概述

實(shí)時(shí)跟蹤、審核及報(bào)告事件和變更，從而增強(qiáng)EMC安全監(jiān)控。ChangeAuditor forEMC可實(shí)時(shí)跟蹤、審核和報(bào)告所有更改并發(fā)出警報(bào)，從而幫助確保文件和文件夾安全、合規(guī)且受控。您可以輕松監(jiān)控、報(bào)告并分析事件和更改，同時(shí)獲得針對(duì)安全問(wèn)題的警報(bào)。您可以即時(shí)了解執(zhí)行更改的人員、更改內(nèi)容、時(shí)間、地點(diǎn)和初始工作站，從而增強(qiáng)EMC安全監(jiān)控。然后，您可以針對(duì)所有更改事件自動(dòng)執(zhí)行深入的智能取證分析，從而全面了解審核情況。

使用EMC提供的工具對(duì)EMC文件服務(wù)器進(jìn)行事件日志記錄和更改報(bào)告非常耗時(shí)，因?yàn)槟仨殞?duì)每臺(tái)服務(wù)器重復(fù)此過(guò)程，最終會(huì)獲得大量數(shù)據(jù)和許多報(bào)告。您的數(shù)據(jù)安全也面臨風(fēng)險(xiǎn)，因?yàn)镋MC提供的工具存在限制，您可能很晚才會(huì)發(fā)現(xiàn)問(wèn)題所在。但是，借助ChangeAuditor for EMC，您能夠?qū)崟r(shí)捕捉問(wèn)題。

主要優(yōu)勢(shì)

集中式審核

通過(guò)使用此EMC安全監(jiān)控解決方案，可從單個(gè)控制臺(tái)監(jiān)控并審核多個(gè)服務(wù)器和位置的所有文件服務(wù)器更改。

直觀顯示

跟蹤用戶和管理員的活動(dòng)并提供更改活動(dòng)的詳細(xì)信息，以及所有更改的原始值和當(dāng)前值。

隨時(shí)隨地獲得實(shí)時(shí)警報(bào)

向電子郵件地址和移動(dòng)設(shè)備發(fā)送關(guān)鍵更改和模式警報(bào)，讓您即便不在現(xiàn)場(chǎng)也能收到有關(guān)立即采取措施的提醒。

集成式事件轉(zhuǎn)發(fā)

與SIEM解決方案相集成，將ChangeAuditor事件轉(zhuǎn)發(fā)到Splunk、ArcSight或QRadar。

可直接呈遞審核員的報(bào)告

生成全面的報(bào)告，以符合最佳實(shí)踐和GDPR、SOX、PCI-DSS、HIPAA、FISMA、GLBA等法規(guī)的合規(guī)性要求。

功能

QuestInTrust集成

將此EMC安全監(jiān)控解決方案與QuestInTrust相集成，實(shí)現(xiàn)20:1的壓縮事件存儲(chǔ)和集中化的原生或第三方日志收集，進(jìn)行解析和分析并對(duì)可疑事件（例如已知勒索軟件攻擊或可疑PowerShell命令）發(fā)出警報(bào)和自動(dòng)執(zhí)行響應(yīng)操作。

增強(qiáng)安全洞察

將大量系統(tǒng)和設(shè)備中的不同IT數(shù)據(jù)關(guān)聯(lián)到ITSecuritySearch（一種交互搜索引擎）中，以加快安全事件響應(yīng)和取證分析速度。通過(guò)豐富的可視化和事件時(shí)間表囊括用戶授權(quán)和活動(dòng)、事件趨勢(shì)、可疑模式等。

相關(guān)搜索

只需單擊一下，便可立即訪問(wèn)關(guān)于您所查看更改的所有信息以及所有相關(guān)事件（例如來(lái)自特定用戶和工作站的其他更改），從而消除額外的不確定因素和未知安全隱患。

出色的審核引擎

消除審核限制并捕獲更改信息，而無(wú)需使用原生審核日志，從而可以更快速地生成結(jié)果并節(jié)約大量存儲(chǔ)資源。

安全性時(shí)間表

查看、突出顯示和篩選AD及AzureAD環(huán)境中隨時(shí)間推移順次發(fā)生的更改事件并發(fā)現(xiàn)它們與其他安全事件之間的關(guān)系，從而更好地進(jìn)行取證分析和做出安全事件響應(yīng)。

規(guī)格

ChangeAuditor系統(tǒng)要求

ChangeAuditor協(xié)調(diào)器（服務(wù)器端）、ChangeAuditor客戶端（客戶端）、ChangeAuditor代理（服務(wù)器端）、ChangeAuditor工作站和Web客戶端（可選組件）具有特定的系統(tǒng)要求。

ChangeAuditor協(xié)調(diào)器要求（服務(wù)器端組件）

ChangeAuditor協(xié)調(diào)器負(fù)責(zé)執(zhí)行客戶端和代理的請(qǐng)求并生成警報(bào)。

處理器

等效于四核英特爾酷睿i7或更高配置的處理器

內(nèi)存

最低：8GB內(nèi)存或更高配置

建議：32GB RAM或更高配置

SQLServer

最高支持以下版本的SQL數(shù)據(jù)庫(kù)：

MicrosoftSQL Server 2012 SP4

MicrosoftSQL Server 2014 SP3

MicrosoftSQL Server 2016 SP2

MicrosoftSQL Server 2017

MicrosoftSQL Server 2019

具有SQL身份驗(yàn)證或AzureActive Directory身份驗(yàn)證的AzureSQL托管實(shí)例(PaaS)

注意：性能可能因網(wǎng)絡(luò)配置、拓?fù)浜虯zureSQL托管實(shí)例配置而異。

注意：ChangeAuditor支持SQLAlwaysOn可用性組、SQL群集以及應(yīng)用了行和頁(yè)面壓縮的數(shù)據(jù)庫(kù)。

操作系統(tǒng)

最高支持以下版本的安裝平臺(tái)(x64)：

WindowsServer 2012

WindowsServer 2012 R2

WindowsServer 2016

WindowsServer 2019

WindowsServer 2022

注意：必須啟用MicrosoftWindows Data Access Components (MDAC)。（MDAC是操作系統(tǒng)的一部分，默認(rèn)情況下已啟用。）

協(xié)調(diào)器軟件和配置

為實(shí)現(xiàn)卓越的性能，Quest強(qiáng)烈建議：

在專用成員服務(wù)器上安裝ChangeAuditor協(xié)調(diào)器。

應(yīng)在單獨(dú)的專用SQLServer實(shí)例上配置ChangeAuditor數(shù)據(jù)庫(kù)。

注意：當(dāng)ChangeAuditor數(shù)據(jù)庫(kù)駐留在AzureSQL托管實(shí)例上并且選擇了AzureActive Directory身份驗(yàn)證時(shí)，需要用于SQLServer的MicrosoftODBC Driver 17。

注意：請(qǐng)勿為ChangeAuditor數(shù)據(jù)庫(kù)預(yù)分配固定大小。

此外，需要滿足以下軟件/配置要求：

協(xié)調(diào)器必須擁有與本地域和林根域中所有域控制器的LDAP和GC連接。

Microsoft.NET 4.7.1（x64版）

MicrosoftXML Parser (MSXML) 6.0（x64版）

MicrosoftSQLXML 4.0（x64版）

協(xié)調(diào)器占用空間

預(yù)計(jì)使用1GB的硬盤空間。

協(xié)調(diào)器占用的內(nèi)存大小主要取決于環(huán)境、代理連接數(shù)和事件量。

估計(jì)的數(shù)據(jù)庫(kù)大小因所部署的代理數(shù)量和所捕獲的審核事件數(shù)量而異。