НТКС: мониторинг активности пользователей
TRANSCRIPT
![Page 1: НТКС: мониторинг активности пользователей](https://reader034.vdocuments.us/reader034/viewer/2022042716/55a93aca1a28ab41648b45bc/html5/thumbnails/1.jpg)
ObserveIT:Мониторинг Активности Пользователей
Конференция «Код Информационной Безопасности» Челябинск, 2013
![Page 2: НТКС: мониторинг активности пользователей](https://reader034.vdocuments.us/reader034/viewer/2022042716/55a93aca1a28ab41648b45bc/html5/thumbnails/2.jpg)
Зайдите на своем компьютере в Журнал Событий:Можете ли вы ответить что произошло в последние 15 минут?
2
• сотни записей в журнале…• множество технических деталей…• …Но никакой информации о том что конкретно
пользователь делал!
![Page 3: НТКС: мониторинг активности пользователей](https://reader034.vdocuments.us/reader034/viewer/2022042716/55a93aca1a28ab41648b45bc/html5/thumbnails/3.jpg)
3
Системные логи подобны отпечаткам пальцев
Они показывают результатыпроизошедшего
Они показывают, что именнопроизошло!
Журналы аудита пользователя – как видеозаписи
![Page 4: НТКС: мониторинг активности пользователей](https://reader034.vdocuments.us/reader034/viewer/2022042716/55a93aca1a28ab41648b45bc/html5/thumbnails/4.jpg)
ObserveIT -ПО которое работает как видеокамера на вашиx серверах!
Видеозапись всей пользовательской активности
Анализ видео для последующего создания журналов аудита в текстовом формате (даже для тех, у которых отсутствует встроенная функция записи в журнал!)
4
![Page 5: НТКС: мониторинг активности пользователей](https://reader034.vdocuments.us/reader034/viewer/2022042716/55a93aca1a28ab41648b45bc/html5/thumbnails/5.jpg)
Программа «видеозаписи» создает подробные текстовые метаданные для последующего поиска, навигации и отчетов
ObserveIT captures User, Server, Date,
App Launched, Files opened, URLs, window
titles and underlying system calls
ObserveIT захватывает:• Имя пользователя• Сервер• Дату• Запущенное приложение• Открытые файлы• URLs• Заголовки окон• Базовые системные вызовы
Воспроизведение видео с точного
места, которое вас интересует
5
![Page 6: НТКС: мониторинг активности пользователей](https://reader034.vdocuments.us/reader034/viewer/2022042716/55a93aca1a28ab41648b45bc/html5/thumbnails/6.jpg)
Записывает все! Полный охват:
• Независимо от сетевого протокола и программы клиента• Удаленные сессии, а так же локальные консольные подключения• Windows, Unix, Linux
Telnet
6
Unix/Linux ConsoleWindows Console
(Ctrl-Alt-Del)
![Page 7: НТКС: мониторинг активности пользователей](https://reader034.vdocuments.us/reader034/viewer/2022042716/55a93aca1a28ab41648b45bc/html5/thumbnails/7.jpg)
Мониторинг активности пользователей: Windows
7
«Дневник Сервера» выдает список всех пользовательских сессий, на каждом сервере, для каждого из пользователей
Для каждой сессии указывается длительность, логин, пользователь, сервер и т.д.
Вау… А зачем он редактирует
файл ‘hosts’ ???
Просто нажмите кнопку
воспроизведения, чтобы увидеть что
происходило!
Четкая фиксация каждого запущенного приложения , каждого открытого окна и действия пользователя
В аудит попадают• Облачные приложения• Системные утилиты• Стандартные приложения
Воспроизведение Видео всей деятельности пользователя с любой заданной временной точки
![Page 8: НТКС: мониторинг активности пользователей](https://reader034.vdocuments.us/reader034/viewer/2022042716/55a93aca1a28ab41648b45bc/html5/thumbnails/8.jpg)
Пример сессии: Linux
Clear indication:• ‘Brad’ ran a script called ‘innocentscript’.• This script includes a system call ‘rm-rf’.
• That rm command deleted 2 files: ‘samplefile’ and ‘anotherfile’.
Аудит лога метаданных показывает все системные вызовы
Видео воспроизведение TTY I/O
Какие скрипты были запущены
пользователем???
![Page 9: НТКС: мониторинг активности пользователей](https://reader034.vdocuments.us/reader034/viewer/2022042716/55a93aca1a28ab41648b45bc/html5/thumbnails/9.jpg)
Пример сессии: Unix
Лог аудита
Окно воспроизведения
Список каждой команды
пользователя
Точное воспроизведение
экрана пользователя
9
![Page 10: НТКС: мониторинг активности пользователей](https://reader034.vdocuments.us/reader034/viewer/2022042716/55a93aca1a28ab41648b45bc/html5/thumbnails/10.jpg)
Идентификация привилегированного пользователя, информирование о корпоративной политике безопасности
10
Пользователь идентифицирован и уведомлен о политике записи.
Только теперь он может войти на компьютер/сервер
Пользователь входит с анонимной учеткой
“administrator”Информирование
пользователей о текущей политике непосредственно
перед входом в систему
Дополнительная авторизация с конкретным
именем, чтобы получить доступ к системе
Теперь каждая сессия для аудита будет именной:
Вход осуществил: administratorНастоящее имя: Daniel
![Page 11: НТКС: мониторинг активности пользователей](https://reader034.vdocuments.us/reader034/viewer/2022042716/55a93aca1a28ab41648b45bc/html5/thumbnails/11.jpg)
Воспроизведение в реальном времени
Значок, указывающий на рабочую сессию и дающий
возможность просмотра действий в реальном времени
Просмотр рабочей сессии «вживую», в то время как пользователь продолжает
работать
11
![Page 12: НТКС: мониторинг активности пользователей](https://reader034.vdocuments.us/reader034/viewer/2022042716/55a93aca1a28ab41648b45bc/html5/thumbnails/12.jpg)
Политики записи и просмотра
12
• Гибкие политики по приложениям, пользователям, компьютерам
• Двойной пароль для просмотра записи
Определяет, что именно записывается
(include/exclude – правила по приложению, пользователю, ком
пьютеру)
Два пароля: один для управления, другой – для
профсоюзов или юридической службы
![Page 13: НТКС: мониторинг активности пользователей](https://reader034.vdocuments.us/reader034/viewer/2022042716/55a93aca1a28ab41648b45bc/html5/thumbnails/13.jpg)
Прочная безопасность
Агент ↔ Соединение с сервером• AES шифрование- Rijndael
• Обмен маркерами
• SSL протокол (опция)
• IPSec тоннель (опция)
База данных• Цифровая подпись на всех захваченных сессиях
• Поддержка стандартных функций по защите SQL базы данных , принятых в вашей организации
Сторожевой механизм - Watchdog• Перезапуск агента при его остановке
• Если процесс watchdog останавливается, то агент перезапускает службу watchdog
• Отправка e-mail сообщение при любой попытке нарушения работоспособности агента/watchdog
13
![Page 14: НТКС: мониторинг активности пользователей](https://reader034.vdocuments.us/reader034/viewer/2022042716/55a93aca1a28ab41648b45bc/html5/thumbnails/14.jpg)
Спасибо!Приходите к нам – рабочий стол №12.
Звоните нам - +7 (343) 278-60-46
Умная «Видеозапись» и Управление Правами Доступа