Использование DLP-системы DeviceLock. Работа с журналами аудита и теневого копирования

 ИЛЬЯ КУЗЬМИНОВ, специалист по защите информации

Использование DLP-системы DeviceLock
Работа с журналами аудита и теневого копирования

Данный цикл статей посвящен описанию особенностей, с которыми мы столкнулись в практике использования DeviceLock Endpoint DLP Suite в банковской корпоративной среде. Четвертая статья цикла описывает некоторые нюансы работы с журналами аудита и теневого копирования

Виды журналов аудита в DeviceLock

Агенты DeviceLock фиксируют операции с теми или иными внешними устройствами, в том числе несостоявшиеся по причине запрета доступа операции. Это операции подключения и извлечения внешних устройств, чтения и записи файлов с них/на них, создания и удаления файлов, операции отправки документов на печать (в том числе на виртуальные принтеры), операции прожига дисков (в том числе записи образов дисков). В отношении синхронизированных с рабочей станцией смартфонов возможно более детальное логирование, где раздельно отображаются такие операции, как, например, работа с записями календаря, контактов, заметок и т.д.

Автор не рекомендует включать два вида логирования: операций с жестким диском и операций с буфером обмена. Первые настолько многочисленны, что их логирование замедляет работу целевой рабочей станции, вызывает стремительный рост размера базы данных с записями лога на сервере и вызывает неконтролируемое разрастание transaction log SQL-сервера, к которому подключен сервер DeviceLock.

Агенты могут вести два вида лога: Event Log и DeviceLock Log (настраивается в Service Options –> Auditing& Shadowing –> Audit log type). Их различие в том, что первый хранится локально на машине и доступен для просмотра любому пользователю, а второй может быть отправлен на сервер при отключенной на агенте Default Security, но пока хранится локально, доступен для просмотра только учетным записям в списке DeviceLock Administrators. Поэтому не удивляйтесь, когда в списке записей в логе агента вы обнаружите строки, которые не исчезают из списка и не появляются в списке на сервере, сколько бы вы ни нажимали кнопку Send Data To Server.

Агенты DeviceLock также ведут теневое копирование файлов, записываемых на различные устройства. Подлежит теневому копированию в первую очередь запись на Removable, CD/DVD, Floppy, а также отправка документов на печать. В режиме теневого копирования файл, записываемый на внешнее устройство, одновременно записывается в промежуточное хранилище агента DeviceLock на локальной машине. Агент в зависимости от настроек может переправлять файлы на сервер и удалять их из локального хранилища. Сервер может хранить сами файлы как в директории  жестком диске, так и в базе данных SQL. Последнее не рекомендуется, т.к. будет вызывать разрастание базы данных за счет неиндексируемых массивов данных. Предпочтительнее первый вариант, когда сами файлы хранятся в директории на жестком диске, а в базе данных SQL хранится индекс для быстрого доступа к файлам.

Работа с агентами DeviceLock без сервера возможна. Можно настроить лимит размера локального хранилища логов и теневых файлов и порядок действий при достижении лимита (прекращение логирования; блокировка возможности дальнейшей записи на внешние устройства; удаление старых записей в хранилище). Можно подключаться к каждому агенту по очереди с помощью DeviceLock Management Console и просматривать логи и файлы теневого хранилища. Однако такая модель неудобна, поэтому в дальнейшем речь идет только о работе с логами с подключением к серверу DeviceLock.

Сервер DeviceLock хранит три вида записей: уже описанные логи и теневые копии файлов, а также Server Log – записи о событиях, связанных с самим сервером. Эти записи состоят из сообщений о получении запросов от агентов на сбор с них логов, о начале копирования логов с агентов и успешном завершении копирования. В оптимальных условиях передача идет на шестом уровне аутентификации RPC, и в логе нет сообщений о понижении уровня аутентификации до первого или другого. В случае ошибок при сборе данных в записях логов присутствуют стандартные коды ошибок Windows, по которым легче установить причину неполадок.

Ограничение размера логов агентов на сервере DeviceLock

При работе с логом в 10-15 млн записей на менее мощном сервере (первые гигабайты оперативной памяти, не такие быстрые жесткие диски) время ожидания при пролистывании страниц и применении фильтров составляет минуты, а сортировка по полю вызовет скорее всего зависание консоли. В связи с этим, если нет возможности ограничить поступающий поток логов (например, отключить логирование чтения с устройств и оставить только логирование записи) и нет возможности развернуть мощный сервер, остается три нижеперечисленных пути:

• Настроить автоматическое удаление старых записей лога на сервере по достижении определенного количества записей в логе. Недостаток метода: вы не сможете хранить записи о действиях пользователей годами, что может быть полезно и даже необходимо по требованию регуляторов в крупной компании, особенно в финансовом секторе.
• Регулярно обрезать старую (например, старше одного месяца) часть таблицы [DeviceLock DB].[dbo].[DLAuditLog], сохраняя ее копию в отдельную БД.
• Изредка обрезать старую часть таблицы и вообще не работать с логом через интерфейс консоли DeviceLock, а выполнять все те же операции – фильтрация логов по содержимому полей, выведение записи в порядке возрастания/убывания значений в полях – командами transact-SQL, подключаясь SQL Management Studio к SQL-серверу.

Особенности работы с теневым хранилищем

Не удивляйтесь, если некоторые файлы с нормальным расширением не будут открываться при наличии программ для их чтения. Дело в том, что агенты DeviceLock делают теневые копии всех данных, которые пишутся непосредственно на носитель. Если файл .doc запускается, например, с флеш-карты и затем редактируется, то в теневое хранилище в виде отдельных файлов .doc будут сохранены изменения, сделанные в файле. Такие файлы, если они содержат главным образом текст, как правило, очень хорошо сжимаемы.

При записи большого файла на внешний носитель, например, при прожиге DVD, его теневая копия даже не появляется в локальном теневом хранилище агента, но и не сразу появляется в теневом хранилище на сервере DeviceLock. Это нормально. Компонентам нужно время на передачу данных по сети, а затем серверу нужно время, чтобы «собрать» и проверить теневую копию на предмет ее корректности. Это делается и для небольших файлов, просто для них задержки по времени не очень существенны и порой незаметны.

Не существует приоритета передачи маленьких файлов теневого копирования на сервер по отношению к большим. В очередь для передачи данных на сервер встают агенты DeviceLock, а файлы передаются на сервер в порядке времени их создания в локальном теневом хранилище агента – сначала старые, потом новые. Таким образом, передача большого файла вызовет отсрочку передачи маленьких файлов, созданных непосредственно после большого. При этом соответствующие теневым копиям записи логов передаются асинхронно, т.е. в теории возможны ситуации, когда на сервере уже видны записи лога (например, о записи на DVD), но еще недоступны сами файлы.

Также нужно знать, что для сокращения используемого места сервер DeviceLock не дублирует одинаковые файлы в хранилище. Если контрольные суммы нового пришедшего на сервер файла совпадают с контрольными суммами ранее созданного, в логе теневого копирования (Shadow Log Viewer) появляется отдельная запись, но при обращении к этой записи, ей подкладывается старый файл, а не новый. Таким образом, возможна ситуация, когда вы удалили строку в логе теневого копирования (что обычно ведет к удалению соответствующего файла) с целью уменьшить размер теневого хранилища, но размер не уменьшился. Это значит, что с целевым файлом связана еще одна или более записей в логе теневого копирования.

Завершим разговор о теневом хранилище неприятной темой – недоступностью для просмотра некоторых теневых копий документов, отправленных на печать. Формат теневых копий может не поддерживаться модулем сервера DeviceLock – DL PrinterViewer. В таком случае нужно будет выяснить, какой язык принтера используется в таких теневых копиях, и поискать отдельный вьюер для него. DLPrinterViewer поддерживает следующие форматы спулера: PostScrIPt, PCL5, PCL6 (PCL XL), HP-Gl/2, GDI printing (ZjStream) и EMF Spooled Files. В некоторых случаях, столкнувшись с проблемным принтером, можно потребовать от ИТ-специалистов, чтобы они изменили язык печати такого принтера на поддерживаемый DeviceLock.

Если нужно в экстренном порядке получить данные о том, что распечатывал пользователь можно отправить созданную DeviceLock теневую копию на печать на тот же принтер командой:

copy /b <имя_файла> <имя_принтера>

Правила фильтрации по содержимому. Использование возможностей модуля ContentLock

Контентные правила (Content Aware Rules) позволяют изменять разрешения на доступ или настройки логирования для разных типов файлов, причем типы определяются не по расширениям, а по сигнатурам – по структуре содержимого. Поэтому список файлов, для которых можно выставлять настройки, ограничен, хотя и велик. С каждой новой версией программы список, впрочем, растет. Контентные правила очень удобно использовать, чтобы ограничить поток файлов в теневое хранилище сервера. Ограничения можно ввести для предзаданных групп типов файлов, например, Images, Cad, and Drawing, а можно для самостоятельно скомпонованной группы файлов.

Возможности модуля ContentLock позволяют задавать гораздо более сложные контентные правила, нежели только по типам файлов.

Так, можно задавать правила на основе выявления ключевых слов, анализа регулярных выражений, параметров файлов и документов, слов и выражений из различных промышленных словарей. Ну и, конечно же, можно создавать сложносоставные контентные правила. В результате можно добиться попадания в теневое хранилище сервера только тех файлов и документов, которые значимы для криминалистического анализа переданных или скопированных данных.

***

В следующей, заключительной, статье цикла мы рассмотрим некоторые вопросы интеграции DeviceLock Endpoint DLP Suite с групповыми политиками домена Active Directory.

Комментарии могут оставлять только зарегистрированные пользователи