La capacité à collecter, gérer et analyser les journaux des événements de connexion a toujours été une bonne source d'informations de dépannage et de diagnostic. Les ouvertures de session sont l'activité commune dans presque tous les modèles d'attaque. Ils fournissent l'un des indicateurs de compromission les plus clairs pour aider à protéger les données de l'entreprise et contrecarrer les attaques. La nécessité de fournir un audit centralisé sur tous les historiques de connexion des utilisateurs Active Directory est également un composant obligatoire de nombreuses normes de sécurité et politiques de gouvernance.
Avec UserLock vous pouvez être sûr d'obtenir rapidement les événements d'audit nécessaires et éviter un tsunami du journal des événements:
- Tous les événements d'accès (des utilisateurs Windows et Mac) sur toutes les machines et tous les types de session (Interactive, Wi-Fi, VPN et IIS) sont enregistrés en temps réel dans une base de données pour fournir un audit central sur le réseau.
- Un filtrage et une recherche puissants vous permettent de vous concentrer uniquement sur des informations pertinentes.
- UserLock est suffisamment évolutif, ce qui signifie qu'il fonctionne de la même manière si vous avez 100 ou 100 000 utilisateurs.
- UserLock est inviolable - contrairement à la facilité d'effacer les journaux dans Active Directory natif. Avec UserLock, toute l'activité de l'administrateur est auditée de manière stricte et archivée de manière sécurisée.
- L'installation de UserLock prend quelques minutes et peut être effectuée sur n'importe quel membre du serveur du domaine. Il n'y a aucune obligation d'utiliser un serveur contrôleur de domaine.
- UserLock est une technologie non perturbatrice qui ne vous contrariera pas. En tant qu'application serveur client, elle fonctionne avec Active Directory pour étendre et non remplacer la sécurité. Aucune modification n'est apportée à Active Directory ou à son schéma.
Des rapports complets sur chaque événement d'accès à une session
Lorsqu'il s'agit d'un historique complet du comportement de connexion de tous les utilisateurs du domaine, UserLock recueille un large éventail de paramètres d'événement pour chaque compte du domaine. Chacun de ces paramètres peut être ajouté aux rapports et filtré pour générer votre propre rapport historique. Toutes les tentatives de connexions réussies et échouées peuvent être incluses. La raison des ouvertures de session rejetées par Active Directory et par les restrictions propres à UserLock est également détaillée.
Les utilisateurs privilégiés peuvent également être étroitement surveillés. Un historique complet de toutes les connexions utilisateur système et administrateur aide à protéger à la fois l'organisation et l'administrateur. Par exemple, s'il y a eu un incident, l'administrateur peut facilement démontrer que ce n'est pas lui qui a utilisé le compte administrateur ou le compte de service pour accéder aux données ou au système.
Tout l'historique des sessions utilisateur Active Directory:
Les rapports sont configurés facilement dans la console UserLock
Les filtres de rapports communs incluent des paramètres de temps - particulièrement importants en termes de lisibilité du rapport. Vous pouvez également auditer les journaux par entité spécifique - autre que les utilisateurs - par exemple par groupe ou unité d'organisation. Vous pouvez également choisir de créer un rapport sur une base de données archivée en modifiant la source cible de la base de données.
Planifier des rapports
Un historique complet de toutes les connexions pour un utilisateur et / ou pour une machine peut également être facilement programmé pour être envoyé directement dans votre boîte aux lettres. Ceci est particulièrement utile si vous devez consulter régulièrement un rapport, par exemple l'historique des sessions de la dernière semaine.
Nouveaux rapports prédéfinis sur des types spécifiques de connexions et de tentatives de connexion.
Rapport sur tous les utilisateurs du domaine avec des sessions simultanées ouvertes au cours d'une journée donnée:
Rapport sur l'historique de toutes les sessions aux serveurs Microsoft IIS (par exemple, les applications Web telles qu'Outlook Web Access):
Signaler toutes les tentatives d'accès rejetées par Active Directory. Cela inclut les tentatives de connexion échouées multiples:
L'audit centralisé de UserLock sur tous les événements de connexion au réseau vous permet de générer facilement des rapports détaillés pour traquer les menaces de sécurité, supporter les investigations et prouver la conformité réglementaire.
Mais UserLock ne s'arrête pas à l'audit. La connexion est le point le plus important à la fois pour surveiller et empêcher l'accès potentiellement inapproprié de se produire.
Grâce à des alertes de surveillance et d'accès en temps réel, vous pouvez ajouter une autre couche à votre stratégie de sécurité: la détection, et grâce aux restrictions de connexion contextuelle de UserLock (heure, machines, nombre de connexions simultanées, etc.) vous pouvez empêcher l'utilisation inappropriée des identifiants et déplacer le modèle vers un modèle de prévention.