运维有小邓

  SIEM解决方案 数据安全分析仪表板，以图形和图表的形式直观地呈现安全相关数据。仪表板会自动更新，帮助企业安全团队快速识别恶意活动并解决安全问题。通过该仪表板，安全分析师可以及时关注数据中可能存在的安全问题、以及与之相关的事件、该安全问题的类型以及相关动态，并实时对发生的事件进行查看。SIEM解决方案还为用户提供了创建和定制属于自己的仪表板的选项。 SIEM 安全分析组件包含的另一重要模块是预置报表。通常，SIEM解决方案与数百份预置报表捆绑在一起，这些报表有助于企业对安全事件、威胁以及 合规性进行审核 。报表大多是基于已知的危害指标(IoCs)构建的，也可以根据内部安全需求进行定制。   大多数SIEM解决方案还为用户提供了筛选、搜索和深入查看这些报表的选项，根据用户需求设置报表生成计划报表，以表格和图形的形式查看数据，还支持以不同格式导出报表。 log360日志审计板块 使用卓豪的 Log360 解决方案 借助高效的安全信息和事件管理(SIEM)解决方案Log360，您可以: 通过审计日志，发现设备中存在的安全隐患，并生成可视化的报表。 发现潜在的恶意软件迹象，立即触发告警。 当网络中发生重大变化时，如安装新服务器、修改注册表、创建未经授权的文件或创建恶意程序等，会收到告警。 触发自动补救脚本以防止“ 勒索病毒 ”攻击。 通过分析日志记录并追踪攻击的来源，对安全事件进行取证调查。 log360解决方案 这么多强大功能，居然还能免费用30天！绝对的干货，赶紧收下吧！

  一、审核Windows 文件服务器 Windows文件服务器包含需要保护的关键信息。这就是为什么文件服务器审核对于任何组织都必不可少的原因。通过审核所有与文件和文件夹相关的事件，您可以确保文件服务器的安全性，同时 满足合规性要求 。 合规性要求 虽然本机审计可以提供有关谁访问了什么，何时以及从哪里访问的信息，但是通过大量事件日志进行筛选是很麻烦的。使用像 DataSecurity Plus 这样的实时Windows文件服务器审计工具来规避这个耗时的过程。 DataSecurity Plus 二、使DataSecurity Plus成为全面的Windows文件服务器审计和分析工具的5个元素 ① 使用“访问审核”报表跟踪文件服务器中发生的每次访问和更改。访问审计报表中包含的报表是： 内容和位置更改事件：跟踪所有文件和文件夹事件，例如创建，修改，覆盖，移动，还原，重命名和删除事件。 安全权限更改事件： 监视文件和文件夹权限 ，所有者和SACL更改，以及识别未经授权的更改。 所有失败的尝试：监视读取，写入或删除文件或文件夹的失败尝试。 只读事件：跟踪访问但未更改文件或文件夹的事件。 ② 通过广泛的事件详细信息列表全面了解文件服务器中发生的所有事件，包括：服务器名称，访问者，修改时间，位置，共享路径，进程名称，上次写入时间，创建时间和上次访问时间。 ③ 使用基于标识符的内置过滤器深入查看文件服务器中发生的特定事件，例如：服务器，共享，用户，业务或非营业时间等。保存应用的过滤器，创建自定义报表 ④ 通过查看所有事件的图形表示，快速了解文件服务器中发生的情况。事件按以下方式分组：前5个用户，前5个进程和访问类型。 ⑤ 使用 Access Analysis报表检测访问趋势。使用以下子报表获取文件服务器中发生的情况的摘要视图：访问最多的文件，大多数修改过的文件，按进程进行的大多数访问，用户进行的大多数访问，N天后访问的文件以及N天后修改的文件（其中N由用户定义）。 文件服务器审计 三、您还可以使用以下功能： 按指定的时间间隔自动发送报表的电子邮件。 将报表导出为多种格式，例如CSV，XLS，PDF或HTML。 通过在报表下输入与特定事件相关的任何属性值来快速搜索。 定义报表的开放时间范围。

  随着企业规模的扩大和监管机构对实体所实施的合规实例越发严格，归档以及能够通过重新生成归档数据进行跟踪成为了必备要素，而不是可有可无。 部分监管条例要求将商业数据保留3到10年。想象一下，复制约7或8年前的数据的难度，尤其是当本机归档方法并未涵盖此类需求时。这需要归档审计数据在复制时所采用的格式能够很容易被广泛使用的系统理解。 合规 一、归档需求 对归档的需求不会随合规而停止。存档数据对于企业非常重要，以便于： 协助进行取证分析和报表。 确保各种合规需求所需的审计数据安全且未经变更。（如SOX、HIPAA、GLBA等合规需求要求审计日志数据须至少保留3年。） 分析Microsoft Windows  Active Directory/ 文件服务器/成员服务器中导致了内部安全性漏洞的未经授权的尝试，维护既定内部企业政策。 通过研究不同时间段内的资源利用模式来规划资源能力。 隔离可疑用户（用户登录数据），利用审计跟踪记录，确认他们是否参与了任何以往安全攻击。 在以下内容中，突出的部分表示本机归档/更新方式的挑战。每一挑战后都列示了所需备选方案。 ADAudit Plus 集归档中所需的全部功能于一体。 ADAudit Plus 二、数据存储 AD变更数据存储在域控制器的安全日志中，该日志最大为4GB。还有如“按需覆盖事件”和“不覆盖”等 日志管理 选项用于防止事件存储时间过长。 这就说明了将过多的日志传输到辅助存储器的必要性。 日志管理 三、数据过载 域控制器的安全日志中记录的全部活动记录可能用处不大。这考虑到了存储过多日志数据所需的空间。 专家建议筛选、清理信息，仅归档与跟踪操作、安全或合规需求相关的信息。这大大减少了归档数据存储需求。 四、存储格式 归档时，文件会被压缩，尽可能减少所用的空间。在压缩过程中，事件标题会以二进制格式标记其各自的事件数据。 二进制格式不利于更新归档审计数据，因为在一段时间后无法对其进行重新构建。 五、归档数据更新，ADAudit Plus优势 ADAudit Plus在更新已归档数据方面的优势包括： 允许在用户定义的位置归档审计数据，这可以是网络中的任何存储服务器。 帮助您只归档所需的Active Directory变更数据，减少通常因辅助存储器本机方法所带来的混乱情况。 每份变更数据均以分类目录降级显示，分为多个压缩...

  随着组织快速迁移到云端，即使并非不可能，单独使用本机审核工具监控本地Windows   Active Directory  (AD)和Microsoft Azure AD的更改也会非常复杂和耗时。更不要提手动关联多个事件日志的动作会很快导致永不休止的调查。不管是本地还是云Active Directory， ADAudit Plus 确保监控您的混合网络的完整更改。 Active Directory 一、混合环境中的关联视图 ADAudit Plus为混合环境中发生的所有活动提供单个关联视图，以便您可在一个位置拥有所有需要的项。 ADAudit Plus 二、实时告警 使用递送到您的收件箱的实时告警从任何地方主动监控更改，以便您可以始终了解您的IT环境内的所有更改。 实时告警 三、创建和设置报表 除了超过200个预配置的报表，还可创建自定义报表以满足您的特定审核需求并设置它在每隔一段时间定期发出。 四、自主更改补救 ADAudit Plus让管理员能够自动执行修复更改的动作，对告警作出反应，防止未经认可的更改造成损害。 五、综合搜索 上拉报表（例如，基于AD对象的聚合报表）、配置页面和帮助页面使用强大搜索功能，在您开始键入时就会推荐相关搜索主题。 六、现成的报表 使用定制为符合 SOX 、 HIPAA 、 PCI DSS 、 FISMA 和 GLBA 等各种行业规范和合规标准的预配置报表来确保您的组织始终合规。 七、其它ADAudit Plus功能 实时Windows Active Directory审计 Active Director审计和合规性 跟踪用户登录动作 计划Active Directory变更报表 归档数据的报表 AD前/后属性的变更 审计用户管理操作 Active Directory审计报表 Active Directory告警和邮件通知 高级组策略设置审计 AD域审计 八、Windows登录/注销审计 Windows工作站审计 九、Windows文件服务器审计 文件服务器审计 修改和访问权限 NetApp Filer审计 计划报表和告警 文件服务器集群审计 十、Windows服务器审计 成员服务器审计 审计报表与即时告警

  ADManager Plus 有一个专用于Active Directory共享权限管理的部分。此部分帮助 Active Directory 管理员克服在管理用户访问和企业中的共享活动时遇到的难题。 Active Directory 那么ADManager Plus权限管理的优势是什么？ ADManager Plus的 文件服务器管理 提供一个便利的UI，这使得管理文件和文件夹共享权限更容易（即使是新手也能轻松管理）-- 不管是批量还是逐个管理。与预封装的 NTFS共享权限 报表相结合，此UI是管理文件系统的理想方式。 ADManager Plus 文件权限管理报表 这些报表快速而清晰地呈现NTFS和Active Directory共享权限，让管理员清楚地了解应如何修改或处理权限。此类别的报表包括： 服务器中的共享 文件夹权限 账户可访问的文件夹 不可继承文件夹报表 文件权限管理操作 ADManager Plus的共享权限管理包括以下操作： 修改共享权限 撤销共享权限 文件权限管理 修改共享权限 - 修改其他用户对共享文件夹所拥有的权限 在企业中会反复出现许多必须修改员工共享权限的场景。例如：当员工的角色更改（可能由于晋升或转职或任何其他原因）时，他们所属的组、他们将访问的资源等将会发生更改。 ADManager Plus允许您一次性为多个用户更改他们对共享文件夹拥有的权限，这可帮助节省大量时间。您只需要选择想要更改其权限的“文件夹”，然后逐个选择用户账户，接着定义对他们的权限作出的修改，单击‘修改’。 撤销共享权限 - 撤销用户对共享文件夹所拥有的权限 当谈到撤销权限时，其重要性与将权限分配给组/用户不一样。当员工被限制访问必需的文件或文件夹时，将立即发出请求并相应地处理。但企业中的没有人会很关心员工拥有的权限是否比他应该有的权限更多；由于不太了解用户拥有什么权限，所以管理员要在“撤销权限”上花很多时间... 共享权限 ADManager Plus更新权限管理适用于简化此过程。 比如说有一位员工要离开公司，管理员不再需要逐个扫描文件夹以查看他可以访问什么资源。他只需要使用“账户可访问的文件夹”报表来查看AD用户账户对哪些文件夹拥有访问权限，并在‘移除共享权限’功能的帮助下，只需点击几次即可撤销那些权限。 ADManager Plus使用几个简单...

  ADManager Plus 拥有专用的 NTFS权限管理模块 ，这是用于确定用户可以访问哪些资源和数据的非常关键的管理操作。 ADManager Plus的文件服务器管理有什么不同？ 您可以使用ADManager Plus中的文件服务器管理功能来管理有关 Active Directory 环境中的共享、 文件夹和文件的权限 。这个基于GUI的 NTFS权限管理工具 提供清晰度（以及最重要的）运营效率，从而让文件服务器权限管理等艰苦工作都变得轻而易举。 Active Directory 此外，一组预封装的NTFS权限报表快速而清晰地呈现了现有权限信息，从而让管理员可以非常容易地分析和确定应如何修改或处理权限。此类别的报表为： 服务器中的共享 文件夹权限 账户可访问的文件夹 不可继承文件夹 文件权限管理操作 ADManager Plus的NTFS文件权限管理实用工具帮助您通过由GUI控制的简单操作快速执行以下任务： 修改NTFS权限 撤销NTFS权限 NTFS权限 修改NTFS权限 - 此选项让您可以更改本地和网络上的那些文件和文件夹的NTFS权限。您只需要选择相关文件或文件夹、所需的用户或组、权限（完全控制、读取等）及其类型（允许/拒绝）。您可以阻止或执行继承，甚至可执行父文件夹上设置的权限，以便应用到所有子文件夹。修改任何文件或文件夹的NTFS权限就这么简单，只需点击几下鼠标即可完成。 当修改NTFS权限时，您还可以列出对特定文件夹的现有共享文件夹权限。通过让您复制对另一文件夹的权限并应用到所需文件夹，“从文件夹复制”选项让修改NTFS权限变得前所未有地轻松。“预览”选项列出权限更改，因此您可在它们更新之前验证它们。 撤销NTFS权限 - 用户所拥有的本地文件和文件夹以及网络上的文件和文件夹的权限可使用此选项轻松地批量撤销，只需执行几个简单的步骤即可。您只需选择需要撤销其权限的文件夹、用户或组、权限级别以及是允许还是拒绝所选的权限。您也可以选择必须撤销其NTFS权限的文件夹级别（父文件夹、子文件夹等）。 文件服务器权限管理职责的指派 使用ADManager Plus的帮助台指派功能，您可为任何用户安全地指派文件权限管理。而且，您可以用内置的审计报表来跟踪共享文件夹和文件服务器的权限更改。技术人员和管理员审计报表可根据需要导出为CSV...

  SIEM 解决方案的数据聚合组件主要负责收集企业网络中由服务器、数据库、应用程序、防火墙、路由器、云系统等生成的日志。数据聚合是对所有在这些应用或设备中产生的事件进行记录、收集和存储。 SIEM 三种 SIEM日志收集 技术: 基于代理的日志收集: 在这种模式下，代理安装在每个生成日志的网络设备上。这些代理负责从设备收集日志，并将它们转发到SIEM服务器。除了这些职责之外，他们还可以根据预定义的参数在设备级别过滤日志数据，解析它们，并在转发之前将其转换为合适的格式。这种定制的日志收集和转发技术有助于优化带宽的使用。基于代理的日志收集方法主要用于通信受限的封闭安全区域。 无代理日志收集: 此模式不需要在任何网络设备中部署代理。取而代之的是在设备（诸如交换机、路由器、防火墙等）中进行配置，从而能够以安全的方式将生成的所有日志发送到SIEM服务器。此种技术可减少网络设备上的负载。 基于API的日志收集: 在此种模式中，会借助于应用编程接口(API )直接从网络设备中收集日志。当企业选择从本地部署的解决方案转移到基于云端的解决方案时，因为服务无法连接到任何物理基础架构而使得日志难以直接被推送到SIEM，此时基于云的SIEM解决方案就可以借助API来收集和查询网络日志。 Log360 使用卓豪的 Log360解决方案 ： 借助高效的安全信息和事件管理(SIEM)解决方案Log360，您可以: 通过审计日志，发现设备中存在的安全隐患，并生成可视化的报表。 发现潜在的恶意软件迹象，立即触发告警。 当网络中发生重大变化时，如安装新服务器、修改注册表、创建未经授权的文件或创建恶意程序等，会收到告警。 触发自动补救脚本以防止“勒索病毒”攻击。 通过分析日志记录并追踪攻击的来源，对安全事件进行取证调查。 这么多强大功能，居然还能免费用30天！绝对的干货，赶紧收下吧！

  企业级 SharePoint 环境可分支为大量SharePoint对象，显示为一个巨大框架。这意味着管理员很可能忽略此环境中发生的更改。这一被忽略的更改可能导致严重安全威胁。因此，每天监控、审核及保护SharePoint环境的任务很艰难，但很重要。 SharePoint 一、发出实时告警以跟踪安全更改 SharePoint Manager Plus 的实时告警机制使管理员能够及时了解对SharePoint环境进行的关键安全更改，从而简化了审核任务。它还允许他们为不同SharePoint更改事件定义 告警配置文件 。可在SharePoint Manager Plus告警控制台上查看这些告警，在此控制台中，这些告警根据严重性进行分类。这允许管理员区分操作更改与安全级别更改，以便他们可轻松优化其工作量。 SharePoint Manager Plus 二、可按如下所示对更改事件分类： 严重事件 棘手事件 提醒事件 通过部署此实时告警系统，管理员不会忽略任何关键安全更改。不管是此更改添加或删除了SharePoint组、授予了权限还是中断继承权限，管理员都会得到通知。所以，SharePoint环境的安全决不会受到损害。 实时告警系统 三、实时电子邮件通知 SharePoint Manager Plus还可在触发任何告警时向预期收件人发送即时电子邮件通知。此电子邮件提供详尽信息，包括对哪个SharePoint对象进行了什么更改；进行更改的时间、位置和人员；告警的严重性。此即时电子邮件允许管理员在SharePoint环境中回滚所有意外安全更改。

  云应用程序的不断普及吸引了黑客的关注，他们现在将目光转向云端的数据。黑客们可以通过钓鱼攻击，轻松地用有效的用户名和密码诈骗某人泄露其凭证。用用户名和密码对用户进行身份验证已经不再管用了。 数据泄露 一、保护云登录的安全 ADSelfService Plus 是一款 Active Directory 自助密码管理和 单点登录 (SSO)解决方案，用 多重身份验 证来保护访问云应用程序的安全。通过在ADSelfService Plus与启用了SAML 2.0的云应用程序之间启用SSO，您可轻松地保护用户在云端的身份安全。当启用SSO后，用户必须始终在 ADSelfService Plus中对他们自己进行身份验证 — 首先使用其用户名和密码，然后使用您选择的另一个验证身份方式。只有这样，最终用户才能够访问云应用程序。 ADSelfService Plus 二、工作原理 在可访问云应用程序前，用户必须在启用SSO后，首先用Windows Active Directory域凭证登录至ADSelfService Plus以证明其身份。 接下来，用户必须用Duo Security、RSA SecurID、智能卡、RADIUS、基于短信/电子邮件的验证码或Google Authenticator对他们自己进行身份验证。 一旦成功登录，用户可以从“应用程序”选项卡访问云应用程序。他们全部要做的只是点击应用程序图标，以在新选项卡中打开它。最大的优势就是，用户能够自动登录至该应用程序。 即使用户直接在浏览器中输入其URL，尝试访问启用了SSO的云应用程序，他们也会重定向到ADSelfService Plus登录页进行身份验证。 身份验证 三、一组全面的身份验证因素 ADSelfService Plus使用已尝试且经过测试的Windows Active Directory域凭证，作为身份验证的第一个因素。对于第二个因素，ADSelfService Plus支持本机身份。例如，基于短信/电子邮件的验证码，以及第三方身份验证程序（例如，Duo Security、RSA SecurID、RADIUS服务器和Google Authenticator）。 Active Directory 四、基于策略对云应用程序进行访问 ADSelfService Plus单点登录基于本地Active ...

  企业是人员的海洋，按单位/部门结合起来，为了共同事业在一起工作。而且在企业中，人员交互比任何其他事务更常见。因此，企业将“公司员工搜索”提供给所有员工显得势在必行。 现在，Windows  Active Directory 自助服务软件（即 ADSelfService Plus ）为您免费提供了：智能企业目录搜索，在业界更为人熟知为“员工搜索”或“人员查找”。此Active Directory搜索工具前所未有地提供了几个基于筛选器的“通用搜索关键字”选项，例如，按电子邮件ID搜索员工，在各个域中扩大您的员工搜索范围。四个运算符，即“包含”、“开头为”、“结尾为”、“等于”，使得搜索尽可能简单！最终用户可通过员工自助服务页面访问这一免费功能（位于右上角）。 远不止这些！有了此员工查找功能，IT管理员和帮助台技术员可以查看诸如对象GUID、对象类、对象创建时间等信息！这意味着，管理员现在无需在Windows Active Directory中输入长长的搜索查询！ Active Directory 最终用户如何从员工搜索引擎受益 快速AD员工目录搜索。 可在3个AD对象（例如用户、联系人和组）中搜索。 员工可自定义搜索条件。 Windows Active Directory自助更新选项，确保信息正确无误。 能够查看重要而完整的联系人详情，其中包括照片、层次结构、全名、电子邮件id、地址、部门、手机/办公室/住宅电话号码等。 此企业目录搜索引擎中IT管理员的专属功能 基于域/OU筛选员工搜索引擎。 可自定义最终用户搜索结果的显示列。 在多个域中搜索用户信息。 查看对象GUID、对象类、“创建时间”等 注:“自助更新”、“员工搜索”和“企业结构图”均为附加功能，将永久保持免费，即使将来产品经过进一步增强也是如此。作为对客户的奖励，ManageEngine通常提供一些功能，对一些企业来说是重要的业务功能 - 且免费！ ADSelfService Plus 企业结构图 ADSelfService Plus为您提供免费的企业流程图，也称为“企业结构图”；使用它，您可以查看您在企业层次结构中的职位。除了显示您的级别外，此功能还提供与您帐户相关的详情。 用户企业结构的一些关键功能 用户可以查看员工关系流程图。 查找员工id编号。 用户可以查看员工关系流程图。 Ac...