NetWrix Change Reporter Suite. Комплексное решение для аудита::Журнал СА 12.2011
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6408
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7114
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4392
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3085
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3881
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3896
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6385
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3231
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3528
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7361
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10723
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12443
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14093
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9192
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7140
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5445
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4683
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3494
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3211
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3449
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3090
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 NetWrix Change Reporter Suite. Комплексное решение для аудита

Архив номеров / 2011 / Выпуск №12 (109) / NetWrix Change Reporter Suite. Комплексное решение для аудита

Рубрика: Тестирование /  Продукты и решения

Сергей Яремчук СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей  шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

NetWrix Change Reporter Suite
Комплексное решение для аудита

Без постоянного анализа изменений нельзя построить действительно безопасную среду. Комплексное решение NetWrix Change Reporter Suite существенно упростит аудит ИТ-инфраструктуры

Сегодня бизнес очень плотно интегрирован с ИТ, поэтому бесперебойная и безопасная работа сервисов является важной составляющей, которую нельзя игнорировать, ведь практически любая служба критична. В итоге, помимо собственно развертывания сервиса, необходимо предусмотреть еще и ряд мероприятий – защита, резервное копирование и аудит.

Если назначение первых двух вполне понятно и новичку, то аудиту часто не уделяется должного внимания. Хотя это очень важная часть, ведь без постоянного анализа изменений можно даже не знать о действительных проблемах на сервере – кто, когда и что изменил, кому делегированы права, что произошло в случае изменений (удачных или неудачных), кто смог или не смог зайти в систему или получить доступ к ресурсу, кто удалил данные. Аудит позволит найти ответы на эти и многие другие вопросы. Потому он становится важной частью обеспечения безопасности, к тому же этого требует большинство стандартов вроде PCI (Payment Card Infrastructure) [1] или закон SOX (Sarbanes-Oxley Act). Но здесь есть некоторые проблемы.

Проблемы аудита

Все записи сохраняются в нескольких журналах – системном, безопасности, службы каталогов, приложений и многих других, а штатные инструменты операционной системы и серверов часто предлагают лишь базовые наборы средств анализа. Выбрать параметры изменения, которые нужно контролировать, – задача непростая и требующая хорошей подготовки администратора. Хотя здесь имеются уже некоторые улучшения. Так, в Windows Server 2008 и выше предложен обновленный Event Log, умеющий собирать сведения (подписки) с других серверов, представлен целый набор командлетов РowerShell практически на все случаи. Кроме этого, обновлены возможности аудита, настраиваемые через политики безопасности, количество отслеживаемых параметров увеличено на 53. Их настройки подробно расписывает документация [2], возможности новых инструментов достаточно обширные, но опять же администратор в их выборе, по сути, предоставлен самому себе. Он должен самостоятельно активировать, подбирая оптимальные значения, кроме того, на его плечи ложится анализ результата и построение разнообразных отчетов. Учитывая, что в сети запущено нескольких служб – Active Directory/GPO, Exchange Server, MS SQL Server, виртуальные машины и так далее, – генерирующих очень большое количество событий, отобрать действительно необходимые, следуя лишь их описаниям, очень тяжело.

Но это еще не все. Некоторые стандарты безопасности требуют хранения данных, собранных в процессе аудита, в течение продолжительного времени (например, SOX до семи лет), системными средствами реализовать это очень сложно.

Поэтому проблему всестороннего аудита можно решить с помощью продуктов сторонних поставщиков, обладающих графическим интерфейсом и понятными настройками. Одним из таких решений для автоматизированного отслеживания изменений и оповещений является пакет программ от NetWrix [3].

Возможности продуктов NetWrix

На сайте NetWrix можно найти несколько решений Change Reporter, обеспечивающих аудит отдельных компонентов (Active Directory, групповые политики, MS Exchange, файловый сервер, SCVMM, SQL Server, VMware, SharePoint, сетевая инфраструктура, изменения конфигурации серверов) и комплексный продукт Change Reporter Suite, в котором интегрированы все возможности.

Рисунок 1. Бесплатная версия NetWrix позволяет получать отчеты по любым изменениям

Рисунок 1. Бесплатная версия NetWrix позволяет получать отчеты по любым изменениям

Также предлагается расширение к Microsoft System Center Operations Manager, обеспечивающее возможность контроля изменений Active Directory, GPO и Exchange. Установка NetWrix Change Reporter возможна на любой компьютер, работающий под управлением Windows XP SP3 и выше. Для хранения отчетов используется Microsoft SQL Server от 2005, в том числе и бесплатный Express Edition. Кроме этого, понадобится IIS от 5.1 (в 64-битных системах в режиме 32 совместимости).

Особо хочется отметить, что практически все решения распространяются в двух версиях – бесплатной и коммерческой. Например, используя бесплатную NetWrix Active Directory Change Reporter, администратор может отследить все изменения, сделанные в Active Directory, групповых политиках и Microsoft Exchange. По результатам генерируются полные отчеты о произведенных изменениях с указанием значения до и после, которые формируются в виде ежедневного дайджеста, отправляемого на указанный e-mail. Object Restore Wizard позволяет произвести откат до предыдущего значения (в бесплатной версии «запоминаются» только четыре последних дня). Очень удобный и полезный продукт. Чтобы упростить настройки политик аудита, предложен мастер Audit Configuration Wizard, в котором все нужное производится нажатием одной кнопки. Один из минусов бесплатной версии – отсутствие централизованного управления, хотя для относительно небольших сетей это не так критично.

Рисунок 2. Мастер восстановления объектов NetWrix не имеет ограничений штатных инструментов

Рисунок 2. Мастер восстановления объектов NetWrix не имеет ограничений штатных инструментов

Платная версия оснащена значительно лучше. Здесь уже и уведомления в реальном времени о критических изменениях, поддержка нескольких доменов, продолжительное хранение архива изменений, библиотека отчетов, подписки, Snapshot Reporting, техподдержка, интеграция со SCOM и другими решениями от NetWrix. Также увеличено количество отчетов по расписанию – состояние «snapshot» Active Directory, изменения в определенных настройках на указанный момент, сброс пароля AD и так далее. Снимки службы каталогов по умолчанию производятся каждые 10 минут, и на их основании можно построить отчет, показывающий изменения объектов в динамике. Практически аналогичные возможности и у остальных продуктов линейки, с учетом их специфики. Например, Network Infrastructure Change Reporter умеет собирать данные с сетевых устройств, поддерживающих SNMP, и создавать отчеты о текущих настройках и их изменениях, информировать администратора о появлении новых систем в сети.

Всесторонний NetWrix Change Reporter Suite

Отдельные продукты интегрированы в комплексное решение NetWrix Change Reporter Suite, управление настройками производится посредством единой консоли Enterprise Management Console. Дополнительно можно подключить и другие решения NetWrix – управление неактивными учетными записями Inactive Users Tracker, напоминалку о необходимости смены пароля Password Expiration Notifier и агрегатор журналов Event Log Manager. В итоге мы получаем удобную систему, способную автоматизировать многие задачи администрирования. Решение от NetWrix может интегрироваться с некоторыми SIEM (Security Information and Event Management) системами, что предоставляет еще больше возможностей по аудиту и обработке инцидентов.

Рисунок 3. NetWrix Change Reporter Suite представляет собой комплексный продукт

Рисунок 3. NetWrix Change Reporter Suite представляет собой комплексный продукт

Консоль не локализована, но выполнена традиционно для подобного рода инструментов, поэтому, несмотря на большие возможности, разобраться с настройками труда не составит. Все операции вполне логичны, некоторые установки производятся с помощью мастеров или нажатием одной кнопки (например, установка режима 32-битной совместимости для IIS).

После установки Change Reporter Suite следует добавить объекты (домен, отдельный OU, сервер VMware или коллекцию компьютеров) и в Setting, последовательно переходя по подпунктам, настроить функцию улучшенных отчетов, подключение к SMTP и хранение архива. При большом количестве объектов их можно распределить по папкам.

Выбрав в меню объект и раскрыв список, получаем все доступные функции. Одна из полезных возможностей – оповещение об определенных изменениях в реальном времени. После установки в списках Real-Time Alerts присутствует три настроенных, но неактивных оповещения – уведомления об изменениях в группе администраторов, настройках домена и всех объектов AD. Остальные администратор настраивает самостоятельно (их количество неограничено). Каждое уведомление может состоять из одного или нескольких критериев, которые можно просмотреть, изменить или дополнить новыми. Чтобы настроить критерий, необходимо указать название, выбрать степень критичности, установить фильтры (кто, объект и тип модификации – добавлен, изменен, удален) и значения отслеживаемых атрибутов (тип, название и значение). В большинстве случаев параметр просто выбирается из предложенного списка, генерируемого на основании текущих настроек домена. Чтобы отобрать любые изменения, просто выбирается звездочка «*». Возможно использование ряда переменных. Когда все критерии заполнены, следует составить список получателей, выбрать тип уведомления (e-mail или SMS) и отредактировать шаблон сообщения. Все настраивается очень просто, а работает эффективно.

Рисунок 4. Настройка атрибутов оповещений в реальном времени

Рисунок 4. Настройка атрибутов оповещений в реальном времени

Раздел Advanced report содержит более 60 отчетов, разделенных на три группы (AD Snapshot Reports, All Changes Reports и Best Practice Reports). Для получения нужных данных, следует выбрать требуемый отчет и уточнить параметры (диапазон дат, кто и что изменил). Чтобы получать данные по отчету, автоматически оформляется подписка на e-mail.

После того как сделан первый снимок Active Directory, становится доступной функция восстановления измененных или удаленных данных с помощью мастера Object Restore Wizard. Причем он не имеет ограничений штатных инструментов, так в процессе выбора можно указать любую дату, для которой доступен snapshot. В процессе анализа мастер выдаст список всех изменившихся объектов, кнопка Detail позволит получить подробную информацию. Остается лишь отметить нужные флажком и подтвердить изменения.

***

Знакомство показало, что NetWrix Change Reporter Suite простой в использовании и удобный инструмент, обеспечивающий администратора всем необходимым для аудита изменений в ИТ-инфраструктуре. Лицензируется NetWrix по количеству активных пользователей. Документация по настройкам весьма подробна, правда, только на английском, но при базовом уровне понять все термины можно, плюс на сайте доступны форум и база знаний.

  1. Кондаков К. PCI – стандарт надежности информационных систем при работе с кредитными картами. //«Системный администратор», №10, 2011г. – С. 106-112.
  2. Security Audit Policy Reference – http://technet.microsoft.com/ru-ru/library/dd772623(WS.10).aspx.
  3. Ссылка на NetWrix Change Reporter Suite на сайте разработчика – http://www.netwrix.ru/suite.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru