Netwrix Auditor: L’outil d’audit parfait pour votre IT !

Posted on December 24, 2015 Updated on March 10, 2016

En tant qu’architecte, je dois comprendre et répondre à plusieurs exigences de mes clients, cela peut être sur de la gouvernance, du monitoring ou de la sécurité. Aujourd’hui, je voudrais vous présenter un de mes super-outils que je propose largement à mes clients . Ce produit est Netwrix Auditor- un outil fournissant une vue complète de votre infrastructure (http://www.netwrix.com )

Qu’est-ce que Netwrix ?

L’audit d’une infrastructure n’est pas toujours facile à entreprendre, vous devez être bien équipé et la plupart du temps vous avez besoin de plusieurs produits pour couvrir vos besoins. Netwrix est l’un des meilleurs produits, qu’il m’a été donné de voir, pour auditer de façon simple votre infrastructure .

La société Netwrix Corporation, créé en 2006 à Irvine en Californie était focalisée principalement sur l’audit de l’Active Directory. Au cours des dernières années, elle a diversifié son portfolio applicatif pour d’autres systèmes tels que les serveurs de fichiers, SharePoint Server, Exchange Server, Windows Servers, SQL Servers et VMWare Servers. Ce qui signifie que l’outil peut être acheté par module. Le produit propose une plate-forme unifiée pour gouverner toutes les applications, ce qui se révèle particulièrement utile, et vous fournit toutes les informations nécessaires relatives aux systèmes critiques.

Un point majeur? Auditer toute votre infrastructure

Toute l’approche est basée sur le fait de savoir «qui a fait quoi, quand et où». C’est un plaisir d’avoir un tel outil qui vous donne une orientation claire sur les habitudes des utilisateurs. Il permet de répondre à plusieurs questions fondamentales: Comment mon entreprise peut éviter la fuite de données? Comment faire face à plusieurs sources de données?

Comment puis-je avoir une approche lisible parmi toutes ces données? Comment puis-je être alerté sur la modification d’un document? Autant de questions qui fait que, à mon avis, le produit répond avec force et  souplesse.

Netwrix est basé sur trois piliers d’activités et vous guide à travers ces différents piliers pour rendre votre Système d’information le plus sécurisé possible. Ces trois piliers sont la Sécurité, la Conformité et l’Optimisation. Chacun d’ eux est lié car ils ont tous une approche itérative et incrémentale.

Comment Netwrix Auditor renforce votre Sécurité?

Un des plus grands défis est de rendre les choses visibles, en  détectant l’activité suspecte d’un utilisateur et empêcher la fuite de données.

Netwrix Auditor vous permettra de:

· Détecter les menaces.

· Enquêter sur les incidents de sécurité et de prévenir tout manquement.

· Surmonter les limites des applications natives

Etes-vous sûr de votre conformité avec la plupart des normes?

La conformité en informatique donne de réel  maux de tête aux entreprises, parce que tout d’abord il y a plusieurs normes et  que cela n’ est pas si facile à mettre en œuvre. Pour répondre à ces différents points, Netwrix  à une approche basée sur la Conformité des Standards et permet la mise en œuvre des normes suivantes:  PCI DSS, HIPAA, SOX, FISMA / NIST800-53, ISO/IEC 27001.

Le produit vous permettra de:

· Mettre en œuvre les contrôles en fonction des normes en vigueur.

· Un accès facile aux rapports requis pour être en accord avec les normes.

· Archivage des données pour plus de 10 ans.

 En outre NetWrix assure la conformité de façon continue et non comme événement. Avec les dossiers de conformité Netwrix, contenant des rapports pertinents, vous serez en mesure de vérifier à tout moment, si vous êtes compatible avec la plupart des normes ou non.

Netwrix vous aide dans l’optimisation de vos processus:

Par défaut l’outil n’a pas besoin d’indexer les données de façon constante pour proposer aux auditeurs de la proactivité et de répondre immédiatement aux menaces relevées.

Netwrix Auditor vous permet de:

· Automatiser les tâches manuelles et les associer à la génération de rapports.

· Réduire les temps d’arrêt système et les interruptions de service.

· Faciliter l’analyse et l’introspection des alertes.

· Plateforme d’audit unique pour l’ensemble de votre infrastructure.

Qui sont les acteurs susceptibles d’utiliser l’outil ?

De toute évidence, tout le département informatique qui est en charge de maintenir et d’administrer votre IT . Les administrateurs systèmes trouveront la solution vraiment inestimable.

L’outil vous fournit des informations précieuses, également utiles pour les directeurs informatiques et les RSSI, les  auditeurs externes et les propriétaires de données pour les tenir informés de toutes les modifications apportées aux objets qu’ils possèdent

Ci-dessous les différents acteurs qui pourraient être intéressés par la solution :

Acteurs de votre entreprise

Voyons maintenant comment il fonctionne dans la vraie vie.

L’outil  requiert quelques configurations, par des modules si vous le souhaitez, sur les machines ciblées. Une fois cela fait, vous avez accès à une Interface d’Administration et à une Interface Cliente d’audit. Et c’est tout !

Interface d’administration de Netwrix Auditor

Netwrix Auditor – Panneau d’administration

Ci-dessous l’interface Cliente Netwrix- Un point d’entrée unique, qui vous permet de travailler avec les informations recueillies par Netxrix Auditor.

Netwrix Auditor vous permet de voir tous les changements sur l’ensemble de votre infrastructure et de différentes manières:

• Recherche interactive au sein de toutes les applications
• Rapports prédéfinis et des abonnements réels
• Tableaux de bord d’entreprise

Voyons les tableaux de bords d’entreprises !

Tous les tableaux de bord sont regroupés par date, ci-dessous le changement a été fait, par serveurs, où la plupart des modifications ont été apportées, par les utilisateurs, qui ont fait le plus de changements et par les changements les plus modifiés. Dans le cas où vous voyez par exemple, parmi les utilisateurs avec la plupart des changements fait par quelqu’un, qui ne devraient pas être ici, il suffit de cliquer sur le tableau de bord et aller au rapport détaillé

Aperçu de Netwrix Auditor Entreprise

Et la même vue entreprise pour SharePoint.

Rapports SharePoint

Ci-dessous une fonctionnalité intéressante, que Netwrix Auditor vous offre, est la capacité de souscrire des membres spécifiques à certains tableaux de bord ou des rapports.

Vous choisissez à qui les rapports doivent être envoyés, combien de fois et dans quel format (pdf, excel, word, csv).

Le même aperçu mais pour Windows Server

Et maintenant portons notre regard sur les rapports prédéfinis. Tous les rapports sont regroupés par dossiers en fonction des modifications apportées au système.

Maintenant, voyons quelques exemples:

VMware Server:

Je trouve ce module très intéressant et très efficace dans son approche, car il vous donne une information en temps réel sur votre infrastructure virtualisée:

• Pools de ressources
• Changements dans le Cluster
• Hôtes (ESX)
• Machines virtuelles

Audition du Serveur de fichiers?

L’outil est déjà prédéfini avec plus de 20 rapports avec ciblage sur:

• Modifications des fichiers
• L’accès aux fichiers
• Les modifications d’autorisation
• Permissions

Netwrix audits les serveurs de fichiers basés sur Windows, les dispositifs NetApp et EMC.

Par exemple. avec les rapports “fichier lus“, vous pouvez voir qui a ouvert les fichiers et permet de détecter, si quelqu’un est trop curieux.

Avec un rapport du type “tentatives de lecture“, vous verrez qui a essayé d’ouvrir les fichiers avec des privilèges non suffisants. Cette information peut aider à prévenir une attaque d’initié.

Rapport sur les changements dans le Serveur de fichier

SharePoint Server:

Pour SharePoint l’outil est très efficace car il est axé sur:

• Configuration de la ferme
• Contenu
• Autorisations

Détection de changements par type d’objet dans SharePoint

SQL Server:

Le produit propose une approche très granulaire basée sur:

• Instances serveurs
• Logins
• Autorisations
• les tables de données
• Les lignes de données

Détection de changements sous SQL Server

Qu’en est-il d’Exchange Server?

Je suis agréablement par la simplicité de l’analyse et l’efficacité  sur Exchange:

• Configuration du serveur
• Autorisations sur le serveur
• Base de données
• Boîtes aux lettres
• Autorisations sur les Boîtes aux lettres

Une fonctionnalité vraiment intéressante est  le système d’alerte au cas où le non-propriétaires de boîtes à lettres essaient d’obtenir l’accès aux boîtes aux lettres des autres utilisateurs.

Détection de changements sur Exchange

Qu’en est-il de Windows Server?

Une information très granulaire et détaillée est faite par ce module:

• Matériel
• Stratégies locales
• Utilisateurs et groupes locaux
• Ajouts de programme / Suppressions
• Services
• Les tâches planifiées
• Configuration DNS

Détection de changements par serveur dans Windows Server

Qu’en est-il d’Active Directory- la plus puissante des applications d’audit de la “famille Netwrix”?

L’outil est déjà prédéfini avec plus de 70 rapports sur la détection des changements suivants et groupés par:

• Contrôleurs de domaine
• Configuration des Objets de sécurité
• Comptes utilisateur
• Unités organisationnelles
• Groupes / Membres de Groupes
• Mot de passe

Dans le cas où des changements importants ont été faits et que vous devez les annuler, Netwrix Auditor pour AD vous fournira cette capacité – et dans ce cas vous n’avez pas à restaurer les données de sauvegarde.

Guide permettant de restaurer des objets AD

Et maintenant quelques mots sur la recherche interactive, qui rend possible la création de vos propres rapports en choisissant des critères pertinents.

Pendant la recherche, les données sont collectées à travers tous les systèmes vérifiés.

Une interface de recherche vraiment efficace

Juste un exemple sur ; comment vous pouvez utiliser la capacité interactive de recherche dans la vie réelle:

Par exemple. vous voulez savoir, “qui a accédé ou essayé d’accéder aux fichiers sécurisés sur votre serveur de fichiers depuis un mois, hors administrateurs“.

1) Pour examiner cela il suffit de lancer Netwrix Auditor et de sélectionnez le module “Recherche”.

2) Allez dans l’onglet “Avancé” au-dessus du champ de recherche et ajuster les filtres comme ci-dessous:

• Audited system equals File Servers (“Système audité égale Serveur de fichiers”)
• Action equals Read, Read (Failed Attempt) (“Action égale Lu et Lu (Echec)”)
• What equals Sales ( “Quoi égale Ventes“)

3) Cliquer sur Recherche

Ensuite, nous allons filtrer les résultats en utilisant la fonctionnalité “Exclure de la recherche” pour supprimer le compte administrateur, puis appuyez sur Rechercher à nouveau.

Aucun changement n’a été trouvé.

Vous pouvez sauvegarder cette recherche pour obtenir un accès rapide à l’avenir.

Fonctionnalités exotiques?

Vous pouvez brancher le produit sur des outils SIEM. Les outils  SIEM (La gestion des informations de sécurité et des évènements)  vous permettent de recueillir et de corréler des comportements et déclencher des contre-mesures. Différents outils existent sur le marché comme, QRadar (IBM), Splunk, Cisco, HP ArcSight …. L’intégration de votre solution SIEM avec Netwrix Auditor étend vos options d’audit, tandis que les données seront recueillies auprès d’un plus large éventail de ressources.

FIM (File Integrity Monitoring), est une fonctionnalité de suivi des modifications sur des systèmes critiques, fichiers et configurations.

Avec fonctionnalité d’enregistrement vidéo de l’activité de l’utilisateur de Netwrix, vous pouvez surveiller les systèmes critiques, qui ne produisent pas de journaux. Jetons un oeil afin de comprendre comment cela fonctionne:

Vous devez choisir les utilisateurs, ceux dont l’activité que vous souhaitez suivre, ainsi que les applications que vous souhaitez suivre. Vous pouvez également spécifier les paramètres d’enregistrement vidéo, où vous choisissez les paramètres de qualité, la durée d’enregistrement vidéo et les paramètres de vérification d’archivage.

La clé d’essai peut être téléchargée sur le site ou vous pouvez utiliser TestDrive (vous devez vous enregistrer avec un mail d’entreprise).

Il ne fait aucun doute, que l’outil est très utile pour tout type d’infrastructure.

Comment puis-je tester le produit?

J’ai suis agréablement surpris par la simplicité de tester le produit dans leurs laboratoires virtuels, et tout le monde peut le tester sans le télécharger et l’installer dans votre environnement C’est un bon moyen de se faire une idée du produit . Voici le lien où vous pouvez tester la solution: https://www.netwrix.com/auditing_it_infrastructure_testdrive.html

Ensuite je vous recommande de télécharger une clé d’essai pour tester la solution avec vos données dans votre environnement. Une clé d’essai peut être téléchargé à partir du site Netwrix. Vous pouvez également demander une démo One-to-One avec l’un des experts Netwrix ou demander un devis en utilisant site Netwrix.

Mes conclusions:

Le produit est très efficace et ciblé sur toutes les activités que vous pourriez avoir besoin de suivre dans votre entreprise. Il donne une bonne analyse et il fournit des rapports par modules.

Aujourd’hui, le produit est uniquement des environnements On-Premises, mais une version pour Office 365 est prévu. Un des avantages du produit est vous pouvez configurer les modules que vous voulez sans avoir à acheter les autres.

Netwrix Auditor – The perfect tool for Auditing your IT !

Posted on December 24, 2015 Updated on February 15, 2016

As a network architect I usually get many questions from my customers about it-governance, monitoring and security. Today I would like to present you one of my top- tools that I usually recommend to my clients. This product is Netwrix Auditor – a tool that  provides you with complete visibility across your it-infrastructure (http://www.netwrix.com).

So…What is Netwrix?

Auditing the infrastructure is always painful, you have to be well equipped and most of the time you need several products to meet your requirements. Netwrix is one of the best products, i’ve ever seen for auditing your infrastructure.

First of all, Netwrix Corporation, created in 2006 in Irvine, Californien, was primary focused on auditing of Active Directory and during the past few years, it has diversified its portfolio with applications for other critical systems, as e.g. File Servers, SharePoint Servers, Exchange Servers, Windows Servers, SQL and VMWare servers. Meaning that the tool can be purchased independently by applications. The product proposes one unified platform for governing all the applications, what is really useful and provides you with information about all the critical systems.

One major point? Auditing across the entire infrastructure

The entire approach is based on knowing « who did what, when and where ». It is a pleasure to have a kind of tool that gives you a clear focus on the users’ habits. It allows you to answer many fundamental questions: How can my company avoid the data leakage? How to deal with several sources of data?

How can I have a human readable approach among all the massive data? How can I be alerted on crucial file changes? So many questions that the product can actually answer with strength and flexibility.

Netwrix offers you three pillars of activities and guides you through this different pillars for making your IT the most secured as possible. The pillars are Security, Compliance and Optimization. All of them are very tied as they are all used in an iterative and incremental approach

So… How can Netwrix auditor help you to strengthen your Security?

One of the biggest challenges here is to make the things visible with the goal to detect suspicious user activity and prevent data leakage.

Netwrix Auditor will allow you to:

• Detect insider threats;
• Investigate security incidents and prevent breaches;
• Overcome limitations of native auditing.

Are you sure, that you are compliant with the most common external standards?

IT compliance is a kind of headache to IT Companies, because first of all there are several standards and secondly it is not so easy to implement them. For answering to theses points, Netwrix has a Compliance-Standard-approach and allows to implement the following standards easily: PCI DSS, HIPAA, SOX, FISMA / NIST800-53, ISO/IEC 27001.

So the product allows you to :

• Implement and validate controls from a variety of regulatory compliance standards;
• Get easy access to reports required for passing compliance audits;
• Keep a complete audit trail archived for more than 10 years.

Furthermore Netwrix ensures compliance as continuous process and not as event. With Netwrix compliance folders, that contain relevant reports, you will be able to check at any time, whether you are compliant with most common standards or not.

Learn how Netwrix helps you with process optimization:

By Design the tool does not need to crawl through a mass of log data, to get data in readable form and to be alerted in case of same critical changes.

Netwrix Auditor allows you to:

• Automate time-consuming manual tasks associated with generating reports;
• Minimize system downtimes and service outages;
• Simplify root cause analysis;
• Unify auditing across the entire IT infrastructure.

For whom is the tool actually?

Clearly, all the IT departments who are in charge of maintaining and governing the company’s IT. The sys admins will find the solution really invaluable.

The tool provides you with precious information, that is also useful for IT Directors and CISOs, external auditors and data owners to keep them informed about any changes made to the objects they own.

See below the different actors that could be interested in the solution.

Audit Data Actors

And now… let’s see how it works in real life.

The product requires configuration by modules on the targeted machines. Once it’s done, you have access to the Administration panel and Client Auditor Panel. And that’s it !

Netwrix Auditor Administrator Panel

And below please see Netwrix Auditor Interface (client console) – One Single Point of Entry, that allows you working with information collected by Netwrix Auditor.

Netwrix Auditor allows you to see all the changes across the entire infrastructure in different ways:

1. Interactive search within all the applications
2. Pre-defined reports and actual subscriptions
3. Enterprise dashboards

Let’s start with enterprise dashboards, that visualize all the changes.

All the dashboards are grouped by date, the change was made, by the servers, where the most changes were made, by  the users, who made the most changes and by the most modified changes. In case you see e.g. among the users with most changes someone, who should not be here, just click on the dashboard and go to the detailed report

Netwrix Auditor Enterprise overview

And the same enterprise overview, e.g. for SharePoint.

SharePoint Reports

Also a nice feature, that Netwrix Auditor offers you, is the ability to subscribe specific members to some dashboards or reports.You choose to whom the reports should be sent, how often and in which format (pdf, excel, word, csv).

The same enterprise overview but for Windows Server

And now have a look at the pre-defined reports. All the reports are grouped by folders based on the system changes.

Now just let’ us go through some examples:

Vmware changes:

I find this module very interesting and efficient as it gives precious information about all changes in your virtualized infrastructure:

• Resource Pools
• Cluster Changes
• Hosts (ESX)
• Virtual Machines

File Servers auditing:

The product is already predefined with more than 20 reports focused on:

• File Changes
• Access to files
• Permission Changes
• Permissions State

Netwrix audits windows-based file servers, NetApp and EMC devices.

E.g. with reports successful file reads you can see who opened the files and can detect, if someone is too curios.

With a similar report failed read attempts you will see who tried to open the files with non-sufficient privileges and this information can help to prevent an insider attack.

 File Server changes report

SharePoint Server:

The product is also very efficient for SharePoint as it is focused on collecting the changes about:

• Farm Configuration
• Content
• Permissions

SharePoint changes by object type

SQL Server:

The product proposes a very granular approach based on:

• Server Instances
• Logins
• Permissions
• Tables
• Data rows

SQL Server changes

What about Exchange Server?

I was very surprised by the simplicity of analysis and efficiency that the product can do for Exchange, here is what the product is focused on:

• Server Configuration
• Server Permissions
• Database
• Mailboxes

Mailboxes permissions

A great feature, the exchange application offers, is alerting in case the non-mailbox owners try to get access to the mailboxes of other users.

Exchange changes

What about Windows Server?

A very granular and detailed information is caught by this module:

• Hardware
• Local Policies
• Local Users & Groups
• Program Additions/Removals
• Services
• Scheduled tasks
• DNS Configuration

All Windows Server Changes by Server

And Active Directory –the most powerful application in the “Netwrix family”.

The tool is already predefined with more than 70 reports focused on the following changes, that are grouped by:

• Domain Controllers
• Objects Security Settings
• User Accounts
• Organizational Units
• Groups / Groups Membership
• Passwords

In case some critical changes were made and you need to roll back them, Netwrix Auditor for AD will provide you with this ability – and in this case you do not have to restore data from backup.

Active Directory Object restore wizard

 And now some words about Netwrix interactive search, that makes it possible for you to create your own reports by choosing relevant criteria.

During the search the data is collected across all the audited systems.

The very efficient Search Interface

Just one example how you can use interactive search capability in real life:

E.g. you need to know, Who accessed or tried to access secured file on your File Server for the past month excluding Administrators.

1) To look into that simply launch Netwrix Auditor console and select the “Search” tile.

2) Go to the “Advanced” above the search field and adjust filters:

• Audited system equals File Servers
• Action equals Read, Read (Failed Attempt)
• What equals Sales

3) Click on Search

Then we will filter the results by using “Exclude from search” feature to remove Administrator account,  then press Search again.

No changes have been found

 You can save this search to get quick access to it in future.

Any others great “exotic” features?

You can plug the product into your SIEM tool. SIEM (security information and event management) products allow you to collect and correlate behaviors and triggers counter measures in your IT environment. I mean different solutions like, QRADAR (IBM), Splunk, Cisco, HP ArcSight… Integration of your SIEM solution with Netwrix Auditor extends your auditing options, while data will be collected from a broader range of resources.

FIM (File Integrity Monitoring), is a feature for tracking changes to critical systems, files and configurations.

And with Netwrix User Activity Video recording functionality you can monitor critical systems, that do not produce any logs.

Just have a look to understand how easy it works:

You should choose the users, whose activity you want to track, as well as the applications you want to track. You can also specify the video recording settings, where you choose quality parameters, video recording duration and audit arcive settings.

The trial key can be downloaded from the website or you can use TestDrive (you have to register a corporate email).

So there is no doubt, that the tool is really useful for any infrastructure.

How to TEST the product?

I was very pleased to test Netwrix auditor in Netwrix virtual lab  with Online TestDrive, so everyone can test Netwrix Auditor without downloading it and installing it in your environment. It’s a good way to get first impressions about the solution. Here’s the link where you can test it:http://www.netwrix.com/auditing_it_infrastructure_testdrive.html

Then I would recommend to download a trial key to test the solution with your data in your environment. A trial key can be downloaded from the Netwrix  website. You also can ask for a 1-to-1 demo with one of the Netwrix experts or ask for a quote using Netwrix website.

So my conclusion is:

The product is very efficient and focused on all the activities that you may need to track in your company. It gives a good analysis and reports by applications.

Today the product is only for On-Premises environment, but in future auditing for Office 365 is planned. And also a good benefit is that you can configure the modules that you need without purchasing the others.