运维有小邓

  一、 实时监控用户登录 操作 用户登录到其域计算机是在任何企业都会发生的日常活动。一开始，这看起来可能是一个简单的 Active Directory 事件，但分配有不同角色的管理员可将这个宝贵的数据用于各种审核、合规和操作需求。企业需要有关“AD用户登录日志”的审核详情以满足以下一个或多个操作需求。 ◆验证给定审核间隔/每个月的员工缺勤/出勤。 ◆确定在给定时刻可以访问Active Directory网络的用户总数。 ◆找到通过远程网络计算机访问工作站或域控制器的用户。 ◆确定域中所有用户的峰值登录次数。 ◆查看是谁最后登录到关键域计算机。 ◆确定是否有任何用户（不法之徒）正尝试登录到他/她并不具备权限的计算机。（例如：Active Directory中的域控制器登录/成员服务器登录将需要提升权限。） ◆查看域中任何用户的完整登录历史，即当您怀疑可疑的员工以及计算机、组和员工在任职期间管理、访问或修改的其他用户帐户等Active Directory域对象时要有证据。 用户登录 除了列出来的这些项，Active Directory网络中还有更多实际需求需要有关域帐户登录的审核信息。ADAudit Plus帐户登录报表可方便地用于克服帐户登录审核挑战。它提供许多实时的预配置报表，这些报表以所需的格式提供有关登录审核问题的答案并增强Active Directory审核体验。自定义报表工具让该软件更受欢迎，例如，可以定义任何登录操作并作为报表来查看。 二、为什么本机Active Directory被认为不足以进行用户登录审核？ 每个‘AD登录日志’都会连续记录在Active Directory域控制器(DC)的安全日志中。此数据记录在本机Active Directory域控制器中 ◆需要具备专门知识才能理解，因为它涉及对特定事件编号的理解及其与登录操作的关联。 ◆数量庞大 - Active Directory对象上的每个登录活动连续记录在域控制器中，此事件日志数据累积为巨量的数据。 ◆限制访问 - 域控制器是Active Directory基础设施的关键组件，仅限所选的管理用户访问。 ADAudit Plus 本机Active Directory的其他限制包括：审核员、经理和人力资源职员等非管理用户无法跟踪任何所需的登录操作。有些关键登录事件（例如，登录到域控制...

  ManageEngine致力于持续提供不断发展的、轻松的安全信息和事件管理（ SIEM ）解决方案。我们相信，能够连续四次获得Gartner MQ认可，表明我们的方案是值得信赖的。  ManageEngine的旗舰SIEM产品 Log360 作为安全审核和合规性管理解决方案已经满足了动态变化的网络安全市场需求。Log360现在更是具有了高级威胁检测分析、 用户和实体行为分析 （UEBA）、事件管理系统及云安全模块等。    No.1先进的 威胁检测  Log360通过其强大的情报系统和实时关联引擎能够立即检测到潜在威胁，从而缩短了攻击停留时间。使用灵活的关联规则向导和实时警报控制台，极大的缓解了已知的攻击模式，并可以设置告警以实时发现异常。  No.2直观的安全分析模块  Log360内置1,000多种报表，交互式操作页和警报配置文件，所有这些都涵盖了大多数企业的基本安全、 审计和合规性需求 。  No.3 UEBA，AI算法提供支持  利用由AI算法提供支持的内置UEBA引擎，可以快速发现用户行为异常，例如异常用户登录，登录失败，异常用户访问等。  No.4快速部署  Log360的部署十分快速，它的自动设备发现功能使您可以在网络中快速添加设备以进行监视。  No.5物理，虚拟和云环境全面覆盖  我们知道大多数企业网络是物理，虚拟和云组件的组合。因此，我们为Log360配备了审核所有这些平台的功能。无论您使用的是Windows，Linux服务器，Hyper-V计算机，Azure，Amazon云平台，还是Salesforce云应用程序，Log360都可以为您简化安全审核和合规性管理。 No.6安全协同 Log360可以与您的其他IT支点（例如帮助台软件和 Active Directory ）进行通信，从而为IT安全提供了一种整体方法。通过在帮助台软件中针对网络中检测到的每个威胁提供故障单，从而提高安全事件过程中的安全级别。

  目前客户端使用较多的是轻型目录访问协议（LDAP），来访问目录服务器保存的数据。客户端和应用程序使用LDAP绑定通过Windows   Active Directory （AD）进行身份验证。 LDAP绑定操作有多种，包括： A.简单的LDAP绑定，其中凭据以明文形式通过网络传输，且不安全。 B.未签名的身份验证和安全层（SASL）LDAP绑定，也不安全。 C.已签名的SASL LDAP绑定，这需要签名但很安全。 D.安全接收层/传输层上的LDAP安全，也称为 LDAPS bind，它是加密的也是安全的。 E.域控制器（DC）容易受到攻击，因为它们允许LDAP客户端通过简单的LDAP绑定和不需要签名的SASL LDAP绑定与它们进行通信。 F.简单的LDAP绑定允许如域管理员之类的特权帐户用其凭据来遍历网络，而未签名的SASL LDAP绑定允许任何人在客户端和DC之间捕获数据包，更改数据包，转发数据包。这两种情况都可能带来灾难性的后果，此时，您环境中的DC很有可能有不安全的LDAP绑定。 如何检测不安全的LDAP绑定 缓解此漏洞的第一步是确定您是否受到影响，可以通过查看事件ID 2887来做到这一点。 默认情况下，每24小时在DC中记录一次事件2887，它显示未签名和明文绑定到DC的数量。大于零的任何数字表示您的DC有不安全的LDAP绑定。 然后，您需要通过查看事件ID 2889来检测不安全绑定的所有设备和应用程序。 客户端每次尝试进行未签名的LDAP绑定时，DC中都会记录事件2889，它显示尝试通过未签名的LDAP绑定进行身份验证的计算机的IP地址和帐户名。 注意：默认情况下不会记录此事件，并且需要启用适当的诊断。 ADAudit Plus 如何帮助加快检测速度 使用PowerShell脚本从记录的2887和2889事件中解析和提取相关数据需要专业知识和时间，ADAudit Plus会从您域中所有DC收集这些事件，并提供报告，以查明使用不安全LDAP绑定的设备和应用程序。 报告中的详细信息包括IP地址、端口、用户名和绑定类型。此外，您还可以配置ADAudit Plus，以在尝试使用不安全绑定进行身份验证时通过电子邮件和SMS提醒您。 只需单击几下鼠标，即可确定您的DC是否允许不安全的绑定，并检测因此而容易受到攻击的设备和应用程序。 注意：使用...

  一、 SIEM 包括两个功能： 安全信息管理(SIM): SIM涉及所有网络活动的收集。这包括从服务器、防火墙、域控制器、路由器、数据库和网络流收集的 日志数据 ，以及网络中的非结构化数据，如电子邮件。可以使用两种技术收集日志数据，即无代理收集和基于代理的收集。 基于代理的 日志收集: 这种方法要求在每台设备上部署一个代理。代理收集日志，然后在将日志返回到SIEM服务器之前对其进行分析和过滤。这种技术主要用于封闭且安全的网络，例如通信受限的非军事化区(DMZ)。 无代理日志收集 :这是一种更常用的方法，SIEM服务器使用安全通信通道(如使用安全协议的特定端口)自动收集设备生成的日志。 安全事件管理(SEM): SEM是指对收集的数据进行分析。使用各种技术分析数据，发送告警，和/或针对任何异常行为启动工作流。 分析过程包括: 日志关联 ：分析所有收集的数据，并将日志相互关联，以检测任何攻击模式。日志数据还可以与威胁源相关联，以检测妥协指标(IOC)。 威胁情报：上下文威胁信息用于检测网络中发生的任何入侵、横向移动或数据泄露。 基于机器学习的用户行为分析：机器学习算法和分析工具可以形成用户行为模式的基线。如果行为出现偏差，SIEM解决方案将检测到异常，发出警报，及时对安全威胁进行防范。 通过上述技术获得的数据会以条形图或饼图的形式呈现，这使得IT安全管理员可以更快、更容易地做出决策。   二、让我们一起看一下SIEM针对暴力破解的经典应用场景： 一分钟内输入五次不正确的网络访问密码。这被认为是低优先级攻击，因为用户可能多次输入了错误的密码。 现在想想一分钟内如果输入240次错误密码的情况。那这极有可能是一种暴力攻击，黑客正试图破解您的账号。 三、让我们再看看SIEM是如何发出告警的： 一分钟内输入错误密码240次将显示：登录失败，事件ID 4625 在240次失败尝试后输入正确的密码将显示：登录成功，事件ID 4624 发出告警:网络中可能存在暴力攻击。 SIEM软件可以检测这种暴力攻击，通知IT安全管理员，并自动启动工作流来锁定帐户并隔离发生事件的计算机。 EventLog Analyzer 是一款 日志管理和分析工具 ，可以实现快速、简便地检测网络威胁。这款SIEM解决方案可以识别任何IT资源生成的日志并进行可视化分析。可以轻松扩展至任何IT网...

  尊敬的管理员： 请为以下新员工创建 Active Directory 帐户、云应用程序帐户、主文件夹、邮箱和其他账户。附件是100个新成员的列表。 以上内容是人力资源给IT管理员发送的一封邮件。 创建大量新用户，会不会令您很烦恼？ 手动创建大量Active Directory（AD）用户是一个耗时且容易出错的过程，但是，不用担心，通过使用 CSV文件 就能批量导Active Directory用户入，轻松完成。 在这里，笔者将说明如何使用PowerShell 批量创建Active Directory用户 ，笔者还将介绍如何在AD中自动添加大量用户，以及如何构建自定义工作流以简化创建过程。 如何使用PowerShell在Active Directory中批量创建用户 创建新用户帐户所需的CSV文件必须包含以下字段，如此处的示例CSV文件所示：  运行脚本bulkimport.ps，如下图所示，将在Active Directory中创建这些CSV条目。作为一种良好的安全做法，该脚本将使帐户所有者可以在下次登录时默认重置密码，此过程的复杂性可能会因企业的设置不同而有所区别。  您可以运行PowerShell脚本并在Active Directory中同时设置新用户，而不用手动进行设置。为了进一步简化批量用户创建，您还可以安排脚本定期运行。 使用 ADManager Plus 从CSV批量导入用户 尽管以上步骤可以实现批量用户创建，但是企业实际需要的是HR部门或者IT管理员能够直接在UI界面批量创建或修改用户，而不必编写PowerShell脚本。这是ADManager Plus之类的工具价值所在，可帮助管理员自动执行此批量用户创建。 在用户自动化管理过程中， ADManager Plus能够科学的创建审批工作流，对重要操作进行审批，确保重要操作零失误，这将使用户创建无误。管理员可以设置工作流由谁发起，由谁审查，有谁批准。

  当员工离职时，他们的帐户仍会保留在 Active Directory （ AD域 ）中，如果不刻意关注则较难发现。该帐密一直保存，这也成为了潜在危害。为了安全起见，企业应对不活动或过期用户帐户进行清理。 Microsoft允许管理员使用用户和计算机（ADUC）工具中的查询功能来跟踪不活动用户。管理员可以创建一个查询，并根据上次登录时间设置该账户闲置情况，如图1所示。   图1. Microsoft查询功能列出非活动用户 从非活动用户列表中可以看到，管理员可以为单个用户执行任务，如“禁用帐户”、“重置帐户”和“移动账户”。但如果要进行批量用户操作则会受到限制，也无法将历史操作数据生成报告通知您。如图2所示。  图2.可以使用ADUC工具对非活动用户帐户执行操作 完美的解决方案可以使管理员做到这些： 1、针对特定时间未登录用户生成“非活动用户”报告。如图3所示。  图3.在ADManager Plus中生成“非活动/休眠用户”报告 2、以易用的格式导出报告（CSV/PDF/XLSX/HTML/CSVDE..），方便管理员采取管理操作，包括批量管理、增删改查等。如图4所示。  图4.在ADManager Plus中对用户帐户执行批量修改 3、每天或每周自动生成AD报表，然后将其发送至您邮箱中。 4、自动化日常任务：您可以自己配置一个策略，该策略可以从“不活动用户”报表中获取帐户，并自动移动到单独OU，被禁用后，如果仍处于不活动状态，后续可以自动删除。如图5所示。 图5.在ADManager Plus中配置自动化策略 这就是关键，ADUC无法完成上述所有任务，但是 ADManager Plus 却可以。正常情况下，ADUC只能对单个AD账户进行管理，而使用ADManager Plus，管理员可以直接从报表中对多个帐户进行批量操作，如增删改查，还可以为多个用户重置密码，自主配置计划清除不活动用户。这样不仅大大简化了管理员的工作，也能让管理员专注其它任务。

  一般来说，管理员通常不会备份 组策略 对象，这就是一个常见错误，因为一旦遇到突发事件，会很难及时恢复。 而为什么管理员会忽略这个小问题？ 因为微软本身提供了组策略对象备份与恢复功能，但十分有限。 因此所有管理员在操作组策略对象时可以借鉴以下操作： 1. 每天备份所有组策略对象。 2. 制定 组策略对象操作报表 。 3. 实时设置组策略对象恢复方案。 作为管理员，您可以使用微软VB语言提供的组策略管理或PowerShell指令恢复组策略，这些方法可以在您要备份还原时起到一定作用。 图1示例如何使用组策略管理控制台备份所有组策略对象。   生成组策略对象报表，这是监控组策略对象最重要的一步，而报表的存在，可以让您知道组策略对象设置的更改。 点击保存报表，将每一个组策略对象生成报表，详见图2。   生成的每个组策略对象报表, 建议生成HTML格式，这样所有管理员都可以在站点查看到组策略对象。 (小建议： ADAudit Plus  和  RecoveryManager Plus 可以追踪所有针对组策略对象的变更。RecoveryManager Plus甚至可以恢复组策略对象的设置权限。) 很少有人重视恢复组策略对象设置 ， 微软不提供这项恢复功能，甚至连高级组策略管理(AGPM) 工具都不具备。 RecoveryManager Plus不仅可以随时恢复组策略对象,还可以精准恢复需要恢复的组策略对象。 图3 示例 RecoveryManager Plus具体操作。   这样就保证您不会在操作组策略对象时发生难以弥补的损失，恢复组策略对象和更改设置对 活动目录 （AD）稳定性有至关重要的作用。

  在之前的文章中，我们看到了 ADAudit Plus 的 用户行为分析 （UBA）功能如何使管理员能够 监视用户登录活动 以识别受感染的帐户。ADAudit Plus中的UBA还可以帮助您跟踪成员服务器上的任何异常进程，以防御外部威胁。在此文章中，我们将研究企业如何跟踪成员服务器上的进程活动。 跟踪主机上的异常进程 想象一下这样一种情况：员工点击恶意链接并下载恶意软件，该恶意软件会在网络中传播恶意数据并进行加密。而UBA解决方案可以立即在成员服务器上检测到新进程并触发警报，它还会检测到在此过程中修改文件的异常，并向管理员发出警报。检测到攻击的速度越快，管理员越容易减轻影响。 使用ADAudit Plus跟踪主机上的异常进程，应执行以下操作： 登录ADAudit Plus。 单击分析，然后选择异常进程活动。 要查看首次在主机上运行的进程报告，请选择 “服务器上的新进程”。见下图。 主页上虽然显示了异常进程的各种报表，但是大多数管理员在忙时根本没时间查看报表，别担心，我们还有告警功能！默认情况下，UBA告警是通过电子邮件触发的，您也可以设置为SMS或脚本通知。 编辑告警配置文件： 选择配置选项卡。 转到警报配置文件>查看/修改警报配置文件，然后选择所需的配置文件。 单击配置修改警报配置文件。您可以选择通过电子邮件，短信或脚本同时接收通知。 点击更新。 配置这些设置后，管理员将开始收到有关主机上任何异常进程的警报。     ADAudit Plus的UBA引擎会告警管理员成员服务器上运行的任何进程活动，分析引擎将检查当前进程中是否有异常活动。如果主机上有异常进程，则会触发异常进程警报并将其发送给管理员。 免费获得UBA的白皮书，以了解有关UBA如何帮助您防御内部攻击的更多信息。

  微软将 Microsoft 365 迁到多个分散的数据中心，这确保了数据的安全，即使某一处故障也问题不大。在出现大规模故障时，将启动服务管理程序，使用户能够保持生产力，几乎不用担心。 Microsoft 365 但是，有了这些保护措施，您就不需要备份Microsoft 365数据吗？ 答案是否定的，微软明确建议用户备份Microsoft 365。微软表明其努力保持服务的正常运行，然而，所有在线服务偶尔也会中断，微软不对您可能因此遭受的任何中断或损失去负责。 在中断的情况下，您可能无法检索您存储的内容或数据。 Microsoft 365数据备份 微软也建议您定期备份您的内容和数据，您存储在服务或存储使用第三方应用程序和服务。 1.意外删除 Microsoft 365的分散功能是为了保持您的数据安全，通过存储在一个单独的物理位置，以防某个站点故障。 然而，这一特性也导致删除其它地理位置的信息，删除的数据将从所有Microsoft 365数据中心删除。 Microsoft 365提供了一个回收站式的共享，及一个驱动器的业务服务，这可以恢复意外删除，但个问题：回收站有一个有限的窗口，您仅能恢复回收站的项目。 2.增加额外储存费用 随着时间的推移， 当邮箱和站点中的数据超过计划的存储限制时，您将不得不支付升级到具有更多存储的计划，存储所有Microsoft 365数据而不删除会增加您的空间压力。 而有了备份解决方案，您将始终有一个数据副本，方便时刻去恢复，免除了需要支付更高的费用。 3.通过一个驱动器同步客户端的软件和恶意软件输入 微软的一个驱动器同步客户端是一个工具，可以同步您的一个驱动器数据从云到您的桌面，反之亦然。 虽然这一工具为雇员提供了在任何地方和任何时间可以公证，但有一个弱点可能构成赎金威胁。 如果您的系统上的赎金攻击感染了您的一个业务驱动器的同步副本中的文件，数据将被同步回云，并且您的一个业务环境驱动器中的所有数据也将被感染。 即使微软提供了一种检测赎金并从中恢复的方法，它也列出了一个此功能。 文件还原使用版本历史记录和回收站恢复一个驱动器，因此它受到与这些功能相同的限制。 当版本历史关闭时，回收站将无法将文件恢复到以前的版本。 拥有备份和恢复解决方案可以消除所有这些限制，并使您能够轻松地从任何赎金攻击中恢复。 4.对Exchange在线邮箱的Ran...

  随着越来越多的企业开始使用 Office 365 ，为Office 365配置各种安全措施十分重要。 服务中断是真实存在的 尽管在云上工作有许多优点，但没有任何云提供商能保证服务不会中断，包括Office 365。Office 365服务中断则会影响业务流程，比如：会停止客户的预定电话或在线会议。 Office365有哪些不足之处 ？ 虽然微软确实提供了有关Office 365服务中断的通知，但这些通知仅在服务界面中可用，这意味着管理员必须不断地检查该服务界面，这就增加了他们很多的工作量。 服务健康状况操控板（SHD）不提供服务中断的实时通知，没有人愿意在SHD更新时等待，因为检测和响应服务会导致延迟。 Office 365无法访问超过30天的监控数据，这是一个严重的不足，因为当出现法律或安全问题时，历史数据就显得至关重要。 如何克服这些不足？ O365 Manager Plus 是一个全面的Office 365管理解决方案，它具有监控功能，可以通过提供O365中缺少的功能以帮助您解决Office 365的不足。 以下是O365 Manager Plus提供的一些值得注意的监控功能： 用于监控的集中控制台：使用O365 Manager Plus，您不必在监控应用程序之间来回切换。您可以在一个中心主页监控Exchange的运行状况、Azure Active Directory、OneDrive for Business、Skype for Business以及其他10个Office 365服务。 实时告警：接收关于服务事件的即时电子邮件通知，并切断对SHD的持续访问以获取更新。 历史数据：访问超过30天的服务运行状况历史监控数据。 深度图：查看Office 365服务健康状况视图，以便于快速决策。 您是否仍在寻找一个满足Office 365所有需求的解决方案？

  疫情开始以来，医疗机构存储和处理的敏感患者数据大幅增加。患者的健康史，包括所有治疗、程序、处方、实验室测试和扫描报告，都以电子健康记录 (EHR) 的形式存储。尽管 EHR 减少了患者报告中的错误数量，并帮助医生跟踪患者的医疗保健数据，但篡改它们可能会产生灾难性的后果。因此，保护患者数据和隐私的责任就落在了 医院的IT 管理员身上。 患者敏感数据 为确保病人信息的完整性，结合这三种策略将确保符合医疗信息隐私和安全法规，包括 HIPAA 和 HITRUST。 1) 监控对包含 PHI 的文件服务器的访问 EHR 包含 PHI，这使它们成为网络犯罪分子有利可图的目标。需要密切监视包含 EHR 的服务器，发现未经授权的文件访问、修改和移动立即通知管理员，以保持数据完整性。医疗保健组织必须确保此类敏感信息只能由授权的医务人员和患者本人访问。 文件服务器访问 2) 管理细粒度密码策略并实施 MFA 由于大多数医疗保健组织严重依赖密码来保护对其 ePHI 的访问，因此黑客只需要一个被泄露的凭据即可进入组织的网络。重点在于医生和其他医务人员使用强密码来保护他们的账户。根据域、OU 和组成员身份对不同用户（例如护士、住院医师、医生、前台等）实施多因素身份验证 (MFA)，同时确保无缝登录体验。 密码策略 3) 减轻特权滥用和内部威胁 控制  Active Directory  (AD) 环境、GPO 和服务器的 特权用户 会带来特权滥用和内部威胁风险。为了有效提高安全性，需要建立一个 ZeroTrust 环境，以防止内部威胁。仅向医生、护士、健康保险主管和其他直接负责该患者的人分配对患者健康信息的访问权限。 要实施这三种策略，您需要一个全面的身份和访问管理 (IAM) 解决方案，例如 ManageEngine  AD360 。AD360 是一个集成的 IAM 套件，可以管理和保护您的 Windows  AD域 、Exchange Server 和  Microsoft 365  环境并满足您的合规性要求。 内部威胁 使用 AD360，您可以： 跨包含 PHI的 Windows、NetApp、EMC、Synology、华为和 Hitachi 文件系统实时跟踪谁更改了哪个文件或文件夹、何时以及从何处更改。 检测插入...

  黑ke寻找的不单单是发薪日的数据，公司的数据相对而言才是唯一有价值的！ 世界各地的企业网络都有一些黑ke可以控制的基本网络，比如纯粹计算能力。而加密攻击，这种未经授权使用计算资源来挖掘加密货币，利用了这种能力。虽然这种类型的攻击可以针对任何设备，包括个人，移动和物联网设备，但由于其强大的计算能力，对其而言，企业网络最具吸引力。 加密攻击现在比勒索攻击更受欢迎 对加密货币的兴趣只会不断上升，每个黑ke都在寻找获取或挖掘它的方法。直到2017年，勒索攻击才是攻击者增加数字货币存储的最常用方法。然而，由于成本较低，风险较低以及稳定，有保障的回报，今年的加密攻击很快变得越来越受欢迎。 网络威胁联盟的一份报告指出，加密劫持攻击比去年增加了459％。对于有经济动机的攻击者来说，这种诱惑是可以理解的：当你可以直接挖掘加密货币时，为什么以赎金的形式出售或持有数据以换取加密货币？ 加密攻击是怎么达到目的的? 加密攻击攻击最常用于Monero，一种比比特币提供更多匿名性的加密货币。 加密劫持有两种主要方式： 加密劫持恶意软件：未经授权的加密恶意软件将通过恶意电子邮件附件或链接，易受攻击的应用程序或系统，远程黑ke或任何常用的交付机制传送到您的网络系统。这种恶意软件极有可能被忽视，因为它在后台运行而没有任何通常的外部危害指示。 浏览器内加密：网站和广告中嵌入了加密代码，可以利用访问者系统的处理能力。如果您的员工无意中访问了受感染或恶意的站点，他们的系统将从事采矿活动。 Coinhive是一种在2017年底推出的Web服务，它创建了一个这样的JavaScript代码，旨在以合法的方式使用。然而，它被更多的网络犯罪分子使用，而不是值得信赖的网站管理员，并最终成为这种形式的加密劫持大量飙升的原因。 为什么你应该注意加密攻击？ 成为加密劫持的受害者对您的业务没有任何直接和明显的影响。没有数据受到损害，也没有法律或合规性问题需要处理。然而，它有几个间接和隐藏的成本，当它们在很长一段时间内组合在一起时，会给你的公司带来灾难： 较慢的系统：从事后台挖掘活动的系统可能变得极其缓慢，导致常规业务通信和活动中出现意外延迟。 业务连续性的丧失：随着CPU周期越来越多地用于挖掘操作，加密劫持甚至可能导致应用程序和硬件崩溃的增加，从而破坏业务连续性。 更高的电力成本：复杂的计算会消耗更多的电力，导致不...

  ManageEngine   Log360 的部署简单和友好的UI界面使Log360的启动和运行变得更加容易。今天，我们将深入研究Log360对跨多个环境的事件源的分析及支持功能。 使用Log360，您可以轻松深入了解网络中所有Windows、Unix/Linux、IBM服务器和工作站上发生的事件。这是对任何 SIEM解决方案 的基本期望，Log360不会让您失望，因为它提供了大量预定义的报告来帮助您审计这些系统中的活动。 活动目录环境 通过深入的活动目录 （AD）审计 ，您可以洞察所有AD用户的活动，包括特权用户的活动。AD审计可以帮助您跟踪所有关键的AD事件，它在检测内部威胁方面尤其有用。 网络设备 审计网络防火墙、路由器、交换机和IDS/IPS设备的重要性常常被忽略。通过检查这些设备，您可以了解您的网络中的流量信息，从而使您的网络免受外部攻击。Log360还为多个供应商的网络设备提供内置支持，包括思科(Cisco)、SonicWall、惠普(HP)、Fortinet、Sophos和WatchGuard。 应用程序 应用程序负责网络中许多与业务相关的活动。因此，他们在这个过程中处理了很多敏感的业务信息。跟踪来自数据库、web服务器和其他应用程序的所有事件是非常重要的，这样您就可以防止 数据泄露 ，并确保业务连续性。Log360为Microsoft SQL Server、Oracle数据库、IIS和Apache web服务器提供开箱即用的支持。 文件服务器 您的网络存储了许多关键文件，包括与操作系统和网络驱动程序相关的二进制文件、网络配置和设置文件、机密业务文件和网络日志文件。监视所有变更以确保这些文件的完整性非常重要。Log360为您提供关于Linux、Windows、EMC和NetApp文件服务器的所有变更的详细报告。 云环境 随着企业迁移到云环境，以及工作方式的灵活转变，更多的网络活动发生在云环境上。要全面了解网络，就有必要监视云环境。Log360为Amazon Web Services、Microsoft Azure、Azure Active Directory和Exchange在线实例以及其他几个云应用程序(包括Salesforce、OneDrive for Business和Skype for Business)提供详细的报告。 ...