ObserveIT:Мониторинг Активности Пользователей

Конференция «Код Информационной Безопасности» Челябинск, 2013

Зайдите на своем компьютере в Журнал Событий:Можете ли вы ответить что произошло в последние 15 минут?

2

• сотни записей в журнале…• множество технических деталей…• …Но никакой информации о том что конкретно

пользователь делал!

3

Системные логи подобны отпечаткам пальцев

Они показывают результатыпроизошедшего

Они показывают, что именнопроизошло!

Журналы аудита пользователя – как видеозаписи

ObserveIT -ПО которое работает как видеокамера на вашиx серверах!

Видеозапись всей пользовательской активности

Анализ видео для последующего создания журналов аудита в текстовом формате (даже для тех, у которых отсутствует встроенная функция записи в журнал!)

4

Программа «видеозаписи» создает подробные текстовые метаданные для последующего поиска, навигации и отчетов

ObserveIT captures User, Server, Date,

App Launched, Files opened, URLs, window

titles and underlying system calls

ObserveIT захватывает:• Имя пользователя• Сервер• Дату• Запущенное приложение• Открытые файлы• URLs• Заголовки окон• Базовые системные вызовы

Воспроизведение видео с точного

места, которое вас интересует

5

Записывает все! Полный охват:

• Независимо от сетевого протокола и программы клиента• Удаленные сессии, а так же локальные консольные подключения• Windows, Unix, Linux

Telnet

6

Unix/Linux ConsoleWindows Console

(Ctrl-Alt-Del)

Мониторинг активности пользователей: Windows

7

«Дневник Сервера» выдает список всех пользовательских сессий, на каждом сервере, для каждого из пользователей

Для каждой сессии указывается длительность, логин, пользователь, сервер и т.д.

Вау… А зачем он редактирует

файл ‘hosts’ ???

Просто нажмите кнопку

воспроизведения, чтобы увидеть что

происходило!

Четкая фиксация каждого запущенного приложения , каждого открытого окна и действия пользователя

В аудит попадают• Облачные приложения• Системные утилиты• Стандартные приложения

Воспроизведение Видео всей деятельности пользователя с любой заданной временной точки

Пример сессии: Linux

Clear indication:• ‘Brad’ ran a script called ‘innocentscript’.• This script includes a system call ‘rm-rf’.

• That rm command deleted 2 files: ‘samplefile’ and ‘anotherfile’.

Аудит лога метаданных показывает все системные вызовы

Видео воспроизведение TTY I/O

Какие скрипты были запущены

пользователем???

Пример сессии: Unix

Лог аудита

Окно воспроизведения

Список каждой команды

пользователя

Точное воспроизведение

экрана пользователя

9

Идентификация привилегированного пользователя, информирование о корпоративной политике безопасности

10

Пользователь идентифицирован и уведомлен о политике записи.

Только теперь он может войти на компьютер/сервер

Пользователь входит с анонимной учеткой

“administrator”Информирование

пользователей о текущей политике непосредственно

перед входом в систему

Дополнительная авторизация с конкретным

именем, чтобы получить доступ к системе

Теперь каждая сессия для аудита будет именной:

Вход осуществил: administratorНастоящее имя: Daniel

Воспроизведение в реальном времени

Значок, указывающий на рабочую сессию и дающий

возможность просмотра действий в реальном времени

Просмотр рабочей сессии «вживую», в то время как пользователь продолжает

работать

11

Политики записи и просмотра

12

• Гибкие политики по приложениям, пользователям, компьютерам

• Двойной пароль для просмотра записи

Определяет, что именно записывается

(include/exclude – правила по приложению, пользователю, ком

пьютеру)

Два пароля: один для управления, другой – для

профсоюзов или юридической службы

Прочная безопасность

Агент ↔ Соединение с сервером• AES шифрование- Rijndael

• Обмен маркерами

• SSL протокол (опция)

• IPSec тоннель (опция)

База данных• Цифровая подпись на всех захваченных сессиях

• Поддержка стандартных функций по защите SQL базы данных , принятых в вашей организации

Сторожевой механизм - Watchdog• Перезапуск агента при его остановке

• Если процесс watchdog останавливается, то агент перезапускает службу watchdog

• Отправка e-mail сообщение при любой попытке нарушения работоспособности агента/watchdog

13

Спасибо!Приходите к нам – рабочий стол №12.

Звоните нам - +7 (343) 278-60-46

Умная «Видеозапись» и Управление Правами Доступа