Rapports sur les connexions utilisateur d'ADAudit Plus, Partie 5 : Détecter les dernières heures de connexion des utilisateurs sur les postes de travail

ManageEngine ADAudit Plus est un outil d'audit basé sur l'UBA qui renforce votre infrastructure de sécurité Active Directory (AD). Avec plus de 250 rapports intégrés, il vous fournit des informations détaillées sur ce qui se passe dans votre environnement AD, comme toutes les modifications apportées aux objets et à leurs attributs. Cela peut inclure les changements apportés aux utilisateurs, ordinateurs, groupes, partages réseau et plus encore. ADAudit Plus permet également de surveiller les activités des utilisateurs privilégiés dans le domaine, d'analyser les authentifications sur les contrôleurs de domaine, de suivre les connexions et déconnexions sur les postes de travail et de fournir une visibilité sur les verrouillages de comptes AD.

Dans cette série de blogs sur les rapports User Logon, nous allons examiner et comprendre les différents rapports qu'ADAudit Plus a en stock pour nous. La catégorie User Logon Reports comprend 16 rapports préconfigurés qui fournissent des informations d'audit complètes relatives à l'activité de connexion des utilisateurs, aux échecs de connexion des utilisateurs et à de nombreuses autres activités des utilisateurs orientées sur le domaine.

Ce cinquième blog de la série traite de l'une des actions de connexion les plus importantes que les entreprises doivent auditer pour s'assurer que leur architecture Active Directory est bien sécurisée : les dernières heures de connexion des utilisateurs sur les postes de travail.

Besoin d'un rappel sur le rapport Domain Controller Logon Activity ? Retrouvez-le ici dans le blog précédent de cette série.

Audit des dernières actions de connexion des utilisateurs sur les postes de travail

Le suivi et la compréhension d'un événement tel que la dernière connexion effectuée par un utilisateur sur son poste de travail sont essentiels pour tout administrateur système. Cela peut aider à maintenir une bonne santé de l'Active Directory de cinq manières différentes :

1. Les admins peuvent voir l'heure de la dernière connexion de chaque utilisateur sur tous les postes de travail.
2. Les admins peuvent utiliser les informations relatives à la dernière connexion pour examiner toute connexion qui aurait pu avoir lieu récemment sur un poste de travail et vérifier si elle est non autorisée ou suspecte.
3. Chaque chaîne d'exécution d'une attaque contient une connexion, soit dans le cadre de la compromission initiale, soit dans le cadre d'un mouvement latéral. Comme ce rapport indique la dernière connexion de chaque utilisateur sur un poste de travail, il peut aider les admins à investiguer sur des attaques qui pourraient être en cours.
4. Dans le cas malheureux d'une cyberattaque, ces données cruciales aideront également les admins et les analystes à mener et à accélérer l'analyse forensique.
5. Les admins seront en mesure de limiter les dégâts à la suite d'une cyberattaque, réduisant ainsi les pertes pour l'entreprise.

Tout cela peut être facilement réalisé par les administrateurs à l'aide du rapport Last Logon on Workstations d'ADAudit Plus.

Le rapport Last Logon on Workstations en action

James est un admin IT de la société ABC. Son entreprise a été victime d'un cybercrime et James veut maintenant retrouver la dernière heure de connexion de chaque utilisateur sur son poste de travail.

Problème : Comment James peut-il trouver la dernière heure de connexion d'un utilisateur sur un poste de travail ?

Solution : Le rapport =Last Logon on Workstations dans ADAudit Plus aide James à générer un rapport qui montre la dernière heure de connexion de tous les utilisateurs qui se sont connectés à un poste de travail au cours d'une période spécifiée. Ces informations sont extraites de l'événement d'authentification qui se produit sur le contrôleur de domaine.

Figure 1. Cette capture d'écran montre le rapport Last Logon on Workstations dans ADAudit Plus.

Le rapport Logon on Workstations aide les administrateurs système comme James en leur fournissant des détails tels que :

1. Le nom d'utilisateur : Le nom de l'utilisateur qui a effectué la dernière action de connexion sur un poste de travail.
2. L'adresse IP du client : L'adresse IP associée au client ou au poste de travail. Si l'entreprise utilise le protocole de configuration dynamique des hôtes (DHCP), l'adresse IP actuelle sera affichée.
3. Le nom d'hôte du client : Le nom d'hôte du client ou du poste de travail. Il est obtenu après la résolution de l'adresse IP.
4. L'heure de connexion : La date et l'heure de la dernière tentative de connexion.

Comme le montre la Figure 1, le rapport généré fournit toutes les informations nécessaires concernant la dernière activité de connexion des utilisateurs sur leurs postes de travail.

Ce rapport est extrêmement utile pour effectuer des contrôles d'hygiène de sécurité complets et accélérer le processus d'analyse forensique à la suite d'une cyberattaque.

À partir du rapport généré Last Logon on Workstations, James peut :

1. Sélectionnez Export As pour générer le rapport dans l'un des formats préférés (CSV, PDF, HTML ou XLS).
2. Planifier l'exécution du rapport à un intervalle défini pour les rapports automatiques et périodiques et recevoir ces rapports par e-mail.
3. Utiliser le lien Add and Remove Columns disponible dans le rapport pour sélectionner des attributs supplémentaires.
4. Générez des rapports en sélectionnant plusieurs domaines.

Savoir qui s'est connecté, quand et sur quel poste de travail est une information critique pour les admins IT qui veulent une vision claire de ce qui se passe dans leur AD, ce qui peut être facilement visualisé en utilisant le module de rapport complet d'ADAudit Plus.

Inscrivez-vous pour une démo personnalisée avec nos experts produits pour découvrir comment ManageEngine ADAudit Plus peut vous aider à surveiller et à sécuriser votre environnement AD