动。 3)文件服务器审计:访问敏感文件,重要的文件的修改、删除、复制等操作,都可以通过ADAudit Plus审计到。 4)AI用户行为分析,帮助分析特权滥用、恶意登录等行为,保障企业数据安全。 5)开箱即用,预置了多种活动目录的审计报表。 ...
ADAudit Plus可以审计AZure AD吗?
答:ADAudit Plus可以对AZure AD上的用户登录、用户管理、组管理、设备管理、应用管理、设备管理、许可管理及目录管理等项目进行审计,并给出详尽的报表。
ADAudit Plus支持AI技术吗?
答:支持,ADAudit Plus可以跟踪用户的使用习惯、文件的使用习惯、日常服务器进程使用的数据,通过机器学习,从而分析出一些异常,并在服务器遭受攻击时主动采取一些相应的行动
3. ADAudit Plus按什么收费?
答:ADAudit Plus按照需要审计的域控制器数量、文件服务器数量、成员服务器数量以及工作站数量进行收费。更多信息请查看 https://www.manageengine.cn/active-directory-360/pricing-comporison.html获得帮助
有了微软Active Directory,为什么还要用ADAudit Plus ?
答:ADAudit Plus内置200+报表,可以非常直观的呈现出活动目录中的所有变更,帮助管理员了解是谁在什么时间什么地点执行了什么样的操作。它还可以审计文件服务器的变更,比如谁创建、修改、删除了哪些文件,以更好的预防数据泄露,特权滥用,恶意登录等。
ADAudit Plus是做什么用的 ?
答:ADAudit Plus是一款基于Web的活动目录变更审计和报表解决方案,可帮助管理员审计和跟踪Windows活动目录中的所有变更,诸如用户、计算机、组、域策略变更和登录行为等,并通过丰富直观的报表呈现。此外,还可以对变更行为配置告警,及时通知管理员。
ADAudit LAPS审计
1. 点击域设置 2. 选择域名, 点击'更新域对象' 3. 选择 '对象属性' 4. 保存
adap为什么要创建GPO ?
We create GPO for enabling audit policies in workstations, member servers and file server. Audit policies on the respective GPO will be applied on the configured devices. For DC's it will be the default DC policy.
adap能否审计到本地用户登陆操作?
可以。我在计算机08r125上新建一个本地账户local1,然后使用local1登陆到本地,就是通过08r125\local1方式登陆,adap的本地登陆报表完全可以审计到。