ADAudit Plus – Alerts (Uyarılar) ve Alert Profiles (Uyarı Profilleri) Rehberi
ADAudit Plus Nedir?
ADAudit Plus, özellikle Active Directory (AD) ortamlarını izlemek ve güvenliğini sağlamak amacıyla kullanılan bir yazılımdır. Bu yazılım, Active Directory'yi ve Windows Server tabanlı sistemleri izler, denetler ve raporlar sunar. Kısacası, ADAudit Plus, kullanıcı etkinliklerini, sistem değişikliklerini, giriş çıkış işlemlerini, grup politikası değişikliklerini ve daha fazlasını izlemek ve raporlamak için kullanılan bir güvenlik yönetim aracıdır
ADAudit Plus Nasıl Çalışır?
• Veri Toplama: ADAudit Plus, Active Directory sunucusundan, Windows Server makinelerinden ve diğer sistem kaynaklarından verileri toplar. Bu veriler, kullanıcı etkinlikleri, güvenlik olayları ve diğer sistem değişikliklerini içerir.
• Veri Analizi ve İzleme: Toplanan veriler ADAudit Plus tarafından analiz edilir. Yazılım, anormal aktiviteleri (örneğin, çok fazla başarısız giriş denemesi veya sistemde yetkisiz değişiklikler) belirler.
• Veri Saklama: ADAudit Plus, log dosyalarını belirli bir süre boyunca saklar, böylece geçmişe dönük denetim yapılabilir ve herhangi bir güvenlik olayına yönelik analizler yapılabilir.
• Raporlama ve Uyarılar: ADAudit Plus, kullanıcı etkinliklerini ve güvenlik ihlallerini raporlar. Aynı zamanda, şüpheli olaylar gerçekleştiğinde yöneticilere uyarılar gönderir. Bu raporlar ayrıntılıdır ve yöneticilere eyleme geçmek için gereken bilgileri sağlar.
Alerts ve Alert Profiles
Bu doküman, ADAudit Plus üzerinde görebildiğimiz uyarılar (Alerts) ve bu uyarıların tanımlı olduğu profiller (Alert Profiles) hakkında bilgi sunmaktadır.
• Alerts (Uyarılar): AD ortamında belirli bir davranış veya olay tespit edildiğinde ADAudit Plus tarafından oluşturulan bildirimlerdir. Bu uyarılar, kritik olayları hızlı bir şekilde fark etmenizi sağlar.
• Alert Profiles (Uyarı Profilleri): Belirli türden olayları izlemek üzere tanımlanmış kurallar veya kriter setleridir. Bu profiller, AD ortamındaki farklı grupları veya davranışları izlemek için kullanılır.
Kullanım Alanları
• Güvenlik: ADAudit Plus, potansiyel güvenlik tehditlerini erken tespit etmek için kritik bir aracıdır. Yetkisiz erişim, hesap kilitlenmeleri, şifre değişiklikleri gibi olayların izlenmesi sağlanabilir.
• Uyumluluk: PCI DSS, HIPAA, GDPR gibi standartlarla uyumluluk için gerekli raporlama ve izleme özelliklerini sunar.
• Operasyonel Verimlilik: AD ortamında yaşanan teknik sorunların hızlıca fark edilmesi ve çözülmesi için kritik bilgiler sağlar.
Alerts (Uyarılar) ve Alert Profiles (Uyarı Profilleri)
ADAudit, Active Directory (AD) üzerinden yakaladığı log’ları, varsayılan ayarlar veya tanımladığınız Alert Profile’lara göre tetikler ve bu uyarıları size bildirir.
Bu uyarıları aldıktan sonra, ilgili bilgilerle durumu analiz edebilir ve müdahale edilmesi gereken bir durum tespit ederseniz AD ortamınızda hızlıca aksiyon alabilirsiniz.
Bir alert alındığında, müdahale etmeniz gerekip gerekmediğini net bir şekilde anlayabilmeniz ve gereksiz efor sarf etmemek için Alert Profile’larınızın doğru şekilde yapılandırılması oldukça önemlidir.
Aşağıda, Alert ve Alert Profile içeriğine ilişkin temel bilgileri bulabilirsiniz.
1. Alerts (Uyarılar):
Bir Alert’in oluşması için öncelikle o Alert’e ait, Profile’in içesinde tanımlı durumun tetiklenmiş olması gereklidir. Alert Profile içeriğine ait bilgileri Alert Profile(aşağıda) bölümünde daha net görebilirsiniz.
Oluşan Alert içeriklerine ait bilgileri de Active Directory Raporları içerisinde ayrıca görebilirsiniz.
Alerts sayfasını açtığınızda, All Alerts veya Profile Based Alerts alanından alınmış mevcut uyarılarınızı görüntüleyebilirsiniz.
Profile Based Alerts altında, daha önce tanımladığınız Alert Profile içeriklerine yönelik alınan uyarıları kontrol edebilirsiniz.
Profile Based Alerts altında gördüğünüz Profile içeriğinin nasıl yapılandırıldığını incelemek için sağ üst kısımdaki View/Modify Alert Profile seçeneğine tıklayabilirsiniz.
Örnek olarak aşağıda ‘Logon Failures for Admin Users’ ile tanımlı Alert Profile üzerinden bir uyarı alınmış.
Bu uyarı alındığı için aslında bu uyarının Active Directory altında Logon Failures raporları altında da bulunduğunu alerts message içeriğinden anlayabilirsiniz.
Active Directory altında da Logon Failures’a gittiğimizde ilgili event’I görebilirsiniz.
Bir önceki sayfada gördüğünüz Alert'e tıkladığınızda, mevcut durumu daha iyi analiz edebilmeniz için karşınıza aşağıdaki gibi Alert Detayları çıkacaktır.
Örneğin, Username ve Client IP/Hostname gibi bilgileri burada görebilirsiniz.
Ayrıca, ilgili olayın tespit edilmesine sebep olan duruma yönelik olarak Event Type, Event Number ve Failure Type bilgileri de görüntülenir. Bu bilgiler, tespit edilen olayın doğru bir şekilde kategorize edilmesi için önemlidir
Bir önceki sayfada örnek olarak iletmiş olduğumuz gibi (‘Logon Failures for Admin Users’) alınan bir Alert’in ilgili Profile'ını kontrol etmek veya düzenlemek için, Alerts sayfasında sağ üst kısımdan View/Modify Alert Profile seçeneğine tıklayabilir ya da aşağıdaki ekran görüntüsünde görülebileceği gibi, Configuration > Alert Profiles altında ilgili ayarlara ulaşabilirsiniz.
Aktif durumdaki bir Alert nasıl temizlenir:
İlgili Alert üzerinde incelemelerinizi tamamladıktan sonra, gerekliyse olaya Active Directory (AD) üzerinde müdahale edebilirsiniz. İlgili işlemi tamamladıktan sonra da, aktif durumdaki Alert’i temizleyebilirsiniz.
Aşağıdaki ekran görüntüsünde de görebileceğiniz gibi, Active Alerts altında bulunan bir uyarı ile ilgili aksiyonlarımızı tamamladıktan sonra, ilgili Alert’i seçip Clear işlemi yaparak, bu Alert'i aktif durumdan kaldırmış oluruz. İlgili Alert ile ilgili bilgileri ise Show All Alerts altında yine görebileceksiniz.
2. Alert Profiles (Uyarı Profilleri):
Alert’ler hakkında aktarılan bilgilere dayanarak, bu Alert'lerin neye göre tetiklendiği ve içeriklerinde görünen severity (ciddiyet) seviyelerinin nasıl tespit edildiği bu bölümde açıklanacaktır.
ADAudit’in çektiği bu log’ları Alert olarak alabilmek için öncelikle bir default Alert Profile’I enable etmeli ya da yeni bir Alert Profile eklemelisiniz.
Alert’ler, oluşturmuş olduğunuz Profile’ın içerisindeki tanım gerçekleştiğinde tetiklenerek size uyarı verecektir
View/Modify Alery Profiles
Belirli bir Alert Profile’I düzenlemek ya da görüntülemek için öncelikle Alert Profile Name’i tespit edilir.
İlgil Alert Profile View/Modify Alert Profile altından aratılır ve sonrasında modify edilir.
Aşağıda görebileceğiniz gibi, ilgili Alert’in Severity seviyesi Attention olarak gelmesinin nedeni, yapılandırma ayarlarında bu opsiyonun belirtilmiş olmasıdır.
Mevcut Alert'leriniz için Severity seviyesi, ya default yapılandırmalarına ya da sizin oluşturduğunuz profillerdeki tanımlara göre belirlenecektir.
Tanımlı Reports Profile'ına ekleme yapmak için + işaretine basabilirsiniz. Bu kategoriler, ADAudit'in alabildiği Active Directory verileriyle eşleştirilerek profile oluşturulmasına olanak sağlar.
Oluşturulacak Report Profiles içeriği, bu alarm’ın tetiklenebilmesi için eşleşeceği AD raporunu ifade eder.
Alert Message içeriğini yine bu alanda ilgii macro’ları kullanarak düzenleyebilirsiniz.
Advanced Configuration
Düzenlediğimiz ya da oluşturduğumuz profile için yapmak istediğimiz filtre, threshold gibi ayarlar bu kısmda yapılmaktadır.
Örnek olarak Threshold altında aşağıda gibi bir yapılandırma ile aynı User Name üzerinde 5 dakika içerisinde 10 event alınması durumunda tetiklenerek bir alert oluşturulacaktır.
Filter kısımda ise alert profil için özelleştirmeler yapılarak belirli senaryolarda alert alınması sağlanabilir.
Alert Action
Alert oluştuğunda bu alert’e yönelik mail de alabilmek için Email Notification’ın aktifleştirilmesi gereklidir.
Create Alert Profile / New Alert Profile
Modify Alert Profile seçeneği ile benzer şekilde, oluşturmak istediğiniz yeni Alert Profile’a göre ilgili bilgileri doldurarak bir Alert Profile oluşturabilirsiniz. Ardından, bu profile içeriğini Alert altında görüntüleyebilirsiniz.
Destek ya da eğitim ihtiyaçlarınız için destek@wotech.com.tr support mail adresimiz üzerinden bizlerle iletişime geçebilirsiniz.
ADAudit Plus, özellikle Active Directory (AD) ortamlarını izlemek ve güvenliğini sağlamak amacıyla kullanılan bir yazılımdır. Bu yazılım, Active Directory'yi ve Windows Server tabanlı sistemleri izler, denetler ve raporlar sunar. Kısacası, ADAudit Plus, kullanıcı etkinliklerini, sistem değişikliklerini, giriş çıkış işlemlerini, grup politikası değişikliklerini ve daha fazlasını izlemek ve raporlamak için kullanılan bir güvenlik yönetim aracıdır
ADAudit Plus Nasıl Çalışır?
• Veri Toplama: ADAudit Plus, Active Directory sunucusundan, Windows Server makinelerinden ve diğer sistem kaynaklarından verileri toplar. Bu veriler, kullanıcı etkinlikleri, güvenlik olayları ve diğer sistem değişikliklerini içerir.
• Veri Analizi ve İzleme: Toplanan veriler ADAudit Plus tarafından analiz edilir. Yazılım, anormal aktiviteleri (örneğin, çok fazla başarısız giriş denemesi veya sistemde yetkisiz değişiklikler) belirler.
• Veri Saklama: ADAudit Plus, log dosyalarını belirli bir süre boyunca saklar, böylece geçmişe dönük denetim yapılabilir ve herhangi bir güvenlik olayına yönelik analizler yapılabilir.
• Raporlama ve Uyarılar: ADAudit Plus, kullanıcı etkinliklerini ve güvenlik ihlallerini raporlar. Aynı zamanda, şüpheli olaylar gerçekleştiğinde yöneticilere uyarılar gönderir. Bu raporlar ayrıntılıdır ve yöneticilere eyleme geçmek için gereken bilgileri sağlar.
Alerts ve Alert Profiles
Bu doküman, ADAudit Plus üzerinde görebildiğimiz uyarılar (Alerts) ve bu uyarıların tanımlı olduğu profiller (Alert Profiles) hakkında bilgi sunmaktadır.
• Alerts (Uyarılar): AD ortamında belirli bir davranış veya olay tespit edildiğinde ADAudit Plus tarafından oluşturulan bildirimlerdir. Bu uyarılar, kritik olayları hızlı bir şekilde fark etmenizi sağlar.
• Alert Profiles (Uyarı Profilleri): Belirli türden olayları izlemek üzere tanımlanmış kurallar veya kriter setleridir. Bu profiller, AD ortamındaki farklı grupları veya davranışları izlemek için kullanılır.
Kullanım Alanları
• Güvenlik: ADAudit Plus, potansiyel güvenlik tehditlerini erken tespit etmek için kritik bir aracıdır. Yetkisiz erişim, hesap kilitlenmeleri, şifre değişiklikleri gibi olayların izlenmesi sağlanabilir.
• Uyumluluk: PCI DSS, HIPAA, GDPR gibi standartlarla uyumluluk için gerekli raporlama ve izleme özelliklerini sunar.
• Operasyonel Verimlilik: AD ortamında yaşanan teknik sorunların hızlıca fark edilmesi ve çözülmesi için kritik bilgiler sağlar.
Alerts (Uyarılar) ve Alert Profiles (Uyarı Profilleri)
ADAudit, Active Directory (AD) üzerinden yakaladığı log’ları, varsayılan ayarlar veya tanımladığınız Alert Profile’lara göre tetikler ve bu uyarıları size bildirir.
Bu uyarıları aldıktan sonra, ilgili bilgilerle durumu analiz edebilir ve müdahale edilmesi gereken bir durum tespit ederseniz AD ortamınızda hızlıca aksiyon alabilirsiniz.
Bir alert alındığında, müdahale etmeniz gerekip gerekmediğini net bir şekilde anlayabilmeniz ve gereksiz efor sarf etmemek için Alert Profile’larınızın doğru şekilde yapılandırılması oldukça önemlidir.
Aşağıda, Alert ve Alert Profile içeriğine ilişkin temel bilgileri bulabilirsiniz.
1. Alerts (Uyarılar):
Bir Alert’in oluşması için öncelikle o Alert’e ait, Profile’in içesinde tanımlı durumun tetiklenmiş olması gereklidir. Alert Profile içeriğine ait bilgileri Alert Profile(aşağıda) bölümünde daha net görebilirsiniz.
Oluşan Alert içeriklerine ait bilgileri de Active Directory Raporları içerisinde ayrıca görebilirsiniz.
Alerts sayfasını açtığınızda, All Alerts veya Profile Based Alerts alanından alınmış mevcut uyarılarınızı görüntüleyebilirsiniz.
Profile Based Alerts altında, daha önce tanımladığınız Alert Profile içeriklerine yönelik alınan uyarıları kontrol edebilirsiniz.
Profile Based Alerts altında gördüğünüz Profile içeriğinin nasıl yapılandırıldığını incelemek için sağ üst kısımdaki View/Modify Alert Profile seçeneğine tıklayabilirsiniz.
Örnek olarak aşağıda ‘Logon Failures for Admin Users’ ile tanımlı Alert Profile üzerinden bir uyarı alınmış.
Bu uyarı alındığı için aslında bu uyarının Active Directory altında Logon Failures raporları altında da bulunduğunu alerts message içeriğinden anlayabilirsiniz.
Active Directory altında da Logon Failures’a gittiğimizde ilgili event’I görebilirsiniz.
Bir önceki sayfada gördüğünüz Alert'e tıkladığınızda, mevcut durumu daha iyi analiz edebilmeniz için karşınıza aşağıdaki gibi Alert Detayları çıkacaktır.
Örneğin, Username ve Client IP/Hostname gibi bilgileri burada görebilirsiniz.
Ayrıca, ilgili olayın tespit edilmesine sebep olan duruma yönelik olarak Event Type, Event Number ve Failure Type bilgileri de görüntülenir. Bu bilgiler, tespit edilen olayın doğru bir şekilde kategorize edilmesi için önemlidir
Bir önceki sayfada örnek olarak iletmiş olduğumuz gibi (‘Logon Failures for Admin Users’) alınan bir Alert’in ilgili Profile'ını kontrol etmek veya düzenlemek için, Alerts sayfasında sağ üst kısımdan View/Modify Alert Profile seçeneğine tıklayabilir ya da aşağıdaki ekran görüntüsünde görülebileceği gibi, Configuration > Alert Profiles altında ilgili ayarlara ulaşabilirsiniz.
Aktif durumdaki bir Alert nasıl temizlenir:
İlgili Alert üzerinde incelemelerinizi tamamladıktan sonra, gerekliyse olaya Active Directory (AD) üzerinde müdahale edebilirsiniz. İlgili işlemi tamamladıktan sonra da, aktif durumdaki Alert’i temizleyebilirsiniz.
Aşağıdaki ekran görüntüsünde de görebileceğiniz gibi, Active Alerts altında bulunan bir uyarı ile ilgili aksiyonlarımızı tamamladıktan sonra, ilgili Alert’i seçip Clear işlemi yaparak, bu Alert'i aktif durumdan kaldırmış oluruz. İlgili Alert ile ilgili bilgileri ise Show All Alerts altında yine görebileceksiniz.
2. Alert Profiles (Uyarı Profilleri):
Alert’ler hakkında aktarılan bilgilere dayanarak, bu Alert'lerin neye göre tetiklendiği ve içeriklerinde görünen severity (ciddiyet) seviyelerinin nasıl tespit edildiği bu bölümde açıklanacaktır.
ADAudit’in çektiği bu log’ları Alert olarak alabilmek için öncelikle bir default Alert Profile’I enable etmeli ya da yeni bir Alert Profile eklemelisiniz.
Alert’ler, oluşturmuş olduğunuz Profile’ın içerisindeki tanım gerçekleştiğinde tetiklenerek size uyarı verecektir
View/Modify Alery Profiles
Belirli bir Alert Profile’I düzenlemek ya da görüntülemek için öncelikle Alert Profile Name’i tespit edilir.
İlgil Alert Profile View/Modify Alert Profile altından aratılır ve sonrasında modify edilir.
Aşağıda görebileceğiniz gibi, ilgili Alert’in Severity seviyesi Attention olarak gelmesinin nedeni, yapılandırma ayarlarında bu opsiyonun belirtilmiş olmasıdır.
Mevcut Alert'leriniz için Severity seviyesi, ya default yapılandırmalarına ya da sizin oluşturduğunuz profillerdeki tanımlara göre belirlenecektir.
Tanımlı Reports Profile'ına ekleme yapmak için + işaretine basabilirsiniz. Bu kategoriler, ADAudit'in alabildiği Active Directory verileriyle eşleştirilerek profile oluşturulmasına olanak sağlar.
Oluşturulacak Report Profiles içeriği, bu alarm’ın tetiklenebilmesi için eşleşeceği AD raporunu ifade eder.
Alert Message içeriğini yine bu alanda ilgii macro’ları kullanarak düzenleyebilirsiniz.
Advanced Configuration
Düzenlediğimiz ya da oluşturduğumuz profile için yapmak istediğimiz filtre, threshold gibi ayarlar bu kısmda yapılmaktadır.
Örnek olarak Threshold altında aşağıda gibi bir yapılandırma ile aynı User Name üzerinde 5 dakika içerisinde 10 event alınması durumunda tetiklenerek bir alert oluşturulacaktır.
Filter kısımda ise alert profil için özelleştirmeler yapılarak belirli senaryolarda alert alınması sağlanabilir.
Alert Action
Alert oluştuğunda bu alert’e yönelik mail de alabilmek için Email Notification’ın aktifleştirilmesi gereklidir.
Create Alert Profile / New Alert Profile
Modify Alert Profile seçeneği ile benzer şekilde, oluşturmak istediğiniz yeni Alert Profile’a göre ilgili bilgileri doldurarak bir Alert Profile oluşturabilirsiniz. Ardından, bu profile içeriğini Alert altında görüntüleyebilirsiniz.
Destek ya da eğitim ihtiyaçlarınız için destek@wotech.com.tr support mail adresimiz üzerinden bizlerle iletişime geçebilirsiniz.
Related Articles
ADAudit Plus İster Listesi
Wotech Bilgi Teknolojileri ManageEngine AdAudit Plus Kurulum Öncesi Hazırlıklar (Müşteriden Beklentiler) A) Dokümanın Amacı Yazılımın implementasyonu sırasında müşteriden beklenen isterlerin müşteriye ilelmesi amacı ile oluşturulmuştur. B) Hedef ...ADAudit Plus Update Adımları
ADAudit Plus Update Adımları Update işlemleri için aşağıdaki adımları uygulayarak gerçekleştirebilirsiniz. Ayrıca işlemlere başlamadan önce uygulamanın bulunduğu sunucunun snapshot veya clone almanızı ve eğer uygulamada Mssql kullanılıyorsa ...ServiceDesk Plus - Talep Numarası (Request ID) Sıfırlama ve Belirli Bir Değerden Başlatma Rehberi
Servicedesk Plus'ın test edilmesi sonrasında canlıya alınırken ya da uzun süreli SDP kullanımlarında, yapılandırmaların korunarak Request ID sayısının tekrar 1'den başlamasının talep edildiği bazı senaryolar olabiliyor. Bu senaryolarda Request ID'yi ...ADManager Plus İster Listesi
Wotech Bilgi Teknolojileri ManageEngine ADManager Plus Kurulum Öncesi Hazırlıklar (Müşteriden Beklentiler) A) Dokümanın Amacı: Yazılımın implementasyonu sırasında müşteriden beklenen isterlerin müşteriye ilelmesi amacı ile oluşturulmuştur. B) Hedef: ...Servicedesk Plus - Tarayıcı Sekmesinde Metin ve Logo Düzenleme
Bu makale, ServiceDesk Plus'ın tarayıcı sekmesindeki ikon ve metin görünümünün nasıl düzenleneceğine dair adımları içermektedir. Not: Aşağıdaki test işlemi Servicedesk Plus 14930 versiyonunda uygulanmıştır. Not: Adımlar öncesinde Servicedesk Plus ...