Pode parecer algo simples, mas você sabe qual é a diferença entre auditoria e monitoramento? A auditoria é realizada por auditores e o monitoramento é normalmente realizado por administradores. Há apenas uma pequena diferença entre os dois, mas ela é importante e pode fazer muita diferença quando é hora de relatar seus dados de log.
A auditoria é tanto uma tecnologia quanto uma função. A tecnologia está embutida em todos os computadores Windows e existe há anos. Voltando ao Windows NT, a Microsoft forneceu auditoria. Controladores de domínio, servidores e desktops podem rastrear (auditar) a atividade que ocorre no computador.
A auditoria também é um papel necessário em todas as corporações. A razão pela qual os auditores são necessários é devido ao fato de que algumas configurações de segurança se desviam de seus estados desejados, sem mencionar que algumas configurações podem não ser definidas. Portanto, a função de auditoria é verificar se os computadores estão protegidos corretamente para atender às exigências corporativas e do setor.
Um auditor normalmente faz uma verificação “point-in-time” da configuração de segurança em uma “amostra” de computadores dentro do(s) domínio(s) do Active Directory. Muitas vezes, essas verificações ocorrem apenas uma vez por ano. Alguns auditores criam scripts e usam outras ferramentas para coletar essas informações em intervalos, chamados de auditoria contínua.
Idealmente, os auditores devem realizar uma “verdadeira auditoria contínua”, o que garante que uma linha de base das configurações de segurança seja estabelecida e rastreie todas as alterações relacionadas a esses controles. Em vez de olhar para pontos no tempo, o auditor pode agora olhar para o registro completo de mudanças para saber o que mudou.
O monitoramento é realmente o que os administradores desejam, mas muitas vezes acham difícil implementar. Na verdade, a “tecnologia de auditoria” que o Windows fornece é a mesma tecnologia que os administradores devem implementar para monitorar as alterações no Active Directory e nos servidores. Monitoramento é a capacidade de saber quando ocorre alguma alteração no Active Directory ou em um servidor. Para monitoramento, os detalhes de cada alteração rastreada devem incluir quem fez a alteração, o que mudou (configuração antiga e nova), quando a alteração ocorreu e outros detalhes.
O problema de tentar monitorar usando a auditoria/rastreamento tradicional que a Microsoft fornece é que não há capacidade de relatar os dados volumosos que são criados. Pode haver uma centena de arquivos de log, contendo milhões de eventos, criados em um único mês em um domínio típico do Active Directory. Sem alguma tecnologia para gerar relatórios a partir desses dados, levaria horas, se não dias, para encontrar as informações de que você precisa nas entradas de log. É claro que a Microsoft fornece encaminhamento de log de eventos, assinaturas, tarefas agendadas para eventos e filtragem, mas mesmo essas tecnologias não fornecem uma solução que viabilize a busca por essas informações.
Portanto, a auditoria que a Microsoft fornece é incrível, mas não os relatórios! Então, baixe agora o ADAudit Plus e veja como você pode aproveitar os logs que são gerados, tanto como auditor quanto como administrador!