EnCase para Auditores de TI: Auditando E Validando Contas de Usuários (Windows)



A validação das contas de usuário é um  componente crítico na  maioria de infra-estruturas de auditoria e cumprimento de TI. Enquanto que aí  há muitas ferramentas para auditar as contas de usuário diretamente no controlador de domínio, muitas das atividades e evidências associadas com o  uso não autorizado das contas de usuário sucedem no dispositivo. É assim que as atividades de auditoria de contas de usuário no dispositivo na maioria das organizações, que amiúde estão  feitas  através de uma amostra aleatória de dispositivos como uma auditoria completa da  conta de usuário no dispositivo, se considera que consumirão mais tempo.  

As contas de  usuário não autorizadas são amiúde  um indicador de outras atividades maliciosas. Estas atividades podem incluir qualquer  uma das que seguem:

-          Acesso de usuários a servidores, computadores ou outros recursos de trabalho Não Autorizados.

-          Abuso dos recursos de cômputo pelos administradores do sistema. 

-          Abuso dos privilegios administrativos.

-          Criação de contas locais não autorizadas para ocultar atividades de usuários desde o domínio de monitoria.

-          Atividade de malware.



Este artigo de blog é o primeiro de una série que ressalta como EnCase pode ajudar aos auditores de TI. Esta primeira postagem  está focada em oferecer um panorama de como EnCase eDiscovery pode prover rapidamente uma visibilidade completa e um informe da atividades da conta de usuário em centenas ou inclusive milhões de computadores dentro de uma organização. Especificamente para ajudar aos auditores de TI a realizar uma validação compreensível.

Concretamente miraremos como auditar contas de usuário que foram criadas ou existem nos dispositivos (amiúde fora da vista de outras ferramentas de segurança), auditando as atividades das contas de usuário em dispositivos de maneira que se possa escalar a centenas  ou milhões de computadores. Também discutiremos como os auditores de TI podem verificar pastas rapidamente ou inclusive documentar níveis de permissões em cada computador em sua rede de trabalho.

Comecemos…

Auditando Redes de Trabalho e Contas de Usuários Locais nos Dispositivos

EnCase eDiscovery pode escalar até prover uma lista de SIDs ou contas de usuário que são de domínio local em cada máquina da organização. Esta seção se refere especificamente à máquinas de Windows, mas nenhum sistema operativo que ofereça apoio a um servlet pode ser auditado (Linux, Mac, AIX, etc.). Um informe pode ser gerado por uma simples máquina, um subgrupo de máquinas ou por todas as máquinas de uma empresa (para fins investigativos) e os resultados podem ser comparados contra uma lista de redes e contas locais autorizadas. 




Como un exemplo, auditar redes  e contas locais em máquinas de Windows é fácil.

-          Criar um trabalho de escâner com EnCase eDiscovery  usando a opção de busca de registro contra todas as máquinas de Windows que se desejam auditar.

-          O trabalho correrá contra a seguinte chave no registro de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

-          Isto  gerará uma lista de chaves que representam os  SIDs de Usuários que ha logado dentro de cada máquina de Windows.

-          O segundo nível incluirá o valor para ProfileImagePath que conterá o nome de usuário para o SID.

Os auditores de TI podem comparar a lista de contas esperadas contra as contas atuais para identificar a criação de contas não autorizadas ou indicadores de atividade por um usuário, computador ou rede de trabalho não autorizada. Estes informes podem ser exportados a Excel para seu uso em outros documentos de auditoria.

Auditando Atividades de Contas de Usuário em Dispositivos 

Uma vez que comparamos as listas de contas esperadas versus contas atuais, poderemos auditar máquinas, subgrupos de máquinas ou simplesmente dispositivos que tenham indicadores de atividades suspeitosas de contas de usuários.



A  Auditoria de Atividade de Usuários em Dispositivos é um  processo fácil de apenas dois passos:


-          Cria um trabalho de coleta que recopila todos os arquivos EVT e EVTX desejados nos dispositivos de Windows esperadas.
-          Arrasta e Solta o arquivo coletado dentro de EnCase Enterprise, o qual  está incluído com EnCase eDiscovery.
-          Processa o arquivo coletado usando o Módulo de Análise de Eventos de Arquivos de Registro de Windows (isto poderia incluir a busca por critério dentro dos eventos de arquivo de registro tais como:  ingressos, saídas,criação ou apagado de contas de usuário, por exemplo).  
-          Gera um informe para uso em outros documentos de auditoria.

Auditando Contas de Usuário e seus Privilégios de Acesso a Documentos e Pastas nos Dispositivos  

EnCase eDiscovery pode auditar rapidamente as contas de usuário com privilégios de acesso a documentos a través de centenas ou milhões de dispositivos. Futuros artigos abordarão mais  detalhadamente tais assuntos, mas EnCase pode gerar critérios de busca para prover visibilidade rápida e escalável que nos leve aos privilégios das contas de usuário.

Alguma informação dos privilégios que podem ser incluídos, excluídos ou combinados como parte do critério de busca de EnCase eDiscovery em um trabalho de coleta,  pode incluir o seguinte:  


-          SID de Usuário ou Grupo
-          Nome do Grupo do Diretório Ativo (Administradores, etc.)
-          Propriedade (Permitida, Denegada, de Grupo, Própria, etc.)
-          Nível de Privilégio (leitura, escritura, controle total, etc.)

Isto significa que os auditores de TI podem gerar critérios de busca interessantes tais como os que seguem:

“Mostra-me todos os documentos que são de propriedade (ou criados) por um ID de usuário, mas que não estão incluídos na lista de contas de usuário autorizadas”


“Mostra-me todas as pastas  e documentos pelos quais este grupo de Diretório Ativo teve acesso a qualquer dispositivo”


“Mostra-me qualquer usuário que tenha controle total de uma pasta  ou máquina que não seja a de sua máquina de casa”


“Mostra-me qualquer conta de Administrador exceto por este grupo de contas específicas que têm acesso a documentos ou pastas naqueles dispositivos com informação confidencial”

A lista é infinita. O privilégio de critérios específicos pode estar incluído em mais critérios de busca ou  capturas tradicionais de Encase para fazer atividades fora das normas óbvias do auditor de TI.

Conclusão

EnCase eDiscovery pode ser uma ferramenta poderosa nas mãos de um auditor de TI. Este artigo de blog somente tocou sobre um assunto: contas de usuário. As ferramentas e métodos nomeados acima podem ser  aprendidos ou pré-configurados rapidamente para correr , inclusive , por auditores não-técnicos. 

É importante notar que o produto EnCase Cybersecurity pode, ademais,  realizar os tipos de auditorias já citadas anteriormente. Em grandes empresas ou organizações, a equipe de auditoria de TI pode compartir a infra-estrutura de EnCase com outros equipamentos, tais como segurança de TI, fraude, legal, etc. , e simplesmente desenvolver critérios específicos para auditoria de IT usando seu próprio examinador de EnCase.  

Com EnCase, centenas e milhões  de computadores podem ser auditados com rapidez contra diferentes padrões de auditoria para identificar vulnerabilidades para  a fraude e o abuso ...e sua equipe de auditoria de TI pode prover mais auditorias compreensíveis dentro de sua empresa.


RELACIONADOS









No comments :

Post a Comment