Ce blog traite des raisons pour lesquelles l'audit d'Active Directory est nécessaire.
Qui a déplacé mon objet et autres mystères AD
Active Directory a été créé pour simplifier les services d'identité dans l'entreprise et faciliter la vie des administrateurs système partout dans le monde, mais le manque de visibilité sur les opérations AD continue d'être un point de douleur majeur. Pour une personne chargée de la maintenance d'Active Directory, il n'y a rien de plus frustrant que de ne pas pouvoir comprendre qui a effectué un changement dans Active Directory et quel était ce changement. Vous pouvez littéralement passer des heures à essayer de comprendre pourquoi un objet de stratégie de groupe est dans un état d'avertissement et ne jamais trouver la cause première. En outre, si l'excès de privilèges est courant dans un environnement, et que davantage d'utilisateurs disposent de droits d'administrateur de domaine, on peut se poser davantage de questions sur qui a fait quoi dans Active Directory. Plus récemment, des acteurs malveillants souhaitant infiltrer votre réseau utilisent de plus en plus Active Directory comme point d'appui pour des types d'attaques plus persistantes.
Lecture associée
Outre le facteur de nuisance, le fait de ne pas auditer votre environnement Active Directory met votre organisation en danger d'un point de vue opérationnel et juridique.
Voici quelques raisons pour lesquelles il est essentiel d'auditer Active Directory :
- État du système : Active Directory ne dispose pas d'outils d'alerte natifs pour vous informer de l'état de votre système. Si l'une des nombreuses fonctions de réplication d'AD est dégradée, vous risquez de ne pas vous en rendre compte avant que les utilisateurs finaux n'en subissent les conséquences. La surveillance proactive de l'état du système fournit des alertes en temps réel afin que vous puissiez prendre des mesures avant que quelqu'un ne s'en aperçoive.
- Activité suspecte : Les acteurs de la menace résident souvent dans un environnement pendant des mois avant de mener une cyberattaque. Si vous procédez à un audit actif de votre environnement Active Directory, il y a de fortes chances que vous soyez alerté d'une activité suspecte avant qu'une attaque de grande ampleur ne se produise.
- Conformité : Pour certaines institutions, l'audit des services Active Directory est désormais une obligation légale. Les réglementations, telles que la loi SOX 404, exigent que les organisations mettent en œuvre des contrôles pour s'assurer que les erreurs d'application sont identifiées et corrigées.
L'assistant d'audit Active Directory derrière le rideau
La plupart des solutions d'audit d'Active Directory se contentent de surveiller les modifications apportées au système. Toutefois, ce type d'audit n'est pas complet pour deux raisons :
- Si le suivi est désactivé ne serait-ce qu'une minute, que ce soit accidentel ou intentionnel, vous risquez de perdre de vue des événements critiques qui se déroulent dans Active Directory.
- Si un cyber-attaquant accède à AD, il peut modifier ou effacer les journaux de sécurité et dissimuler ses traces. Les enquêtes post-mortem sur les violations de Target et Sony ont montré que les attaquants ont modifié les journaux de sécurité, ce qui leur a permis de rester indétectés dans le système pendant plus de 200 jours.
Il est important que vous envisagiez plus qu'un simple mécanisme de suivi des changements pour vos audits AD. Semperis Directory Services Protector (DSP) fournit une vue fiable des modifications apportées à votre Active Directory, en corrélant les informations provenant de deux sources et en comparant les états en temps réel pour s'assurer qu'aucun événement ne passe inaperçu. Les événements sont ensuite enregistrés dans la base de données dorsale, ce qui vous permet d'effectuer des recherches en texte libre et de consulter un "téléscripteur" de toutes les activités qui ont eu lieu au cours de la période souhaitée.
DSP propose également une restauration ponctuelle qui vous permet de rétablir rapidement l'état antérieur d'Active Directory en cas de besoin. Que vous ayez besoin d'annuler une modification massive des groupes de sécurité qui a causé des ravages dans vos applications ou de restaurer un site AD supprimé qui a détruit la réplication AD, DSP peut rendre ces processus aussi simples qu'un clic de souris.
Visibilité des services Active Directory
Microsoft a conçu Active Directory pour qu'il puisse s'adapter à de nombreux changements au sein d'une organisation, et il est essentiel de détecter et d'enregistrer ces changements pour que le déploiement soit bien géré et sécurisé. Une solution complète d'audit d'Active Directory ne fournira pas seulement une visibilité sur les changements effectués dans AD, elle rendra également votre organisation plus efficace en vous alertant sur les opérations dégradées et en éliminant les heures consacrées à l'analyse des causes profondes et à la restauration. Outre la visibilité et l'efficacité, l'audit d'Active Directory est essentiel au maintien de la conformité dans de nombreux secteurs d'activité.
