ManageEngine ADAudit Plus es un software de auditoría de cambios en tiempo real y de elaboración de informes que refuerza su infraestructura de seguridad de Active Directory (AD). Con más de 250 informes integrados, le proporciona una visión detallada de lo que está sucediendo dentro de su AD, como todos los cambios realizados en los objetos y sus atributos.

Esto puede incluir cambios en los usuarios, equipos, grupos, recursos de red, etc. ADAudit Plus logra esto mediante el monitoreo de las actividades de los usuarios privilegiados en el dominio, el control de los inicios y cierres de sesión en las estaciones de trabajo y la visibilidad de los bloqueos de cuentas de AD.

En esta serie de blogs sobre los informes de ADAudit Plus, examinaremos los numerosos informes que ofrece el producto.

La categoría de informes de inicio de sesión de usuario presenta 16 informes preconfigurados que proporcionan detalles granulares a través de la información de auditoría relacionada con los inicios de sesión de los usuarios, los fallos de inicio de sesión, los usuarios que inician sesión en varios equipos, etc.

Hablaremos del primer informe de la categoría de inicio de sesión de usuario, el informe de fallos de inicio de sesión.

Es crucial para cualquier administrador de TI auditar los eventos de inicio de sesión en AD, ya que un intento fallido de inicio de sesión puede indicar una amenaza potencial. Un fallo de inicio de sesión de apariencia sencilla podría ser el resultado de cualquiera de las dos cosas:

  • un empleado que realmente ha olvidado sus credenciales de acceso
  • un adversario que intenta forzar la red a través de una cuenta de usuario legítima pero comprometida

Es de suma importancia monitorear los intentos fallidos de inicio de sesión en AD.

Conozcamos a James, un administrador de TI que quiere hacer un control de todos los usuarios con intentos fallidos de inicio de sesión, y averiguar el origen y los detalles detrás de estos eventos.

Problema: cómo controlar los intentos fallidos de inicio de sesión, encontrar su origen y revisar los detalles clave

Solución: ADAudit Plus ayuda a James a obtener un informe de todos los intentos fallidos de inicio de sesión con información como quién y desde dónde intentaron iniciar sesión, el motivo del fallo de inicio de sesión, cuándo intentaron iniciar sesión y mucho más.

Imagen 1. Esta captura de pantalla muestra el informe de fallos de inicio de sesión en ADAudit Plus

El informe también proporciona a James:

  1. El nombre de usuario de la cuenta que tuvo un fallo en el inicio de sesión.

  1. La dirección IP del usuario.

  1. El equipo en el que se produjo el fallo.

  1. El motivo del fallo en el inicio de sesión, por ejemplo, una contraseña incorrecta.

  1. La hora en la que se produjo el fallo de inicio de sesión.

  2. Un mensaje que proporciona detalles granulares sobre el fallo. Por ejemplo, detalles específicos sobre la “contraseña incorrecta”, como el fallo de la preautenticación Kerberos.

Además, James puede realizar las siguientes acciones en el informe generado:

1. Seleccionar Exportar como para generar el informe en cualquiera de los formatos preferidos (CSV, PDF, HTML y XLS).

2. Programar estos informes para que se ejecuten a la hora que prefiera para la elaboración de informes periódicos automáticos y enviarlos a su dirección de correo electrónico.

3. Utilizar los enlaces de columna Añadir y Eliminar disponibles en el informe para seleccionar atributos adicionales.

4. Generar informes seleccionando varios dominios.

El informe de fallos de inicio de sesión se puede clasificar en tres categorías:

a) Fallos de inicio de sesión en función de los usuarios

Este informe extrae todos los eventos de fallo de inicio de sesión en función de los usuarios. Puede hacer clic en el “Recuento” asociado a un usuario individual y profundizar en los detalles asociados a su evento de fallo de inicio de sesión, como el nombre de usuario, la dirección IP del cliente, el nombre del host del cliente, el controlador de dominio y la hora de inicio de sesión.

b) Fallos debidos a una Contraseña Incorrecta

En este informe, después de hacer clic en Count (Recuento), el informe sacará todos los eventos de fallo de inicio de sesión en los que el Motivo de Fallo sea Contraseña Incorrecta, junto con otros atributos como Nombre de usuario, Dirección IP del cliente, Nombre de host del cliente, Controlador de dominio y Hora de inicio de sesión.

c) Fallos debidos a un nombre de usuario incorrecto

En este informe, al hacer clic en el Count, el informe sacará todos los eventos de fallo de inicio de sesión en los que el motivo de fallo sea Nombre de usuario incorrecto, junto con otros atributos como Nombre de usuario, Dirección IP del cliente, Nombre de host del cliente, Controlador de dominio y Hora de inicio de sesión.

Inscríbase hoy mismo para una demostración personalizada con nuestros expertos en productos para saber cómo ManageEngine ADAudit Plus puede ayudarle a monitorear y proteger su entorno AD.