Upload
expolink
View
191
Download
4
Tags:
Embed Size (px)
Citation preview
ObserveIT:Мониторинг Активности Пользователей
Конференция «Код Информационной Безопасности» Челябинск, 2013
Зайдите на своем компьютере в Журнал Событий:Можете ли вы ответить что произошло в последние 15 минут?
2
• сотни записей в журнале…• множество технических деталей…• …Но никакой информации о том что конкретно
пользователь делал!
3
Системные логи подобны отпечаткам пальцев
Они показывают результатыпроизошедшего
Они показывают, что именнопроизошло!
Журналы аудита пользователя – как видеозаписи
ObserveIT -ПО которое работает как видеокамера на вашиx серверах!
Видеозапись всей пользовательской активности
Анализ видео для последующего создания журналов аудита в текстовом формате (даже для тех, у которых отсутствует встроенная функция записи в журнал!)
4
Программа «видеозаписи» создает подробные текстовые метаданные для последующего поиска, навигации и отчетов
ObserveIT captures User, Server, Date,
App Launched, Files opened, URLs, window
titles and underlying system calls
ObserveIT захватывает:• Имя пользователя• Сервер• Дату• Запущенное приложение• Открытые файлы• URLs• Заголовки окон• Базовые системные вызовы
Воспроизведение видео с точного
места, которое вас интересует
5
Записывает все! Полный охват:
• Независимо от сетевого протокола и программы клиента• Удаленные сессии, а так же локальные консольные подключения• Windows, Unix, Linux
Telnet
6
Unix/Linux ConsoleWindows Console
(Ctrl-Alt-Del)
Мониторинг активности пользователей: Windows
7
«Дневник Сервера» выдает список всех пользовательских сессий, на каждом сервере, для каждого из пользователей
Для каждой сессии указывается длительность, логин, пользователь, сервер и т.д.
Вау… А зачем он редактирует
файл ‘hosts’ ???
Просто нажмите кнопку
воспроизведения, чтобы увидеть что
происходило!
Четкая фиксация каждого запущенного приложения , каждого открытого окна и действия пользователя
В аудит попадают• Облачные приложения• Системные утилиты• Стандартные приложения
Воспроизведение Видео всей деятельности пользователя с любой заданной временной точки
Пример сессии: Linux
Clear indication:• ‘Brad’ ran a script called ‘innocentscript’.• This script includes a system call ‘rm-rf’.
• That rm command deleted 2 files: ‘samplefile’ and ‘anotherfile’.
Аудит лога метаданных показывает все системные вызовы
Видео воспроизведение TTY I/O
Какие скрипты были запущены
пользователем???
Пример сессии: Unix
Лог аудита
Окно воспроизведения
Список каждой команды
пользователя
Точное воспроизведение
экрана пользователя
9
Идентификация привилегированного пользователя, информирование о корпоративной политике безопасности
10
Пользователь идентифицирован и уведомлен о политике записи.
Только теперь он может войти на компьютер/сервер
Пользователь входит с анонимной учеткой
“administrator”Информирование
пользователей о текущей политике непосредственно
перед входом в систему
Дополнительная авторизация с конкретным
именем, чтобы получить доступ к системе
Теперь каждая сессия для аудита будет именной:
Вход осуществил: administratorНастоящее имя: Daniel
Воспроизведение в реальном времени
Значок, указывающий на рабочую сессию и дающий
возможность просмотра действий в реальном времени
Просмотр рабочей сессии «вживую», в то время как пользователь продолжает
работать
11
Политики записи и просмотра
12
• Гибкие политики по приложениям, пользователям, компьютерам
• Двойной пароль для просмотра записи
Определяет, что именно записывается
(include/exclude – правила по приложению, пользователю, ком
пьютеру)
Два пароля: один для управления, другой – для
профсоюзов или юридической службы
Прочная безопасность
Агент ↔ Соединение с сервером• AES шифрование- Rijndael
• Обмен маркерами
• SSL протокол (опция)
• IPSec тоннель (опция)
База данных• Цифровая подпись на всех захваченных сессиях
• Поддержка стандартных функций по защите SQL базы данных , принятых в вашей организации
Сторожевой механизм - Watchdog• Перезапуск агента при его остановке
• Если процесс watchdog останавливается, то агент перезапускает службу watchdog
• Отправка e-mail сообщение при любой попытке нарушения работоспособности агента/watchdog
13
Спасибо!Приходите к нам – рабочий стол №12.
Звоните нам - +7 (343) 278-60-46
Умная «Видеозапись» и Управление Правами Доступа