Auditando los cambios en directorio activo con Netwrix Auditor
Buenas,
Hoy me gustaría contaros como utilizar la herramienta Netwrix Auditor for Active directory, la cual me parece muy interesante, para auditar las acciones que se realizan a nivel de administración de directorio activo como pueden ser modificaciones en la membresía de grupos o eliminación de objetos.
El procedimiento de instalación de la herramienta será cubierto en otro post y este es el principal motivo por el cual no voy a detallar el mismo en este, para instalar el aplicativo debemos seguir los pasos del wizard de instalación y seleccionar la instancia de Base de datos que usara la herramienta, dicha instancia puede ser una instancia de SQL existente o bien una nueva instalación de sql express edition 2012 la cual podemos lanzar desde el mismo wizard de instalación.
Una vez con la herramienta instalada y con la consola de gestión de la misma abierta vamos a detallar los pasos que debemos seguir para añadir el dominio que queremos gestionar.
1-Pinchamos en Managed Object – Create a New Managed Object
2- Elegimos domain como objeto a gestionar
3- Elegimos el nombre del dominio a gestionar y la cuenta de servicio que usaremos para leer la información, la cual debe tener privilegios de Domain administrator.
4- Seleccionamos el target que queremos auditar, en esta demo solamente Active Directory.
5- Indicamos al asistente que queremos habilitar los reports y el mismo nos detecta los parámetros de configuración teniendo en cuenta los datos de la instancia definida en la instalación.
6- Esta siguiente pantalla del asistente nos pregunta si queremos habilitar State-in time reports, esta funcionalidad crear una instancia del estado del sistema cada día y nos permite generar reportes los cuales nos permiten realizar comparaciones con el estado de los objetos en el pasado, al no ser el objetivo principal de nuestro demo, no habilitaré esta funcionalidad.
7- Indicamos que queremos usar ligthweight agent y avanzamos en nuestro asistente, este tipo de agentes reducen drásticamente el tiempo necesario a la hora de capturar logs.
8- Dejamos el asistente que nos seleccione automáticamente los objetos a Auditar y pinchamos en Next
9- El asistente nos permite añadir un remitente para enviarle los cambios realizados en el asistente de configuración, no lo haremos en nuestro caso y pulsaremos en Next
10- Este paso del asistente nos permitirá configurar si queremos definir alertas en tiempo real via correo electrónico si sucede alguno de los los eventos detallados en el pantallazo adjunto
11- Por último pinchamos en Finalizar y ya tendremos configurado Netwrix Auditor para auditar los cambios realizados en nuestro directorio Activo.
Una vez configurada en la herramienta ejecutaremos un reporte para verificar que la misma es capaz de detectar y leer los cambios realizados en Active directorio
Como podéis observar, en nuestro ejemplo se ha detectado perfectamente que el usuario testing fue eliminado por el usuario administrador.
Espero que os resulte de utilidad y que os animes a probar esta herramienta de cual escribiré más artículos relacionados con alguna otra de las múltiples funcionalidades que ofrece.
Un saludo
