Netwrix Auditor: L’outil d’audit parfait pour votre IT !

Posted on Updated on

En tant qu’architecte, je dois comprendre et répondre à plusieurs exigences de mes clients, cela peut être sur de la gouvernance, du monitoring ou de la sécurité. Aujourd’hui, je voudrais vous présenter un de mes super-outils que je propose largement à mes clients . Ce produit est Netwrix Auditor- un outil fournissant une vue complète de votre infrastructure (http://www.netwrix.com )

Qu’est-ce que Netwrix ?

L’audit d’une infrastructure n’est pas toujours facile à entreprendre, vous devez être bien équipé et la plupart du temps vous avez besoin de plusieurs produits pour couvrir vos besoins. Netwrix est l’un des meilleurs produits, qu’il m’a été donné de voir, pour auditer de façon simple votre infrastructure .

La société Netwrix Corporation, créé en 2006 à Irvine en Californie était focalisée principalement sur l’audit de l’Active Directory. Au cours des dernières années, elle a diversifié son portfolio applicatif pour d’autres systèmes tels que les serveurs de fichiers, SharePoint Server, Exchange Server, Windows Servers, SQL Servers et VMWare Servers. Ce qui signifie que l’outil peut être acheté par module. Le produit propose une plate-forme unifiée pour gouverner toutes les applications, ce qui se révèle particulièrement utile, et vous fournit toutes les informations nécessaires relatives aux systèmes critiques.

Un point majeur? Auditer toute votre infrastructure

clip_image002 Toute l’approche est basée sur le fait de savoir «qui a fait quoi, quand et où». C’est un plaisir d’avoir un tel outil qui vous donne une orientation claire sur les habitudes des utilisateurs. Il permet de répondre à plusieurs questions fondamentales: Comment mon entreprise peut éviter la fuite de données? Comment faire face à plusieurs sources de données?

Comment puis-je avoir une approche lisible parmi toutes ces données? Comment puis-je être alerté sur la modification d’un document? Autant de questions qui fait que, à mon avis, le produit répond avec force et  souplesse.

Netwrix est basé sur trois piliers d’activités et vous guide à travers ces différents piliers pour rendre votre Système d’information le plus sécurisé possible. Ces trois piliers sont la Sécurité, la Conformité et l’Optimisation. Chacun d’ eux est lié car ils ont tous une approche itérative et incrémentale.

Comment Netwrix Auditor renforce votre Sécurité?

Un des plus grands défis est de rendre les choses visibles, en  détectant l’activité suspecte d’un utilisateur et empêcher la fuite de données.

Netwrix Auditor vous permettra de:

· Détecter les menaces.

· Enquêter sur les incidents de sécurité et de prévenir tout manquement.

· Surmonter les limites des applications natives

Etes-vous sûr de votre conformité avec la plupart des normes?

La conformité en informatique donne de réel  maux de tête aux entreprises, parce que tout d’abord il y a plusieurs normes et  que cela n’ est pas si facile à mettre en œuvre. Pour répondre à ces différents points, Netwrix  à une approche basée sur la Conformité des Standards et permet la mise en œuvre des normes suivantes:  PCI DSSHIPAASOXFISMA / NIST800-53ISO/IEC 27001.

Le produit vous permettra de:

· Mettre en œuvre les contrôles en fonction des normes en vigueur.

· Un accès facile aux rapports requis pour être en accord avec les normes.

· Archivage des données pour plus de 10 ans.

 En outre NetWrix assure la conformité de façon continue et non comme événement. Avec les dossiers de conformité Netwrix, contenant des rapports pertinents, vous serez en mesure de vérifier à tout moment, si vous êtes compatible avec la plupart des normes ou non.

ISO.jpg

Netwrix vous aide dans l’optimisation de vos processus:

Par défaut l’outil n’a pas besoin d’indexer les données de façon constante pour proposer aux auditeurs de la proactivité et de répondre immédiatement aux menaces relevées.

Netwrix Auditor vous permet de:

· Automatiser les tâches manuelles et les associer à la génération de rapports.

· Réduire les temps d’arrêt système et les interruptions de service.

· Faciliter l’analyse et l’introspection des alertes.

· Plateforme d’audit unique pour l’ensemble de votre infrastructure.

Qui sont les acteurs susceptibles d’utiliser l’outil ?

De toute évidence, tout le département informatique qui est en charge de maintenir et d’administrer votre IT . Les administrateurs systèmes trouveront la solution vraiment inestimable.

L’outil vous fournit des informations précieuses, également utiles pour les directeurs informatiques et les RSSI, les  auditeurs externes et les propriétaires de données pour les tenir informés de toutes les modifications apportées aux objets qu’ils possèdent

Ci-dessous les différents acteurs qui pourraient être intéressés par la solution :

clip_image004

Acteurs de votre entreprise

Voyons maintenant comment il fonctionne dans la vraie vie.

L’outil  requiert quelques configurations, par des modules si vous le souhaitez, sur les machines ciblées. Une fois cela fait, vous avez accès à une Interface d’Administration et à une Interface Cliente d’audit. Et c’est tout !

clip_image006

Interface d’administration de Netwrix Auditor

clip_image008

Netwrix Auditor – Panneau d’administration

Ci-dessous l’interface Cliente Netwrix- Un point d’entrée unique, qui vous permet de travailler avec les informations recueillies par Netxrix Auditor.

image014

Netwrix Auditor vous permet de voir tous les changements sur l’ensemble de votre infrastructure et de différentes manières:

  • Recherche interactive au sein de toutes les applications
  • Rapports prédéfinis et des abonnements réels
  • Tableaux de bord d’entreprise

Voyons les tableaux de bords d’entreprises !

Tous les tableaux de bord sont regroupés par date, ci-dessous le changement a été fait, par serveurs, où la plupart des modifications ont été apportées, par les utilisateurs, qui ont fait le plus de changements et par les changements les plus modifiés. Dans le cas où vous voyez par exemple, parmi les utilisateurs avec la plupart des changements fait par quelqu’un, qui ne devraient pas être ici, il suffit de cliquer sur le tableau de bord et aller au rapport détaillé

image029.jpg

Aperçu de Netwrix Auditor Entreprise

Et la même vue entreprise pour SharePoint.

clip_image010_thumb.jpg

Rapports SharePoint

Ci-dessous une fonctionnalité intéressante, que Netwrix Auditor vous offre, est la capacité de souscrire des membres spécifiques à certains tableaux de bord ou des rapports.

image032.jpg

Vous choisissez à qui les rapports doivent être envoyés, combien de fois et dans quel format (pdf, excel, word, csv).

image033.jpg

Le même aperçu mais pour Windows Server

Et maintenant portons notre regard sur les rapports prédéfinis. Tous les rapports sont regroupés par dossiers en fonction des modifications apportées au système.

image035.jpg

 

Maintenant, voyons quelques exemples:

VMware Server:

Je trouve ce module très intéressant et très efficace dans son approche, car il vous donne une information en temps réel sur votre infrastructure virtualisée:

  • Pools de ressources
  • Changements dans le Cluster
  • Hôtes (ESX)
  • Machines virtuelles
 image036.jpg

 

Audition du Serveur de fichiers?

L’outil est déjà prédéfini avec plus de 20 rapports avec ciblage sur:

  • Modifications des fichiers
  • L’accès aux fichiers
  • Les modifications d’autorisation
  • Permissions

Netwrix audits les serveurs de fichiers basés sur Windows, les dispositifs NetApp et EMC.

Par exemple. avec les rapports “fichier lus“, vous pouvez voir qui a ouvert les fichiers et permet de détecter, si quelqu’un est trop curieux.

Avec un rapport du type “tentatives de lecture“, vous verrez qui a essayé d’ouvrir les fichiers avec des privilèges non suffisants. Cette information peut aider à prévenir une attaque d’initié.

 image037

Rapport sur les changements dans le Serveur de fichier

SharePoint Server:

Pour SharePoint l’outil est très efficace car il est axé sur:

 

  • Configuration de la ferme
  • Contenu
  • Autorisations

image039.jpg

Détection de changements par type d’objet dans SharePoint

SQL Server:

Le produit propose une approche très granulaire basée sur:

  • Instances serveurs
  • Logins
  • Autorisations
  • les tables de données
  • Les lignes de données

image040.jpg

Détection de changements sous SQL Server

Qu’en est-il d’Exchange Server?

Je suis agréablement par la simplicité de l’analyse et l’efficacité  sur Exchange:

  • Configuration du serveur
  • Autorisations sur le serveur
  • Base de données
  • Boîtes aux lettres
  • Autorisations sur les Boîtes aux lettres

Une fonctionnalité vraiment intéressante est  le système d’alerte au cas où le non-propriétaires de boîtes à lettres essaient d’obtenir l’accès aux boîtes aux lettres des autres utilisateurs.

image041.jpg

Détection de changements sur Exchange

Qu’en est-il de Windows Server?

Une information très granulaire et détaillée est faite par ce module:

  • Matériel
  • Stratégies locales
  • Utilisateurs et groupes locaux
  • Ajouts de programme / Suppressions
  • Services
  • Les tâches planifiées
  • Configuration DNS

image042.jpg

Détection de changements par serveur dans Windows Server

Qu’en est-il d’Active Directory- la plus puissante des applications d’audit de la “famille Netwrix”?

L’outil est déjà prédéfini avec plus de 70 rapports sur la détection des changements suivants et groupés par:

  • Contrôleurs de domaine
  • Configuration des Objets de sécurité
  • Comptes utilisateur
  • Unités organisationnelles
  • Groupes / Membres de Groupes
  • Mot de passe

image043.jpg

 

Dans le cas où des changements importants ont été faits et que vous devez les annuler, Netwrix Auditor pour AD vous fournira cette capacité – et dans ce cas vous n’avez pas à restaurer les données de sauvegarde.

image044.jpg

Guide permettant de restaurer des objets AD

Et maintenant quelques mots sur la recherche interactive, qui rend possible la création de vos propres rapports en choisissant des critères pertinents.

Pendant la recherche, les données sont collectées à travers tous les systèmes vérifiés.

image045.jpg

Une interface de recherche vraiment efficace

Juste un exemple sur ; comment vous pouvez utiliser la capacité interactive de recherche dans la vie réelle:

Par exemple. vous voulez savoir, “qui a accédé ou essayé d’accéder aux fichiers sécurisés sur votre serveur de fichiers depuis un mois, hors administrateurs“.

1) Pour examiner cela il suffit de lancer Netwrix Auditor et de sélectionnez le module “Recherche”.

image046.png

2) Allez dans l’onglet “Avancé” au-dessus du champ de recherche et ajuster les filtres comme ci-dessous:

image047

  • Audited system equals File Servers (“Système audité égale Serveur de fichiers”)
  • Action equals Read, Read (Failed Attempt) (“Action égale Lu et Lu (Echec)”)
  • What equals Sales ( “Quoi égale Ventes“)

image048.png

3) Cliquer sur Recherche

image049.png

Ensuite, nous allons filtrer les résultats en utilisant la fonctionnalité “Exclure de la recherche” pour supprimer le compte administrateur, puis appuyez sur Rechercher à nouveau.

image050.png

Aucun changement n’a été trouvé.

image051.png

Vous pouvez sauvegarder cette recherche pour obtenir un accès rapide à l’avenir.

image047.png

Fonctionnalités exotiques?

Vous pouvez brancher le produit sur des outils SIEM. Les outils  SIEM (La gestion des informations de sécurité et des évènements)  vous permettent de recueillir et de corréler des comportements et déclencher des contre-mesures. Différents outils existent sur le marché comme, QRadar (IBM), Splunk, Cisco, HP ArcSight …. L’intégration de votre solution SIEM avec Netwrix Auditor étend vos options d’audit, tandis que les données seront recueillies auprès d’un plus large éventail de ressources.

FIM (File Integrity Monitoring), est une fonctionnalité de suivi des modifications sur des systèmes critiques, fichiers et configurations.

Avec fonctionnalité d’enregistrement vidéo de l’activité de l’utilisateur de Netwrix, vous pouvez surveiller les systèmes critiques, qui ne produisent pas de journaux. Jetons un oeil afin de comprendre comment cela fonctionne:

 image052.jpg

Vous devez choisir les utilisateurs, ceux dont l’activité que vous souhaitez suivre, ainsi que les applications que vous souhaitez suivre. Vous pouvez également spécifier les paramètres d’enregistrement vidéo, où vous choisissez les paramètres de qualité, la durée d’enregistrement vidéo et les paramètres de vérification d’archivage.

image053.jpg

La clé d’essai peut être téléchargée sur le site ou vous pouvez utiliser TestDrive (vous devez vous enregistrer avec un mail d’entreprise).

Il ne fait aucun doute, que l’outil est très utile pour tout type d’infrastructure.

Comment puis-je tester le produit?

J’ai suis agréablement surpris par la simplicité de tester le produit dans leurs laboratoires virtuels, et tout le monde peut le tester sans le télécharger et l’installer dans votre environnement C’est un bon moyen de se faire une idée du produit . Voici le lien où vous pouvez tester la solution: https://www.netwrix.com/auditing_it_infrastructure_testdrive.html

Ensuite je vous recommande de télécharger une clé d’essai pour tester la solution avec vos données dans votre environnement. Une clé d’essai peut être téléchargé à partir du site Netwrix. Vous pouvez également demander une démo One-to-One avec l’un des experts Netwrix ou demander un devis en utilisant site Netwrix.

Mes conclusions:

Le produit est très efficace et ciblé sur toutes les activités que vous pourriez avoir besoin de suivre dans votre entreprise. Il donne une bonne analyse et il fournit des rapports par modules.

Aujourd’hui, le produit est uniquement des environnements On-Premises, mais une version pour Office 365 est prévu. Un des avantages du produit est vous pouvez configurer les modules que vous voulez sans avoir à acheter les autres.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s