LepideAuditor for Active Directory – Active Directory Auditing
Active Directory, günümüz şirket organizasyonlarında en temel alt yapı ürünü olup üstüne inşa edilen ve entegre çalışan diğer iş ailesi ürünleri için vazgeçilmez bir servistir. Durum böyle olunca özellikle kurumsal şirket organizasyonlarında active directory kararlı yapısı, kesintisiz desteği, disaster anındaki kurtarma senaryolarınız büyük önem taşımaktadır. Ancak buradaki tek önemli nokta kesintisiz destek ve çalışma değildir. Rutin olarak kesintisiz çalışan Active Directory yapılarındaki değişikliklerde son derece önemlidir. Özellikle verilerin büyük önem taşıdığı şirketlerde basit bir grup üyeliği değişikliği gibi görünen işlemler bile son derece kritik sonuçlara neden olabilir.
Bu nedenle kesintiye veya veri hırsızlığına ya da şirketin zararına neden olabilecek diğer sonuçların medyana gelmesinden önce bu değişikliklerin tespit edilip aksiyon alınması son derece önemlidir.
Makalenin başlığına bakarak bu ürünü lütfen sadece bir log yazılımı olarak algılamayın. Makalenin devamında bize ek olarak sunduğu özellikleri detaylandıracağım.
İşte bende tam bu noktada bir makale yazmaya karar verdim. Malum Active Directory son derece köklü ve eski bir ürün olduğu için bu konuda hali hazırda pek çok loglama ve takip yazılımı bulunmaktadır. Ben ise bu makalemde dikkatimi çeken ve sizler ile paylaşmak istediğim LepideAuditor for Active Directory ürünü hakkında detay bilgi vereceğim.
Öncelikle ihtiyaçları belirlemek son derece önemlidir, ancak ürün sağ olsun pek çok temel hareketi izlemekte ve raporlamaktadır. Bunu ürünü kurduktan sonra detaylandıracağım. Bu bilgiyi vermemdeki temel amaç bu tür projelerdeki en temel adım olan ihtiyaçları belirleme adımı aslında yaptım, ancak siz hali hazırda ürünü deneme sürümü ile kurup test edebilirsiniz.
Temel olarak ürün bize ne sağlar?
Tek bir platform üzerinden farklı domainlerin takibini yapabiliriz.
Active Directory üzerindeki tüm kullanıcı değişikliklerini alabiliriz ( kim, ne zaman ne yaptı vb ).
Agentlı veya Agentsız kurulum desteklemektedir.
İhtiyaçlarımız doğrultusunda veya mimarinin bir önceki haline göre değişiklik raporları ( snapshot bazlı ) alabiliriz.
Anlık izleme ve filtreleme seçenekleri sunmaktadır.
Hızlı veri toplama ve raporlama özelliği sunar.
Zamanlanmış raporlar ile periyodik olarak değişiklikleri takip edebiliriz.
Raporları PDF, CSV veya MHT formatında kayıt edebiliriz.
Anlık olarak tetiklenen değişiklikler için mail ile bilgilendirme yapabilmektedir.
Yapılan değişikliği geri alma özelliği sayesinde stabil çalışan AD versiyonuna dönme şansı sunar ki çok başarılı bir özelliktir J
Yapılan tüm değişiklikler için bir önceki hali ve son halini detaylı olarak gösterdiği için, diğer log yazılımlarına göre bu değişiklikleri ekrandan takip etmek son derece kolaydır.
Tüm loğlar arşivlendiği için çok büyük veri alanlarına ihtiyaç duymadan çok uzun süre bu logları saklayabiliriz.
Ve yine en beğendiğim özelliklerden biri, malum log yazılımlarının ara yüzleri genellikle karışık olur, bu ürün bu konuda çok başarılı. Çok kolay bir kullanıma sahip kullanıcı ara yüzü sunmaktadır.
Temel olarak baktığımız zaman ürün aslında Active Directory değişikliklerinin raporlanması için üretilmiş olasa da, bu değişiklikler hakkında tamamen detay bilgiye sahip olduğu için bu bilgiyi kullanarak aslında temelde bize iki özellik sunmaktadır.
Active Directory Change Tracking – Bu konuyu zaten temel olarak detaylandırdık.
Active Directory Change Control – Bu ise yine özet geçmiş olsam da burada tekrar yazmak istediğim bir konu. Change Control özelliği sayesinde yanlışlıkla yapılan silme veya değiştirme işlemlerinde rollback özelliği sunmaktadır.
Ürünü aşağıdaki linkten indirebilirsiniz
http://www.lepide.com/active-directory-audit/download.html
Tabiki ürünü kurmadan önce hangi sürümleri desteklediğini ve sistem gereksinimlerini paylaşmak istiyorum.
Gelelim kurulum aşamasına.
Kurulum ürünün bize sunduğu özellikleri düşündüğünüz zaman son derece kolay ve pratik bir şekilde gerçekleşmektedir
Kurulum tamamlandı.
Sorunsuz bir şekilde kurulup kurulmadığını isterseniz Windows Event loglarından da kontrol edebilirsiniz.
Şimdi konsolu açıyorum
Bu aşamada Domain Controller bilgisini elle yazabilirsiniz veya “Discover ADS” diyerek sistemin Domain mimarisini kendi bulmasını sağlayabiliriz.
Örneğin ben denedim ve kendisi benim Domain ismimi buldu. Yani sağlıklı bir şekilde çalışıyor J
Bağlantı için gerekli olan Domain Admins grubu üyesi bir kullanıcı bilgisi veriyorum.
Hemen alt bölümde ise bir kutucuk bulunmaktadır
Use Agent to capture changes
Makalemin başında da söylediğim gibi bu program bilgi toplamak için agent’ a ihtiyaç duymamaktadır. Ancak bazı durumlar için, örneğin güvenlik izinleri, firewall veya başka bir neden ile uzak erişimde sorun olması halinde kesin ve net bilgi akışı için uzak makineye agent kurma şansınız da bulunmaktadır. Ben ilk DC için agentsız kurulumu yapacağım, ikinci dc için ise agentlı kurulum yapacağım.
Bu işlemden sonra yazılımın bir kapatıp açılması talebi karşınıza gelecektir ki bunu onaylayın lütfen.
Yaptığımız değişikliği hemen “Settings” menüsünden kontrol edebiliriz.
Ajansız olarak bu domain için sistem şu anda aktif.
Ortamda iki tane domain controller bulunmaktadır.
Ben programı kullanmaya başlamadan önce lisans tanımlamalarını yapıyorum. Program kullanıcı bazlı olarak lisanslanmaktadır.
Eğer lisans yüklemesi yapmazsanız programı kullanma imkanınız yoktur.
Gördüğünüz gibi Dashboard ekranında lisans uyarısı gelmektedir.
Bunun için sırası ile
License Information – Get Quote ve ardından 3 kişi için ( bende demo ortamında 3 kişi var ) “Generate License Request” düğmesine basıyoruz.
Oluşan lisans dosyasının [email protected] a mail olarak gönderiyoruz.
Gelen lisans dosyasını yüklüyoruz;
Lisans yüklemesi sonrasında “Dashboard” kısmına geliyorum ve rapor pencerelerini yeniliyorum.
Yukarıda gördüğünüz gibi artık raporlar gelmeye başladı.
Hemen bu raporların altında ise bu bilgileri hangi aralıklar ile aldığının detaylarını görebilirsiniz.
Bu ilk ekranda değişikliklerin toplandığı saatleri görebiliriz. İstersek elle anında toplama işlemi yaptırabiliriz. (Active Directory Change Tracking )
Bu ekranda ise malum ürünün bir diğer özelliği olan Active Directory Change Control yani yapılan değişikliklerin geri alınması için belirli aralıklar ile var olan konfigürasyonun yedeği alınmaktadır.
Yeri gelmişken hemen bu tür bilgileri nerede saklıyor program onu görelim.
Ayarlar menüsüne geliyoruz.
Ayarlar menüsünde ikinci seçenek olan “Changes Collection Management” bölümüne tıkladığımız zaman hangi dizinde verilerin saklandığını, değişikliklerin hangi sıklıkla DC’ lerden çekileceğini, snapshotların hangi sıklıkla alınacağını değiştirebiliyoruz.
Dizin içerisi yukarıdaki gibidir. Snapshot ve diğer bilgileri ise domain ismini taşıyan klasör içerisinde tutmaktadır.
Bir sonraki bölüm “Alert” bölümü olup burada kendimiz için kritik gördüğümüz aksiyonların gerçekleşmesi durumunda bize bilgi vermesi için uyarılar oluşturabiliyoruz.
Örneğin ben bir silme işlemi için uyarı oluşturuyorum.
Mail tanımı yapıyorum.
Mail ayarı sonrasında bu uyarının kimlere ve hangi uyarı tipinde ( hata, bilgi, kritik vb ) gideceğini belirliyoruz.
Son olarak bu oluşturduğum alert için bir isim verip işlemi tamamlıyorum. Ardından alert menüsünde sol alt köşede oluşturmuş olduğum uyarıları görebiliyorum.
Bu uyarıların gönderilip gönderilmediğini de takip edebilirsiniz.
Örneğin ben “serkan” isimli kullanıcıyı sildim, bu durumda bana bir mail gelmesi gerekli, ama gelmedi bakalım durumu neymiş?
Gerek Alert bölümünde gerekse aşağıdaki gibi dashboard bölümünde bunun gönderilmediğini görebiliyoruz.
Tabiki bu mail’ in gönderilmemesi bu tür olayların kayıt edilmediği anlamına gelmiyor, bu uyarı detaylarını görmek için alert sekmesinden ilgili uyarının üzerine tıklamak yeterlidir.
Yukarıdaki gibi detay sayfasını göreceksiniz. Bu sayede uyarıları buradan da takip edebilirsiniz.
Raporu eml formatında kayıt edebiliyoruz, bu sayede mail okuma yazılımları ile de açabiliyorum.
Yine anlatacağım bir bölüm olduğu için hemen Reports sekmesine tıklayalım.
Bu bölümü çok seviyorum, çünkü pek çok rutin ve her an ihtiyaç duyacağınız raporlar şablon halinde hazır. Örneğin en son yaptığım silme işleminin hızlıca bir raporunu alalım.
Gördüğünüz gibi hazır şablonlardan ihtiyaç duyduğum herhangi birine tıklamam yeterli, son derece hızlı bir şekilde bana rapor sunmaktadır. İsterseniz raporun tarih aralığını değiştirebilirsiniz. Yine bu raporun sonuçlarını kayıt edebilirsiniz. Grafik ekranın alt bölümünde son derece dinamik bir bölüm var, burada istediğiniz gibi filtreleme yapabilirsiniz.
Bu bölümde zaten hazır raporların kullanılması son derece kolaydır.
Yine bu bölümde önemli bir özellik daha bulunmaktadır. Aldığımız snapshot ları görüntüleme.
Burada “Explore” dedikten sonra aşağıdaki dizini gösteriyoruz ( kurulum dizini )
C:\Program Files (x86)\LepideAuditor for Active Directory
Yukarıdaki gibi bir ekran açılmaktadır. Bu ekran mevcut snapshotların içeriğini görüntülemektedir.
Örneğin ben serkan kullanıcısını silmiştim, şimdi bakalım onu görebilecek miyiz?
Burada gördüğünüz gibi Domain’ in ilk kurulduğu zaman için herhangi bir ek kullanıcı yok.
İkinci alınan snapshot ise ( hatırlarsanız 6 saate bir alınıyordu ) yukarıda gördüğünüz gibi yeni kullanıcıları içermektedir.
Son alınan snapshot ise “serkan” kullanıcısı yok iken yeni açılan “mesut” kullanıcısını içermektedir.
Bir sonraki bölümde ise “Schedule Reports Management” ile rapor yönetimini gerçekleştirebiliyoruz.
Bu bölüm son derece kullanışlı ve beğendiğim bölümlerden biridir. Malum rapor her zaman önemli ancak önemli olduğu kadar karışık olmasına karşın Lepide sayesinde şablon raporları kullanarak hızlıca rapor hazırlayabiliyoruz.
Yukarıda da gördüğünüz gibi en son kullanıcı oluşturma işlemi için isterseniz belirli kişileri raporlayabilirsiniz. Yani tüm kullanıcı oluşturma işlemleri değil de sadece “Hakan” kullanıcısı tarafından oluşturulan kullanıcıları listeleyebilirsiniz.
Ben burada örneğin “administrator” kullanıcısı tarafından oluşturulan diyerek bir filtreleme yaptım.
E-mail ayarlarını yapıyorum.
Raporu hangi sıklıkla hazırlayacağımızı seçiyoruz.
Son olarak rapor’ a bir isim veriyorum.
Şimdi ise ürünün bir diğer özelliği olan yedekleme özelliğini inceleyeceğiz.
Her zaman söylediğim gibi burada da ek olarak bu bilgiyi vermek istiyorum. System State yedeğinizi bu tarz yedeklere rağmen mutlaka kullanın. Çünkü en sağlam yedek system state ( tercihen bare metal ) olup bunlar alternatif yöntemlerdir.
Peki, şimdi ilk olarak AD yapımıza bir bakalım
DENEME isimli OU ve içerisindeki “Hasan Uzuner” isimli kullanıcıyı silelim. Ancak bu işlemden önce sağlıklı bir snapshot alındığını dashboard üzerinden kontrol edelim ( malum 6 saatte bir alacak şekilde ayarladığım için bu OU yu açmadan önce almış ise, bu alınan snapshot işime yaramaz. )
Eğer elle almak isterseniz “Collect Snapshot Now” diyebilirsiniz. Şimdi Hasan kullanıcısını silelim.
Şimdi ise geri getirelim J
Sol tarafta mevcut yedekleriniz bulunmaktadır.
Örneğin en son sildiğim Hasan kullanıcısının içinde bulunduğu snapshot için yedekten dönme işlemini yapıyorum.
Bunun için ilgili kullanıcı veya objenin bulunduğu snapshot dosyasını tespit ediyoruz. Sonra bu bölümdeki aşağıda yer alan butona tıklıyoruz.
Bu bölümde ise sunucu yani domain ismi ve hangi snapshot’ a ihtiyaç duyuyorsanız bunu seçiyoruz.
Bu snapshot ile mevcut durum arasındaki fark hemen çıkıyor. Ben de zaten silinmiş olan bu kullanıcıyı geri getirmek istiyorum.
Dönme işlemini başarı ile tamamladık, şimdi kontrol edelim.
Dikkat ederseniz hesap geldi ancak disable, çünkü şifresi yok, bunun temel sebebi ise bu yedekten geri dönme işlemi değil aslında, reanimation olarak bilinen bir işler. Bu süreçte kullanıcıya ait olan tüm öznitelikler (atrribute) değil sadece aşağıdaki öz nitelikler geri yüklenmektedir.
Yani makalemin önceki bölümlerinde de söylediğim gibi yedekleme için mutlaka System state kullanmanız gerekmektedir. Bu tür basit geri dönüşler için ise Active Directory RecycleBin özelliğini kullanabilirsiniz.
Evet, bir makalenin daha sonuna geldik. Genel anlamda sektörde loglama noktasında pek çok yazılım bulunmaktadır, ancak günün sonunda bu yazılımlar son derece karmaşık ara yüzler, karmaşık alt yapılara ve yüksek lisans ücretlerine sahiptir.
Son derece düşük bir konfigürasyonda çalışan, mütevazı, kolay kullanılan, hızlı ve pratik bir yazılım. Ben pek çok Kobi nin bu yazılımı alıp kullanabileceğini düşünüyorum. Hatta tavsiye ediyorum J
Ürün hakkında daha fazla bilgi veya sipariş için aşağıdaki linki inceleyebilirsiniz.
http://www.lepide.com/active-directory-audit/
Bir sonraki makalemizde görüşmek üzere.
Eğer ürün hakkında daha fazla bilgi almak veya POC yapmak için Türkiye de ki resmi dağıtıcı ile görüşebilirsiniz.
[email protected] ye mail atmanız halinde size en uygun bayi üzerinden POC desteği sunulacaktır.