NetWrix Change Reporter Suite. Комплексное решение для аудита::Журнал СА 12.2011
www.samag.ru
Журнал «БИТ. Бизнес&Информационные технологии»      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Сетевая инфраструктура  

Как удаленная работа меняет подход к сетевой инфраструктуре?

С увеличением числа сотрудников, работающих из дома, организации сталкиваются с необходимостью создания

 Читать далее...

Мониторинг  

Какой мониторинг нужен сегодня?

По мнению экспертов ГК InfoWatch, действия сотрудников – самая распространенная причина инцидентов

 Читать далее...

Книжная полка  

Руководство для тех, кто увлечен ИИ, программированием. И дизайном

Накануне лета издательство «БХВ» выпустило книжные новинки, от которых любителям чтения будет

 Читать далее...

Мобильные приложения  

Искусственный интеллект в мобильных приложениях: возможности и перспективы

Обзор современных применений ИИ в мобильных приложениях, анализ перспектив развития этой технологии,

 Читать далее...

ИТ-образование  

Как сделать ИТ-образование эффективным?

Эксперты ИТ-отрасли отвечают на вопросы «СА». Обсуждаем ключевые аспекты для улучшения образовательных

 Читать далее...

Work-life balance  

Как айтишнику найти баланс между работой и личной жизнью?

Обсуждаем инструменты для эффективного управления временем, снижения уровня стресса и достижения гармонии. На

 Читать далее...

Книжная полка  

Всё самое нужное – под одной обложкой

Отличительная черта книжных новинок, выпущенных недавно издательством «БХВ» – это их универсальность. Не просто

 Читать далее...

ИТ-инфраструктура  

Системы мониторинга ИТ-инфраструктуры-2025

Без мониторинга ИТ-инфраструктуры не обходится ни одна компания, хотя бы потому, что

 Читать далее...

Открытое ПО  

Безопасность Open Source: рискуем или контролируем?

Компания «Кросс технолоджис» изучила, как используется ПО с открытым кодом в компаниях

 Читать далее...

Работа с нейросетью  

Скажи, есть ли у тебя AI, и я скажу, кто ты

Недавно сервис по поиску работы SuperJob выяснил, что каждый второй россиянин уже

 Читать далее...

Опрос  

Защита личных и клиентских данных: как мошенники используют ИИ и как защититься?

По данным RED Security, общее число кибератак на российские компании в 2024

 Читать далее...

Опрос  

Облачные инструменты для разработчиков

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Как с помощью облака сделать

 Читать далее...

Опрос  

Рынок мобильных приложений: что будет актуальным в 2025 году?

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Ваши прогнозы: чего ожидать от

 Читать далее...

Рынок труда  

Как успешно пройти все этапы собеседования на ИТ-должность?

По оценкам государства, дефицит ИТ-специалистов составляет от 740 тысяч до 1 миллиона

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 8146
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 8408
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 5735
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3606
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 4393
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 4402
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6951
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3747
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 4018
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7922
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 11279
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 13000
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14762
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9703
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7656
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5945
Комментарии: 4
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 5125
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3969
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3673
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3896
Комментарии: 1
Рецензия на книгу «MongoDB в действии»

 Читать далее...

Друзья сайта  

 NetWrix Change Reporter Suite. Комплексное решение для аудита

Архив номеров / 2011 / Выпуск №12 (109) / NetWrix Change Reporter Suite. Комплексное решение для аудита

Рубрика: Тестирование /  Продукты и решения

Сергей Яремчук СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей  шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

NetWrix Change Reporter Suite
Комплексное решение для аудита

Без постоянного анализа изменений нельзя построить действительно безопасную среду. Комплексное решение NetWrix Change Reporter Suite существенно упростит аудит ИТ-инфраструктуры

Сегодня бизнес очень плотно интегрирован с ИТ, поэтому бесперебойная и безопасная работа сервисов является важной составляющей, которую нельзя игнорировать, ведь практически любая служба критична. В итоге, помимо собственно развертывания сервиса, необходимо предусмотреть еще и ряд мероприятий – защита, резервное копирование и аудит.

Если назначение первых двух вполне понятно и новичку, то аудиту часто не уделяется должного внимания. Хотя это очень важная часть, ведь без постоянного анализа изменений можно даже не знать о действительных проблемах на сервере – кто, когда и что изменил, кому делегированы права, что произошло в случае изменений (удачных или неудачных), кто смог или не смог зайти в систему или получить доступ к ресурсу, кто удалил данные. Аудит позволит найти ответы на эти и многие другие вопросы. Потому он становится важной частью обеспечения безопасности, к тому же этого требует большинство стандартов вроде PCI (Payment Card Infrastructure) [1] или закон SOX (Sarbanes-Oxley Act). Но здесь есть некоторые проблемы.

Проблемы аудита

Все записи сохраняются в нескольких журналах – системном, безопасности, службы каталогов, приложений и многих других, а штатные инструменты операционной системы и серверов часто предлагают лишь базовые наборы средств анализа. Выбрать параметры изменения, которые нужно контролировать, – задача непростая и требующая хорошей подготовки администратора. Хотя здесь имеются уже некоторые улучшения. Так, в Windows Server 2008 и выше предложен обновленный Event Log, умеющий собирать сведения (подписки) с других серверов, представлен целый набор командлетов РowerShell практически на все случаи. Кроме этого, обновлены возможности аудита, настраиваемые через политики безопасности, количество отслеживаемых параметров увеличено на 53. Их настройки подробно расписывает документация [2], возможности новых инструментов достаточно обширные, но опять же администратор в их выборе, по сути, предоставлен самому себе. Он должен самостоятельно активировать, подбирая оптимальные значения, кроме того, на его плечи ложится анализ результата и построение разнообразных отчетов. Учитывая, что в сети запущено нескольких служб – Active Directory/GPO, Exchange Server, MS SQL Server, виртуальные машины и так далее, – генерирующих очень большое количество событий, отобрать действительно необходимые, следуя лишь их описаниям, очень тяжело.

Но это еще не все. Некоторые стандарты безопасности требуют хранения данных, собранных в процессе аудита, в течение продолжительного времени (например, SOX до семи лет), системными средствами реализовать это очень сложно.

Поэтому проблему всестороннего аудита можно решить с помощью продуктов сторонних поставщиков, обладающих графическим интерфейсом и понятными настройками. Одним из таких решений для автоматизированного отслеживания изменений и оповещений является пакет программ от NetWrix [3].

Возможности продуктов NetWrix

На сайте NetWrix можно найти несколько решений Change Reporter, обеспечивающих аудит отдельных компонентов (Active Directory, групповые политики, MS Exchange, файловый сервер, SCVMM, SQL Server, VMware, SharePoint, сетевая инфраструктура, изменения конфигурации серверов) и комплексный продукт Change Reporter Suite, в котором интегрированы все возможности.

Рисунок 1. Бесплатная версия NetWrix позволяет получать отчеты по любым изменениям

Рисунок 1. Бесплатная версия NetWrix позволяет получать отчеты по любым изменениям

Также предлагается расширение к Microsoft System Center Operations Manager, обеспечивающее возможность контроля изменений Active Directory, GPO и Exchange. Установка NetWrix Change Reporter возможна на любой компьютер, работающий под управлением Windows XP SP3 и выше. Для хранения отчетов используется Microsoft SQL Server от 2005, в том числе и бесплатный Express Edition. Кроме этого, понадобится IIS от 5.1 (в 64-битных системах в режиме 32 совместимости).

Особо хочется отметить, что практически все решения распространяются в двух версиях – бесплатной и коммерческой. Например, используя бесплатную NetWrix Active Directory Change Reporter, администратор может отследить все изменения, сделанные в Active Directory, групповых политиках и Microsoft Exchange. По результатам генерируются полные отчеты о произведенных изменениях с указанием значения до и после, которые формируются в виде ежедневного дайджеста, отправляемого на указанный e-mail. Object Restore Wizard позволяет произвести откат до предыдущего значения (в бесплатной версии «запоминаются» только четыре последних дня). Очень удобный и полезный продукт. Чтобы упростить настройки политик аудита, предложен мастер Audit Configuration Wizard, в котором все нужное производится нажатием одной кнопки. Один из минусов бесплатной версии – отсутствие централизованного управления, хотя для относительно небольших сетей это не так критично.

Рисунок 2. Мастер восстановления объектов NetWrix не имеет ограничений штатных инструментов

Рисунок 2. Мастер восстановления объектов NetWrix не имеет ограничений штатных инструментов

Платная версия оснащена значительно лучше. Здесь уже и уведомления в реальном времени о критических изменениях, поддержка нескольких доменов, продолжительное хранение архива изменений, библиотека отчетов, подписки, Snapshot Reporting, техподдержка, интеграция со SCOM и другими решениями от NetWrix. Также увеличено количество отчетов по расписанию – состояние «snapshot» Active Directory, изменения в определенных настройках на указанный момент, сброс пароля AD и так далее. Снимки службы каталогов по умолчанию производятся каждые 10 минут, и на их основании можно построить отчет, показывающий изменения объектов в динамике. Практически аналогичные возможности и у остальных продуктов линейки, с учетом их специфики. Например, Network Infrastructure Change Reporter умеет собирать данные с сетевых устройств, поддерживающих SNMP, и создавать отчеты о текущих настройках и их изменениях, информировать администратора о появлении новых систем в сети.

Всесторонний NetWrix Change Reporter Suite

Отдельные продукты интегрированы в комплексное решение NetWrix Change Reporter Suite, управление настройками производится посредством единой консоли Enterprise Management Console. Дополнительно можно подключить и другие решения NetWrix – управление неактивными учетными записями Inactive Users Tracker, напоминалку о необходимости смены пароля Password Expiration Notifier и агрегатор журналов Event Log Manager. В итоге мы получаем удобную систему, способную автоматизировать многие задачи администрирования. Решение от NetWrix может интегрироваться с некоторыми SIEM (Security Information and Event Management) системами, что предоставляет еще больше возможностей по аудиту и обработке инцидентов.

Рисунок 3. NetWrix Change Reporter Suite представляет собой комплексный продукт

Рисунок 3. NetWrix Change Reporter Suite представляет собой комплексный продукт

Консоль не локализована, но выполнена традиционно для подобного рода инструментов, поэтому, несмотря на большие возможности, разобраться с настройками труда не составит. Все операции вполне логичны, некоторые установки производятся с помощью мастеров или нажатием одной кнопки (например, установка режима 32-битной совместимости для IIS).

После установки Change Reporter Suite следует добавить объекты (домен, отдельный OU, сервер VMware или коллекцию компьютеров) и в Setting, последовательно переходя по подпунктам, настроить функцию улучшенных отчетов, подключение к SMTP и хранение архива. При большом количестве объектов их можно распределить по папкам.

Выбрав в меню объект и раскрыв список, получаем все доступные функции. Одна из полезных возможностей – оповещение об определенных изменениях в реальном времени. После установки в списках Real-Time Alerts присутствует три настроенных, но неактивных оповещения – уведомления об изменениях в группе администраторов, настройках домена и всех объектов AD. Остальные администратор настраивает самостоятельно (их количество неограничено). Каждое уведомление может состоять из одного или нескольких критериев, которые можно просмотреть, изменить или дополнить новыми. Чтобы настроить критерий, необходимо указать название, выбрать степень критичности, установить фильтры (кто, объект и тип модификации – добавлен, изменен, удален) и значения отслеживаемых атрибутов (тип, название и значение). В большинстве случаев параметр просто выбирается из предложенного списка, генерируемого на основании текущих настроек домена. Чтобы отобрать любые изменения, просто выбирается звездочка «*». Возможно использование ряда переменных. Когда все критерии заполнены, следует составить список получателей, выбрать тип уведомления (e-mail или SMS) и отредактировать шаблон сообщения. Все настраивается очень просто, а работает эффективно.

Рисунок 4. Настройка атрибутов оповещений в реальном времени

Рисунок 4. Настройка атрибутов оповещений в реальном времени

Раздел Advanced report содержит более 60 отчетов, разделенных на три группы (AD Snapshot Reports, All Changes Reports и Best Practice Reports). Для получения нужных данных, следует выбрать требуемый отчет и уточнить параметры (диапазон дат, кто и что изменил). Чтобы получать данные по отчету, автоматически оформляется подписка на e-mail.

После того как сделан первый снимок Active Directory, становится доступной функция восстановления измененных или удаленных данных с помощью мастера Object Restore Wizard. Причем он не имеет ограничений штатных инструментов, так в процессе выбора можно указать любую дату, для которой доступен snapshot. В процессе анализа мастер выдаст список всех изменившихся объектов, кнопка Detail позволит получить подробную информацию. Остается лишь отметить нужные флажком и подтвердить изменения.

***

Знакомство показало, что NetWrix Change Reporter Suite простой в использовании и удобный инструмент, обеспечивающий администратора всем необходимым для аудита изменений в ИТ-инфраструктуре. Лицензируется NetWrix по количеству активных пользователей. Документация по настройкам весьма подробна, правда, только на английском, но при базовом уровне понять все термины можно, плюс на сайте доступны форум и база знаний.

  1. Кондаков К. PCI – стандарт надежности информационных систем при работе с кредитными картами. //«Системный администратор», №10, 2011г. – С. 106-112.
  2. Security Audit Policy Reference – http://technet.microsoft.com/ru-ru/library/dd772623(WS.10).aspx.
  3. Ссылка на NetWrix Change Reporter Suite на сайте разработчика – http://www.netwrix.ru/suite.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru