LepideAuditor for Active Directory – Active Directory Auditing

 

Active Directory, günümüz şirket organizasyonlarında en temel alt yapı ürünü olup üstüne inşa edilen ve entegre çalışan diğer iş ailesi ürünleri için vazgeçilmez bir servistir. Durum böyle olunca özellikle kurumsal şirket organizasyonlarında active directory kararlı yapısı, kesintisiz desteği, disaster anındaki kurtarma senaryolarınız büyük önem taşımaktadır. Ancak buradaki tek önemli nokta kesintisiz destek ve çalışma değildir. Rutin olarak kesintisiz çalışan Active Directory yapılarındaki değişikliklerde son derece önemlidir. Özellikle verilerin büyük önem taşıdığı şirketlerde basit bir grup üyeliği değişikliği gibi görünen işlemler bile son derece kritik sonuçlara neden olabilir.

Bu nedenle kesintiye veya veri hırsızlığına ya da şirketin zararına neden olabilecek diğer sonuçların medyana gelmesinden önce bu değişikliklerin tespit edilip aksiyon alınması son derece önemlidir.

Makalenin başlığına bakarak bu ürünü lütfen sadece bir log yazılımı olarak algılamayın. Makalenin devamında bize ek olarak sunduğu özellikleri detaylandıracağım.

İşte bende tam bu noktada bir makale yazmaya karar verdim. Malum Active Directory son derece köklü ve eski bir ürün olduğu için bu konuda hali hazırda pek çok loglama ve takip yazılımı bulunmaktadır. Ben ise bu makalemde dikkatimi çeken ve sizler ile paylaşmak istediğim LepideAuditor for Active Directory ürünü hakkında detay bilgi vereceğim.

Öncelikle ihtiyaçları belirlemek son derece önemlidir, ancak ürün sağ olsun pek çok temel hareketi izlemekte ve raporlamaktadır. Bunu ürünü kurduktan sonra detaylandıracağım. Bu bilgiyi vermemdeki temel amaç bu tür projelerdeki en temel adım olan ihtiyaçları belirleme adımı aslında yaptım, ancak siz hali hazırda ürünü deneme sürümü ile kurup test edebilirsiniz.

Temel olarak ürün bize ne sağlar?

Tek bir platform üzerinden farklı domainlerin takibini yapabiliriz.

Active Directory üzerindeki tüm kullanıcı değişikliklerini alabiliriz ( kim, ne zaman ne yaptı vb ).

Agentlı veya Agentsız kurulum desteklemektedir.

İhtiyaçlarımız doğrultusunda veya mimarinin bir önceki haline göre değişiklik raporları ( snapshot bazlı ) alabiliriz.

Anlık izleme ve filtreleme seçenekleri sunmaktadır.

Hızlı veri toplama ve raporlama özelliği sunar.

Zamanlanmış raporlar ile periyodik olarak değişiklikleri takip edebiliriz.

Raporları PDF, CSV veya MHT formatında kayıt edebiliriz.

Anlık olarak tetiklenen değişiklikler için mail ile bilgilendirme yapabilmektedir.

Yapılan değişikliği geri alma özelliği sayesinde stabil çalışan AD versiyonuna dönme şansı sunar ki çok başarılı bir özelliktir J

Yapılan tüm değişiklikler için bir önceki hali ve son halini detaylı olarak gösterdiği için, diğer log yazılımlarına göre bu değişiklikleri ekrandan takip etmek son derece kolaydır.

Tüm loğlar arşivlendiği için çok büyük veri alanlarına ihtiyaç duymadan çok uzun süre bu logları saklayabiliriz.

Ve yine en beğendiğim özelliklerden biri, malum log yazılımlarının ara yüzleri genellikle karışık olur, bu ürün bu konuda çok başarılı. Çok kolay bir kullanıma sahip kullanıcı ara yüzü sunmaktadır.

Temel olarak baktığımız zaman ürün aslında Active Directory değişikliklerinin raporlanması için üretilmiş olasa da, bu değişiklikler hakkında tamamen detay bilgiye sahip olduğu için bu bilgiyi kullanarak aslında temelde bize iki özellik sunmaktadır.

 

Active Directory Change Tracking – Bu konuyu zaten temel olarak detaylandırdık.

Active Directory Change Control – Bu ise yine özet geçmiş olsam da burada tekrar yazmak istediğim bir konu. Change Control özelliği sayesinde yanlışlıkla yapılan silme veya değiştirme işlemlerinde rollback özelliği sunmaktadır.

Ürünü aşağıdaki linkten indirebilirsiniz

https://www.lepide.com/active-directory-audit/download.html

Tabiki ürünü kurmadan önce hangi sürümleri desteklediğini ve sistem gereksinimlerini paylaşmak istiyorum.

clip_image002

 

Gelelim kurulum aşamasına.

Kurulum ürünün bize sunduğu özellikleri düşündüğünüz zaman son derece kolay ve pratik bir şekilde gerçekleşmektedir

clip_image004

 

clip_image006

 

clip_image008

 

clip_image010

 

Kurulum tamamlandı.

Sorunsuz bir şekilde kurulup kurulmadığını isterseniz Windows Event loglarından da kontrol edebilirsiniz.

 

Şimdi konsolu açıyorum

clip_image012

 

Bu aşamada Domain Controller bilgisini elle yazabilirsiniz veya “Discover ADS” diyerek sistemin Domain mimarisini kendi bulmasını sağlayabiliriz.

Örneğin ben denedim ve kendisi benim Domain ismimi buldu. Yani sağlıklı bir şekilde çalışıyor J

 

Bağlantı için gerekli olan Domain Admins grubu üyesi bir kullanıcı bilgisi veriyorum.

Hemen alt bölümde ise bir kutucuk bulunmaktadır

Use Agent to capture changes

 

clip_image014

 

Makalemin başında da söylediğim gibi bu program bilgi toplamak için agent’ a ihtiyaç duymamaktadır. Ancak bazı durumlar için, örneğin güvenlik izinleri, firewall veya başka bir neden ile uzak erişimde sorun olması halinde kesin ve net bilgi akışı için uzak makineye agent kurma şansınız da bulunmaktadır. Ben ilk DC için agentsız kurulumu yapacağım, ikinci dc için ise agentlı kurulum yapacağım.

Bu işlemden sonra yazılımın bir kapatıp açılması talebi karşınıza gelecektir ki bunu onaylayın lütfen.

 

clip_image016

 

Yaptığımız değişikliği hemen “Settings” menüsünden kontrol edebiliriz.

 

clip_image018

 

Ajansız olarak bu domain için sistem şu anda aktif.

Ortamda iki tane domain controller bulunmaktadır.

 

clip_image020

 

Ben programı kullanmaya başlamadan önce lisans tanımlamalarını yapıyorum. Program kullanıcı bazlı olarak lisanslanmaktadır.

Eğer lisans yüklemesi yapmazsanız programı kullanma imkanınız yoktur.

clip_image022

 

Gördüğünüz gibi Dashboard ekranında lisans uyarısı gelmektedir.

 

clip_image024

Bunun için sırası ile

License Information – Get Quote ve ardından 3 kişi için ( bende demo ortamında 3 kişi var ) “Generate License Request” düğmesine basıyoruz.

 

clip_image026

Oluşan lisans dosyasının sales@lepide.com a mail olarak gönderiyoruz.

 

Gelen lisans dosyasını yüklüyoruz;

clip_image028

 

clip_image030

clip_image032

Lisans yüklemesi sonrasında “Dashboard” kısmına geliyorum ve rapor pencerelerini yeniliyorum.

clip_image034

 

Yukarıda gördüğünüz gibi artık raporlar gelmeye başladı.

Hemen bu raporların altında ise bu bilgileri hangi aralıklar ile aldığının detaylarını görebilirsiniz.

clip_image036

Bu ilk ekranda değişikliklerin toplandığı saatleri görebiliriz. İstersek elle anında toplama işlemi yaptırabiliriz. (Active Directory Change Tracking )

clip_image038

Bu ekranda ise malum ürünün bir diğer özelliği olan Active Directory Change Control yani yapılan değişikliklerin geri alınması için belirli aralıklar ile var olan konfigürasyonun yedeği alınmaktadır.

Yeri gelmişken hemen bu tür bilgileri nerede saklıyor program onu görelim.

Ayarlar menüsüne geliyoruz.

clip_image040

Ayarlar menüsünde ikinci seçenek olan “Changes Collection Management” bölümüne tıkladığımız zaman hangi dizinde verilerin saklandığını, değişikliklerin hangi sıklıkla DC’ lerden çekileceğini, snapshotların hangi sıklıkla alınacağını değiştirebiliyoruz.

clip_image042

Dizin içerisi yukarıdaki gibidir. Snapshot ve diğer bilgileri ise domain ismini taşıyan klasör içerisinde tutmaktadır.

clip_image044

Bir sonraki bölüm “Alert” bölümü olup burada kendimiz için kritik gördüğümüz aksiyonların gerçekleşmesi durumunda bize bilgi vermesi için uyarılar oluşturabiliyoruz.

 

clip_image046

 

Örneğin ben bir silme işlemi için uyarı oluşturuyorum.

clip_image048

 

Mail tanımı yapıyorum.

clip_image050

 

clip_image052

 

Mail ayarı sonrasında bu uyarının kimlere ve hangi uyarı tipinde ( hata, bilgi, kritik vb ) gideceğini belirliyoruz.

Son olarak bu oluşturduğum alert için bir isim verip işlemi tamamlıyorum. Ardından alert menüsünde sol alt köşede oluşturmuş olduğum uyarıları görebiliyorum.

 

clip_image054

Bu uyarıların gönderilip gönderilmediğini de takip edebilirsiniz.

Örneğin ben “serkan” isimli kullanıcıyı sildim, bu durumda bana bir mail gelmesi gerekli, ama gelmedi bakalım durumu neymiş?

clip_image056

 

Gerek Alert bölümünde gerekse aşağıdaki gibi dashboard bölümünde bunun gönderilmediğini görebiliyoruz.

clip_image058

Tabiki bu mail’ in gönderilmemesi bu tür olayların kayıt edilmediği anlamına gelmiyor, bu uyarı detaylarını görmek için alert sekmesinden ilgili uyarının üzerine tıklamak yeterlidir.

clip_image060

 

Yukarıdaki gibi detay sayfasını göreceksiniz. Bu sayede uyarıları buradan da takip edebilirsiniz.

clip_image062

Raporu eml formatında kayıt edebiliyoruz, bu sayede mail okuma yazılımları ile de açabiliyorum.

clip_image064

 

Yine anlatacağım bir bölüm olduğu için hemen Reports sekmesine tıklayalım.

clip_image066

Bu bölümü çok seviyorum, çünkü pek çok rutin ve her an ihtiyaç duyacağınız raporlar şablon halinde hazır. Örneğin en son yaptığım silme işleminin hızlıca bir raporunu alalım.

clip_image068

Gördüğünüz gibi hazır şablonlardan ihtiyaç duyduğum herhangi birine tıklamam yeterli, son derece hızlı bir şekilde bana rapor sunmaktadır. İsterseniz raporun tarih aralığını değiştirebilirsiniz. Yine bu raporun sonuçlarını kayıt edebilirsiniz. Grafik ekranın alt bölümünde son derece dinamik bir bölüm var, burada istediğiniz gibi filtreleme yapabilirsiniz.

Bu bölümde zaten hazır raporların kullanılması son derece kolaydır.

Yine bu bölümde önemli bir özellik daha bulunmaktadır. Aldığımız snapshot ları görüntüleme.

clip_image070

Burada “Explore” dedikten sonra aşağıdaki dizini gösteriyoruz ( kurulum dizini )

C:\Program Files (x86)\LepideAuditor for Active Directory

 

clip_image072

Yukarıdaki gibi bir ekran açılmaktadır. Bu ekran mevcut snapshotların içeriğini görüntülemektedir.

Örneğin ben serkan kullanıcısını silmiştim, şimdi bakalım onu görebilecek miyiz?

clip_image074

Burada gördüğünüz gibi Domain’ in ilk kurulduğu zaman için herhangi bir ek kullanıcı yok.

clip_image076

İkinci alınan snapshot ise ( hatırlarsanız 6 saate bir alınıyordu ) yukarıda gördüğünüz gibi yeni kullanıcıları içermektedir.

clip_image078

Son alınan snapshot ise “serkan” kullanıcısı yok iken yeni açılan “mesut” kullanıcısını içermektedir.

 

Bir sonraki bölümde ise “Schedule Reports Management” ile rapor yönetimini gerçekleştirebiliyoruz.

Bu bölüm son derece kullanışlı ve beğendiğim bölümlerden biridir. Malum rapor her zaman önemli ancak önemli olduğu kadar karışık olmasına karşın Lepide sayesinde şablon raporları kullanarak hızlıca rapor hazırlayabiliyoruz.

clip_image080

 

clip_image082

 

Yukarıda da gördüğünüz gibi en son kullanıcı oluşturma işlemi için isterseniz belirli kişileri raporlayabilirsiniz. Yani tüm kullanıcı oluşturma işlemleri değil de sadece “Hakan” kullanıcısı tarafından oluşturulan kullanıcıları listeleyebilirsiniz.

clip_image084

Ben burada örneğin “administrator” kullanıcısı tarafından oluşturulan diyerek bir filtreleme yaptım.

clip_image086

E-mail ayarlarını yapıyorum.

clip_image088

Raporu hangi sıklıkla hazırlayacağımızı seçiyoruz.

clip_image090

Son olarak rapor’ a bir isim veriyorum.

Şimdi ise ürünün bir diğer özelliği olan yedekleme özelliğini inceleyeceğiz.

Her zaman söylediğim gibi burada da ek olarak bu bilgiyi vermek istiyorum. System State yedeğinizi bu tarz yedeklere rağmen mutlaka kullanın. Çünkü en sağlam yedek system state ( tercihen bare metal ) olup bunlar alternatif yöntemlerdir.

Peki, şimdi ilk olarak AD yapımıza bir bakalım

clip_image092

DENEME isimli OU ve içerisindeki “Hasan Uzuner” isimli kullanıcıyı silelim. Ancak bu işlemden önce sağlıklı bir snapshot alındığını dashboard üzerinden kontrol edelim ( malum 6 saatte bir alacak şekilde ayarladığım için bu OU yu açmadan önce almış ise, bu alınan snapshot işime yaramaz. )

clip_image094

Eğer elle almak isterseniz “Collect Snapshot Now” diyebilirsiniz. Şimdi Hasan kullanıcısını silelim.

clip_image096

Şimdi ise geri getirelim J

clip_image098

 

Sol tarafta mevcut yedekleriniz bulunmaktadır.

clip_image100

Örneğin en son sildiğim Hasan kullanıcısının içinde bulunduğu snapshot için yedekten dönme işlemini yapıyorum.

Bunun için ilgili kullanıcı veya objenin bulunduğu snapshot dosyasını tespit ediyoruz. Sonra bu bölümdeki aşağıda yer alan butona tıklıyoruz.

 

clip_image102

 

clip_image104

Bu bölümde ise sunucu yani domain ismi ve hangi snapshot’ a ihtiyaç duyuyorsanız bunu seçiyoruz.

clip_image106

Bu snapshot ile mevcut durum arasındaki fark hemen çıkıyor. Ben de zaten silinmiş olan bu kullanıcıyı geri getirmek istiyorum.

 

clip_image108

 

clip_image110

 

clip_image112

Dönme işlemini başarı ile tamamladık, şimdi kontrol edelim.

clip_image114

Dikkat ederseniz hesap geldi ancak disable, çünkü şifresi yok, bunun temel sebebi ise bu yedekten geri dönme işlemi değil aslında, reanimation olarak bilinen bir işler. Bu süreçte kullanıcıya ait olan tüm öznitelikler (atrribute) değil sadece aşağıdaki öz nitelikler geri yüklenmektedir.

clip_image116

 

Yani makalemin önceki bölümlerinde de söylediğim gibi yedekleme için mutlaka System state kullanmanız gerekmektedir. Bu tür basit geri dönüşler için ise Active Directory RecycleBin özelliğini kullanabilirsiniz.

Evet, bir makalenin daha sonuna geldik. Genel anlamda sektörde loglama noktasında pek çok yazılım bulunmaktadır, ancak günün sonunda bu yazılımlar son derece karmaşık ara yüzler, karmaşık alt yapılara ve yüksek lisans ücretlerine sahiptir.

Son derece düşük bir konfigürasyonda çalışan, mütevazı, kolay kullanılan, hızlı ve pratik bir yazılım. Ben pek çok Kobi nin bu yazılımı alıp kullanabileceğini düşünüyorum. Hatta tavsiye ediyorum J

Ürün hakkında daha fazla bilgi veya sipariş için aşağıdaki linki inceleyebilirsiniz.

https://www.lepide.com/active-directory-audit/

Bir sonraki makalemizde görüşmek üzere.

Eğer ürün hakkında daha fazla bilgi almak veya POC yapmak için Türkiye de ki resmi dağıtıcı ile görüşebilirsiniz.

info@itstack.com.tr ye mail atmanız halinde size en uygun bayi üzerinden POC desteği sunulacaktır.