Lepide Auditor Suite ile Active Directory Audit

Makalemin ilk bölümünde sizlere ürünün temel kurulumunu ve mevcut Active Directory, Exchange Server ortamınız ile entegrasyonundan bahsettim. Makalemin bu bölümünde ise ürünün AD özelinde sunduğu raporları yakından inceleyeceğiz.

Öncelikle ürün temel olarak bir değişiklik izleme ürünü olduğu için en çok ihtiyaç duyduğunuz kim, ne zaman, nerede, neyi, ne şekilde değiştirdi gibi temel bilgilere çok hızlı bir şekilde erişebiliyorsunuz.

Öncelikle dashboard olarak isimlendirdiğimiz ana ekran üzerinden sistemlerinizdeki değişiklikleri özet olarak görebilirsiniz. Bu noktada tavsiyem bu ekranı tüm bilgi işlem personelinin görebileceği bir ekrana ( TV, projeksiyon ve ya benzeri ) yansıtmanız olacaktır.

Burada AD, Exchange ve benzeri bağladığınız sistem için rakamsal olarak gerçekleştirilen değişiklikleri görebiliyoruz. Hemen alt bölümde ise aşağıdaki gibi görsel bir rapor sunulmaktadır

Yapılan bu değişikliklerin hangi oranda kritik, hangi oranda düşük veya orta seviye bir değişiklik olduğunu görebiliyoruz. Eğer burada 0.8 olarak gösterilen “High” yani kritik olan bu değişiklik nedir diye merak ederseniz bu oranın üzerine tıklamanız yeterlidir.

Öncelikle otomatik olarak yukarıdaki gibi bir arama kriteri ve hemen bunun altında aşağıdaki gibi sonucu görebilirsiniz

Yine ana ekrana dönecek olursak

Burada da en çok değişiklik yapan yöneticilerin kullanıcı veya makine bazlı listelenmesini görebilirsiniz.

Ana ekranı incelemeye devam ediyoruz

En çok sevdiğim ekranlardan birisi, en çok değişiklik yapılan objeler, tabi ki her zaman olduğu gibi kullanıcılar. İyi bir sistem yönetici ara ara burayı kontrol etmeli, çünkü SCP veya GPO ya da DNS gibi objelerden beklenmedik toplu değişiklikler bir atak veya yanlış çalıştırılmış komut setlerine işaret edebilir.

Bir diğer hazır rapor ise değişiklik trendini bizim ile paylaşan bu ekrandır. Örneğin Mayıs ayının 18,19 tarihlerinde ciddi bir yatış söz konusudur. Malum 19 Mayıs tatili öncesi kimse sistemlerde değişiklik yapmamış gibi J

Not: Her ekranın sağ üst köşesinde zaman planı vardır. Varsayılan olarak son 1 günlük aktiviteleri gösteren bu ekranları son 7 gün veya son 30 gün olarak değiştirilebilir.

Ana ekrandaki en kullanışlı bölüm ise bana göre “LiveFeed” bölümüdür. Buraya anlık olarak izlemek, sonucunun görmek veya haberdar olmak istediğiniz bir olayı veya durumu tanımlayabiliyorsunuz.

LiveFeeld bölümüne gelip sağ üst köşeden artı butonuna basarsanız yukarıdaki gibi bir ekran karşınıza çıkacaktır. Bir değişiklik sonucunun mu takip etmek istiyorsunuz yoksa bir sağlık durumunu mu kontrol edin.

Örneğin ben Auditing Alert seçtikten sonra yukarıdaki gibi şu anda sisteme bağlı temel 3 izleme ürünü için ( Active Directory, GPO ve Exchange Server) seçim menüsü çıkıyor. Benim bu makaledeki amacım AD özelinde izleme olduğu için Active Directory Modificitaion Reports menüsünü seçiyorum. Bu menü altında ise iki seçenek var, birincisi değişiklik rapoları, diğeri ise güvenlik raporları. Ben örneğin kullanıcı silme işlemlerini canlı olarak görmek istiyorum ve aşağıdaki gibi ilgili raporu seçiyorum;

İsterseniz bu seçim için filtreleme yapabilirsiniz

Yani örneğin bir dakika içerisinde 10 kullanıcı silinir ise veya şu kullanıcı silinirse veya bu kullanıcı bir kullanıcı silerse gibi seçebilirsiniz. Aslında şu anda bir alert tanımlıyoruz.

Bu bölümde ise bu olay gerçekleştiğinde LiveFeed üzerinde görüntülenmesini seçebileceğimiz gibi hem görüntüleme hem de mail atılmasını sağlayabiliriz.

Daha sonra bir kullanıcı silinir ise bunu anlık olarak LiveFeed üzerinden ( bu ekran varsayılan olarak 5dk da bir yenilenir veya siz elle tazeleyebilirsiniz) görebilirsiniz.

Not: Yukarıdaki işlem ile aslında örnek bir Alert tanımlamış olduk. Bunu yine programın sol tarafında bulunan menülerinden Alert bölümüne tıklayarak görebilirsiniz;

Ana ekrandaki genel özellikleri tamamladıktan sonra gelelim değişikliklerin izlenmesine. Bunu için yine programın sol bölümdeki menülerinden “Audit Reports” bölümüne tıklıyoruz;

Bu bölümde temel olarak ortamınızdaki tüm değişiklikleri görebileceğiniz gibi ürün bazlı raporlarda alabilirsiniz. Ben Active Directory bölümü için aşağıdaki gibi temel raporları alabiliyorum;

Tabi ki her rapor bölümü için aşağıdaki gibi detay raporlar almak mümkün;

En temel rapor örneği silinen kullanıcıları listelemek aşağıdaki gibidir;

Yukarıdaki raporda temel olarak hangi kullanıcıların, kimin tarafından hangi makine üzerinden ve ne zaman silindiğini görebiliyoruz.

Burada çok fazla rapor olduğu için hepsini tek tek anlatmak zor olacaktır. Ancak ben en çok işinize yarayacağınızı düşündüğüm raporlar ile devam edeceğim. Öncelikle tüm modifikasyonlar, yani değişiklik raporlarını atlıyorum, malum burası son derece temel anlamda kullanıcı, makine, OU, DNS objesi veya AD schema veri tabanı gibi AD içerisindeki tüm değişikliklerin izlendiği ve raporlandığı alanlardır. Hemen bir altında ise güvenlik ayarları ile ilgili güzel bir bölüm (Active Directory Security Reports) yer almaktadır.

Lepide sayesinde AD düzenli olarak yedeklenir (yapılandırma yedeği) ve bu yedekler ile örneğin şu andaki canlı sistemin izinlerinin karşılaştırılması rahatlıkla yapılabilir.

Yukarıda gördüğünüz gibi iki tarih arasında izin değişikliklerini görebiliyorsunuz. Herhangi bir değişiklik üstüne tıkladığınız da ise alt bölümde detaylı olarak neyin değiştiğini görebiliyorsunuz. Veya incelemek istediğiniz bir değişikliğin üstüne çift tıklayarak açılan yeni bir pencerede detaylı inceleme şansına sahipsiniz.

Bu bölümde buna benzer gerek izin değişiklikleri gerekse sahiplik (owner) değişikliklerini veya güncel izin, sahiplik raporlarını alabilirsiniz.

Diğer rapor örnekleri aşağıdaki gibidir;

Bir diğer kullanışlı rapor bölümü ise “Active Directory State Report” bölümüdür;

OU, kullanıcı, grup, makine ve benzeri ortamınızdaki objeler hakkında detaylı raporlar alabilirsiniz. İçeriği boş olan OU’ lar, yönetici yetkisine sahip olan kullanıcı ve gruplar, şifresi expire olmayan kullanıcılar, üyesi olmayan gruplar ve benzeri pek çok işlevsel rapor vardır. Bunlardan özellikle şifresi expire olmayan ve yönetici hakları raporları kurumsal firmalarda güvenlik standartları gereği belirli aralıklar ile alınması ve sonuncunun değerlendirilmesi gereken raporlardır.

Bu bölümün yine kurumsal firmalar için en önemli özelliği, ISO 27001 veya benzeri güvenlik standartlarına tabi olan veya bunları kullanmak isteyen şirketlerde özellikle yönetici gruplarına eklenen ve çıkarılan kullanıcıların raporlanması gerekmektedir. Yine bu bölümde kritik güvenlik grupları için tarih bazında karşılaştırma şansına sahipsiniz

Bir diğer rapor bölümünde ise şifre işlemlerini görebilirsiniz

Bu bölümde şifresi dolmak üzere olan kullanıcıların listelenmesi (gün değişkenini siz belirleyebiliyorsunuz), şifre kullanım süresi dolan kullanıcıların listelenmesi, şifresini en son kullanıcıların ne zaman değiştirdiği, bir sonraki logon işleminde şifre değiştirmesi gerekli olan kullanıcılar ve en son logon işleminde hata alan kullanıcıların raporlarını görebiliyoruz.

Bir sonraki bölüm ise yine güvenlik içi son derece önemli olan ve stale account olarak geçen yani artık geçerli olmayan eski bilgisayar ve kullanıcı hesaplarının hızlı bir şekilde tespit edilmesini sağlayan “Active Directory Cleaner” bölümüdür

Örneğin hızlı bir şekilde son 10 gündür logo olmayan kullanıcıları bulabilirsiniz

Benzer şekilde bilgisayar hesapları içinde aynı raporu çekebilirsiniz. Burada hem kullanıcı hem de bilgisayar için her şirket ihtiyacı farklı olmak ile beraber ( dönemlik personel, doğum izni ve benzeri ) 90 gün genel kabul edilmiş bir rakamdır. Özellikle makineler için bu son derece geçerli olmasına karşın disaster site olan şirketlerin kapalı olan makine hesapları için bu kontrolü dikkatli yapması gerekmektedir. Kullanıcılarda ise yine çıkan listeyi IK ile paylaşım doğum izni veya askerlik izninde olan var mı kontrol etmek gerekli.

Benzer şekilde hiç logon olmamış kullanıcı ve bilgisayar raporu da güvenlik amaçlı çok kullanışlı bir rapordur

Yine bu bölümde kullanıcıların en son güncel logon işlemini ve o hesabın yaşını alabiliyoruz.

Özetle bu bölümde sistem yöneticileri için çok değerli raporların olduğunu görebiliyoruz. Eğer bu raporlar sizin için yeterli değil ise yine özel rapor oluşturma imkanına sahibiz.

Özel rapor için bir isim veriyoruz, isterseniz bu özel raporu tüm objeler için değil sizin için kritik öneme sahip objeler için oluşturabilirsiniz.

Yine seçeceğiniz objelerin tüm öz nitelikleri için oluşturabileceğiniz gibi örneğin sadece “account” ile ilgili değişiklikleri raporlayabilirsiniz.

Son olarak ise hangi işlemlerin raporlanmasını istediğinizi seçebilirsiniz. Ancak bu rapor yukarıdaki gibi hep varsayılan şekilde tamamlarsanız aslında bu pekte özel bir rapor olmaz, bildiğiniz ortamdaki tüm değişiklikleri veren bir rapor olur J. Bu nedenle siz gerçekten takip etmek istediğiniz kullanıcı, grup, makine, ou veya benzeri kaynağı yine takip etmek istediğiniz eylem için hazırlarsanız daha doğru olur.

Özetle, Lepide ile Active Directory üzerinde olan biten her şeyi rahatlıkla takip edebileceğiniz gibi ek olarak sağlık izleme özelliği (health monitör), lock olan kullanıcıların nerende lock olduğu, stale account, grup üyelikleri değişikliklerinin takibi başta olmak üzere pek çok güvenlik temelli ek özellik sunmaktadır. Bu nedenle bu alanda çok başarılı bir ürün olduğunu ifade etmek isterim.

Makalemin bundan sonraki bölümlerinde yine Lepide ile ücretsiz olarak sunulan “Compliance Reports” bölümü ile “Permission Analysis” bölümlerini inceleyeceğim.

Eğer ürün hakkında daha fazla bilgi almak veya POC yapmak için Türkiye de ki resmi dağıtıcı ile görüşebilirsiniz.

info@itstack.com.tr ye mail atmanız halinde size en uygun bayi üzerinden POC desteği sunulacaktır.