已归档数据的AD审计报表
随着企业规模的扩大和监管机构对实体所实施的合规实例越发严格,归档以及能够通过重新生成归档数据进行跟踪成为了必备要素,而不是可有可无。
部分监管条例要求将商业数据保留3到10年。想象一下,复制约7或8年前的数据的难度,尤其是当本机归档方法并未涵盖此类需求时。这需要归档审计数据在复制时所采用的格式能够很容易被广泛使用的系统理解。
归档需求
对归档的需求不会随合规而停止。存档数据对于企业非常重要,以便于:
- 协助进行取证分析和报表。
- 确保各种合规需求所需的审计数据安全且未经变更。(如SOX、HIPAA、GLBA等合规需求要求审计日志数据须至少保留3年。)
- 分析Microsoft Windows Active Directory/文件服务器/成员服务器中导致了内部安全性漏洞的未经授权的尝试,维护既定内部企业政策。
- 通过研究不同时间段内的资源利用模式来规划资源能力。
- 隔离可疑用户(用户登录数据),利用审计跟踪记录,确认他们是否参与了任何以往安全攻击。
在以下内容中,突出的部分表示本机归档/更新方式的挑战。每一挑战后都列示了所需备选方案。ADAudit Plus集归档中所需的全部功能于一体。
数据存储
AD变更数据存储在域控制器的安全日志中,该日志最大为4GB。还有如“按需覆盖事件”和“不覆盖”等日志管理选项用于防止事件存储时间过长。
这就说明了将过多的日志传输到辅助存储器的必要性。
数据过载
域控制器的安全日志中记录的全部活动记录可能用处不大。这考虑到了存储过多日志数据所需的空间。
专家建议筛选、清理信息,仅归档与跟踪操作、安全或合规需求相关的信息。这大大减少了归档数据存储需求。
存储格式
归档时,文件会被压缩,尽可能减少所用的空间。在压缩过程中,事件标题会以二进制格式标记其各自的事件数据。
二进制格式不利于更新归档审计数据,因为在一段时间后无法对其进行重新构建。
归档数据更新,ADAudit Plus优势
ADAudit Plus在更新已归档数据方面的优势包括:
- 允许在用户定义的位置归档审计数据,这可以是网络中的任何存储服务器。
- 帮助您只归档所需的Active Directory变更数据,减少通常因辅助存储器本机方法所带来的混乱情况。
- 每份变更数据均以分类目录降级显示,分为多个压缩文件,以事件发生日期进行标记。这些压缩文件包含经筛选的日志信息,以纯粹格式进行存储。
- 日志数据存储所用的格式允许在需要时恢复和更新所需时间段内的数据。
归档数据更新的历史报表
除了帮助企业存储所需归档数据,ADAudit Plus还可生成在使用期间的任何用户定义时间段的报表。这简化了整个繁琐的审计数据存储和利用这些数据重新创建报表的过程。
审计数据存储
任何用于报表的审核日志数据,都可以从ADAudit Plus数据库中清除,并存档。清除基于用户定义的审计类别和类别特定的时间表。
ADAudit的审计类别,以及协助恢复已处理的历史报告的审计数据:
帐户登录、帐号创建、用户修改、计算机修改、组修改、域策略更改、OU管理、GPO管理和本地登录注销。
ADAudit Plus应用程序可轻松恢复已归档数据并用于“自定义报表”,其中的报表周期由用户确定。ADAudit Plus可利用这些已恢复的数据对任何旧数据创建自定义报表。
此类自定义报表在取证、安全与合规审计方面有着至关重要的作用。
ADAudit Plus的归档过程有哪些不同之处?
- 快速、安全、无误的归档数据报表。
- 直接选择和报表任何自定义时间段内的存档事件,以帮助创建历史报表。
- 自动化的有企业归档过程。