NetWrix Change Reporter Suite. Комплексное решение для аудита

 СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей  шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

NetWrix Change Reporter Suite
Комплексное решение для аудита

Без постоянного анализа изменений нельзя построить действительно безопасную среду. Комплексное решение NetWrix Change Reporter Suite существенно упростит аудит ИТ-инфраструктуры

Сегодня бизнес очень плотно интегрирован с ИТ, поэтому бесперебойная и безопасная работа сервисов является важной составляющей, которую нельзя игнорировать, ведь практически любая служба критична. В итоге, помимо собственно развертывания сервиса, необходимо предусмотреть еще и ряд мероприятий – защита, резервное копирование и аудит.

Если назначение первых двух вполне понятно и новичку, то аудиту часто не уделяется должного внимания. Хотя это очень важная часть, ведь без постоянного анализа изменений можно даже не знать о действительных проблемах на сервере – кто, когда и что изменил, кому делегированы права, что произошло в случае изменений (удачных или неудачных), кто смог или не смог зайти в систему или получить доступ к ресурсу, кто удалил данные. Аудит позволит найти ответы на эти и многие другие вопросы. Потому он становится важной частью обеспечения безопасности, к тому же этого требует большинство стандартов вроде PCI (Payment Card Infrastructure) [1] или закон SOX (Sarbanes-Oxley Act). Но здесь есть некоторые проблемы.

Проблемы аудита

Все записи сохраняются в нескольких журналах – системном, безопасности, службы каталогов, приложений и многих других, а штатные инструменты операционной системы и серверов часто предлагают лишь базовые наборы средств анализа. Выбрать параметры изменения, которые нужно контролировать, – задача непростая и требующая хорошей подготовки администратора. Хотя здесь имеются уже некоторые улучшения. Так, в Windows Server 2008 и выше предложен обновленный Event Log, умеющий собирать сведения (подписки) с других серверов, представлен целый набор командлетов РowerShell практически на все случаи. Кроме этого, обновлены возможности аудита, настраиваемые через политики безопасности, количество отслеживаемых параметров увеличено на 53. Их настройки подробно расписывает документация [2], возможности новых инструментов достаточно обширные, но опять же администратор в их выборе, по сути, предоставлен самому себе. Он должен самостоятельно активировать, подбирая оптимальные значения, кроме того, на его плечи ложится анализ результата и построение разнообразных отчетов. Учитывая, что в сети запущено нескольких служб – Active Directory/GPO, Exchange Server, MS SQL Server, виртуальные машины и так далее, – генерирующих очень большое количество событий, отобрать действительно необходимые, следуя лишь их описаниям, очень тяжело.

Но это еще не все. Некоторые стандарты безопасности требуют хранения данных, собранных в процессе аудита, в течение продолжительного времени (например, SOX до семи лет), системными средствами реализовать это очень сложно.

Поэтому проблему всестороннего аудита можно решить с помощью продуктов сторонних поставщиков, обладающих графическим интерфейсом и понятными настройками. Одним из таких решений для автоматизированного отслеживания изменений и оповещений является пакет программ от NetWrix [3].

Возможности продуктов NetWrix

На сайте NetWrix можно найти несколько решений Change Reporter, обеспечивающих аудит отдельных компонентов (Active Directory, групповые политики, MS Exchange, файловый сервер, SCVMM, SQL Server, VMware, SharePoint, сетевая инфраструктура, изменения конфигурации серверов) и комплексный продукт Change Reporter Suite, в котором интегрированы все возможности.

Рисунок 1. Бесплатная версия NetWrix позволяет получать отчеты по любым изменениям

Также предлагается расширение к Microsoft System Center Operations Manager, обеспечивающее возможность контроля изменений Active Directory, GPO и Exchange. Установка NetWrix Change Reporter возможна на любой компьютер, работающий под управлением Windows XP SP3 и выше. Для хранения отчетов используется Microsoft SQL Server от 2005, в том числе и бесплатный Express Edition. Кроме этого, понадобится IIS от 5.1 (в 64-битных системах в режиме 32 совместимости).

Особо хочется отметить, что практически все решения распространяются в двух версиях – бесплатной и коммерческой. Например, используя бесплатную NetWrix Active Directory Change Reporter, администратор может отследить все изменения, сделанные в Active Directory, групповых политиках и Microsoft Exchange. По результатам генерируются полные отчеты о произведенных изменениях с указанием значения до и после, которые формируются в виде ежедневного дайджеста, отправляемого на указанный e-mail. Object Restore Wizard позволяет произвести откат до предыдущего значения (в бесплатной версии «запоминаются» только четыре последних дня). Очень удобный и полезный продукт. Чтобы упростить настройки политик аудита, предложен мастер Audit Configuration Wizard, в котором все нужное производится нажатием одной кнопки. Один из минусов бесплатной версии – отсутствие централизованного управления, хотя для относительно небольших сетей это не так критично.

Рисунок 2. Мастер восстановления объектов NetWrix не имеет ограничений штатных инструментов

Платная версия оснащена значительно лучше. Здесь уже и уведомления в реальном времени о критических изменениях, поддержка нескольких доменов, продолжительное хранение архива изменений, библиотека отчетов, подписки, Snapshot Reporting, техподдержка, интеграция со SCOM и другими решениями от NetWrix. Также увеличено количество отчетов по расписанию – состояние «snapshot» Active Directory, изменения в определенных настройках на указанный момент, сброс пароля AD и так далее. Снимки службы каталогов по умолчанию производятся каждые 10 минут, и на их основании можно построить отчет, показывающий изменения объектов в динамике. Практически аналогичные возможности и у остальных продуктов линейки, с учетом их специфики. Например, Network Infrastructure Change Reporter умеет собирать данные с сетевых устройств, поддерживающих SNMP, и создавать отчеты о текущих настройках и их изменениях, информировать администратора о появлении новых систем в сети.

Всесторонний NetWrix Change Reporter Suite

Отдельные продукты интегрированы в комплексное решение NetWrix Change Reporter Suite, управление настройками производится посредством единой консоли Enterprise Management Console. Дополнительно можно подключить и другие решения NetWrix – управление неактивными учетными записями Inactive Users Tracker, напоминалку о необходимости смены пароля Password Expiration Notifier и агрегатор журналов Event Log Manager. В итоге мы получаем удобную систему, способную автоматизировать многие задачи администрирования. Решение от NetWrix может интегрироваться с некоторыми SIEM (Security Information and Event Management) системами, что предоставляет еще больше возможностей по аудиту и обработке инцидентов.

Рисунок 3. NetWrix Change Reporter Suite представляет собой комплексный продукт

Консоль не локализована, но выполнена традиционно для подобного рода инструментов, поэтому, несмотря на большие возможности, разобраться с настройками труда не составит. Все операции вполне логичны, некоторые установки производятся с помощью мастеров или нажатием одной кнопки (например, установка режима 32-битной совместимости для IIS).

После установки Change Reporter Suite следует добавить объекты (домен, отдельный OU, сервер VMware или коллекцию компьютеров) и в Setting, последовательно переходя по подпунктам, настроить функцию улучшенных отчетов, подключение к SMTP и хранение архива. При большом количестве объектов их можно распределить по папкам.

Выбрав в меню объект и раскрыв список, получаем все доступные функции. Одна из полезных возможностей – оповещение об определенных изменениях в реальном времени. После установки в списках Real-Time Alerts присутствует три настроенных, но неактивных оповещения – уведомления об изменениях в группе администраторов, настройках домена и всех объектов AD. Остальные администратор настраивает самостоятельно (их количество неограничено). Каждое уведомление может состоять из одного или нескольких критериев, которые можно просмотреть, изменить или дополнить новыми. Чтобы настроить критерий, необходимо указать название, выбрать степень критичности, установить фильтры (кто, объект и тип модификации – добавлен, изменен, удален) и значения отслеживаемых атрибутов (тип, название и значение). В большинстве случаев параметр просто выбирается из предложенного списка, генерируемого на основании текущих настроек домена. Чтобы отобрать любые изменения, просто выбирается звездочка «*». Возможно использование ряда переменных. Когда все критерии заполнены, следует составить список получателей, выбрать тип уведомления (e-mail или SMS) и отредактировать шаблон сообщения. Все настраивается очень просто, а работает эффективно.

Рисунок 4. Настройка атрибутов оповещений в реальном времени

Раздел Advanced report содержит более 60 отчетов, разделенных на три группы (AD Snapshot Reports, All Changes Reports и Best Practice Reports). Для получения нужных данных, следует выбрать требуемый отчет и уточнить параметры (диапазон дат, кто и что изменил). Чтобы получать данные по отчету, автоматически оформляется подписка на e-mail.

После того как сделан первый снимок Active Directory, становится доступной функция восстановления измененных или удаленных данных с помощью мастера Object Restore Wizard. Причем он не имеет ограничений штатных инструментов, так в процессе выбора можно указать любую дату, для которой доступен snapshot. В процессе анализа мастер выдаст список всех изменившихся объектов, кнопка Detail позволит получить подробную информацию. Остается лишь отметить нужные флажком и подтвердить изменения.

***

Знакомство показало, что NetWrix Change Reporter Suite простой в использовании и удобный инструмент, обеспечивающий администратора всем необходимым для аудита изменений в ИТ-инфраструктуре. Лицензируется NetWrix по количеству активных пользователей. Документация по настройкам весьма подробна, правда, только на английском, но при базовом уровне понять все термины можно, плюс на сайте доступны форум и база знаний.

1. Кондаков К. PCI – стандарт надежности информационных систем при работе с кредитными картами. //«Системный администратор», №10, 2011г. – С. 106-112.
2. Security Audit Policy Reference – http://technet.microsoft.com/ru-ru/library/dd772623(WS.10).aspx.
3. Ссылка на NetWrix Change Reporter Suite на сайте разработчика – http://www.netwrix.ru/suite.

Комментарии могут оставлять только зарегистрированные пользователи