ManageEngine ADAudit Plus est un logiciel d’audit et de reporting des changements en temps réel qui renforce votre infrastructure de sécurité Active Directory (AD). Avec plus de 250 rapports intégrés, il vous fournit un aperçu granulaire de ce qui se passe dans votre AD, comme toutes les modifications apportées aux objets et à leurs attributs. Cela peut inclure les changements apportés aux utilisateurs, aux ordinateurs, aux groupes, aux partages de réseau, et plus encore. ADAudit Plus y parvient en surveillant les activités des utilisateurs privilégiés dans le domaine, en suivant les connexions et déconnexions sur les postes de travail et en offrant une visibilité sur les verrouillages de comptes AD.

La catégorie Rapports sur les connexions des utilisateurs comprend 16 rapports préconfigurés qui fournissent des détails granulaires par le biais d’informations d’audit liées aux  aux connexions des utilisateurs, aux échecs de connexion, aux utilisateurs connectés à plusieurs ordinateurs, et plus encore.

Il est crucial pour tout administrateur informatique d’auditer les événements de connexion dans AD, car une tentative de connexion ratée peut indiquer une menace potentielle. Un échec de connexion d’apparence simple peut résulter de l’une ou l’autre des situations suivantes :

  • un employé qui a véritablement oublié ses identifiants de connexion

  • un adversaire qui tente de forcer le réseau par le biais d’un compte utilisateur légitime mais compromis.an adversary attempting to brute-force the network through a legitimate but compromised user account

Il est de la plus haute importance de surveiller les échecs de connexion dans AD.

Rencontrons James, un administrateur informatique qui souhaite suivre tous les utilisateurs dont les tentatives de connexion ont échoué, et découvrir la source et les détails de ces événements.

Problème : Comment suivre les tentatives de connexion qui ont échoué, trouver leur source et examiner les détails essentiels ?

Solution : ADAudit Plus permet à James d’obtenir un rapport sur toutes les tentatives de connexion qui ont échoué, avec des informations telles que le nom de la personne et l’endroit d’où elle a essayé de se connecter, la raison de l’échec de la connexion, le moment où elle a essayé de se connecter, et bien plus encore.

Figure 1. Cette capture d’écran montre le rapport “Logon Failures” dans ADAudit Plus.

Le rapport fournit également à James :

  1. Le nom d’utilisateur du compte qui a subi un échec de connexion.

  2. L’adresse IP de l’utilisateur.

  3. L’ordinateur sur lequel l’échec a eu lieu.

  4. La raison de l’échec de la connexion, par exemple, un mauvais mot de passe.

  5. L’heure à laquelle l’échec de la connexion s’est produit.

  6. Un message qui donne des détails granulaires sur l’échec. Par exemple, des détails spécifiques sur le “mauvais mot de passe”, comme l’échec de la pré-authentification Kerberos.

En outre, James peut effectuer les actions suivantes sur le rapport généré :

1. Sélectionnez Exporter sous pour générer le rapport dans l’un des formats préférés (CSV, PDF, HTML et XLS).

2. Programmez l’exécution de ces rapports à une heure précise pour un rapport périodique automatique et envoyez-le à son adresse électronique.

3. Utiliser les liens d’ajout et de suppression de colonnes disponibles dans le rapport pour sélectionner des attributs supplémentaires.

4. Générez des rapports en sélectionnant plusieurs domaines.

Le rapport sur les échecs de connexion peut être classé en trois catégories :

a) Échecs de connexion en fonction des utilisateurs

Ce rapport extrait tous les événements d’échec de connexion basés sur les utilisateurs. Vous pouvez cliquer sur le “Compte” associé à chaque utilisateur et approfondir les détails associés à l’événement d’échec de connexion, tels que le nom d’utilisateur, l’adresse IP du client, le nom d’hôte du client, le contrôleur de domaine et l’heure de connexion.

b) Échecs dus à un mauvais mot de passe

Dans ce rapport, après avoir cliqué sur Count, le rapport affichera tous les événements d’échec de connexion pour lesquels la raison de l’échec est un mauvais mot de passe, ainsi que d’autres attributs comme le nom d’utilisateur, l’adresse IP du client, le nom d’hôte du client, le contrôleur de domaine et l’heure de connexion.

c) Échecs dus à un mauvais nom d’utilisateur

Dans ce rapport, si vous cliquez sur Count, le rapport affichera tous les événements d’échec de connexion dont la raison de l’échec est un mauvais nom d’utilisateur, ainsi que d’autres attributs tels que le nom d’utilisateur, l’adresse IP du client, le nom d’hôte du client, le contrôleur de domaine et l’heure de connexion.

Inscrivez-vous dès aujourd’hui pour une démonstration personnalisée avec nos experts produits et découvrez comment ManageEngine ADAudit Plus peut vous aider à surveiller et sécuriser votre environnement AD.

 

Source : Discover how to utilize essential User Logon reports from ADAudit Plus: Logon Failures