 |
|
|
|
Zecurion Reports как инструмент детектива
Zecurion Reports Компании, обеспечивающие информационную безопасность, не всегда могут оценить эффективность работы ИТ-систем, предназначенных для этого. Информацию по качеству работы ИБ-решений получить достаточно сложно. Для этого важно контролировать, какие события происходят в корпоративной информационной системе, чем на самом деле занимаются пользователи и какие угрозы безопасности реально существуют Для решения этих задач необходимо расследовать инциденты, для чего и предназначены инструменты мониторинга действий пользователей. Одним из них является аналитический модуль DLP-систем (Data Loss Prevenstion). Продукты этого класса позволяют выявлять инциденты в режиме реального времени и расследовать их постфактум. DLP собирает массу полезных сведений о деятельности персонала. В архиве DLP есть информация о подготовке преступлений, но не всегда эти сведения легко добыть. Для этого и предназначен инструмент отчетности, который вэкосистеме продуктов Zecurion называется Zecurion Reports, он предоставляет достаточно широкие возможности по расследованию инцидентов и подготовке индикаторов компрометации. Отличительными особенностями Zecurion Reports является:
Все это позволяет службе безопасности проводить оперативные расследования и выявлять нарушения политики безопасности, в том числе готовящиеся преступления. Установка Технические требования для сервера Zecurion Reports следующие:
Установка продукта максимально проста – достаточно запустить приложение Setup.exe и подтвердить условия лицензионного соглашения. После установки приложение запускается автоматически как сервис, доступный по протоколу HTTP на порту 1294 – этот номер можно и нужно изменить через веб-интерфейс конфигурации. Также стоит использовать защищенный протокол HTTPS, определить доверенных пользователей и настроить аутентификацию, лучше всего двухфакторную. После этого можно конфигурировать группы пользователей и права их доступа, а также подключение к SQL-серверу, где хранятся или будут храниться сведения об инцидентах. Экосистема Zecurion Соблюдение корпоративных политик информационной безопасности контролируют другие DLP-продукты компании:
Zecurion Reports только анализирует текущую ситуацию и архив записей. Информация поступает из всех продуктов Zecurion и обрабатывается централизованно, что позволяет оценить общее состояние защищенности всего предприятия, ане отдельных фрагментов корпоративной сети. При этом можно рассмотреть следующие варианты конфигурации сервера:
Возможности Zecurion Reports Управление процедурой анализа и подготовкой отчетности выполняется через стандартный веб-интерфейс (см. рис. 1). Есть возможность работать с сервером с мобильных устройств: для Android с помощью браузера Google Chrome, с iOS – браузер Safari.
Рисунок 1. Сводный отчет Zecurion Reports Отчеты Zecurion Reports позволяют быстро оценить состояние защиты по заранее подготовленным правилам поиска. Они используются для оперативной оценки текущего состояния защищенности и показывают общие характеристики системы. В частности, первым отчетом после подключения к серверу Reports является сводный отчет. Сводный отчет Сводный отчет имеет настраиваемый формат (можно менять состав и положение виджетов и параметров) и представляет в компактном виде основную информацию по инцидентам за прошедший день и за последнюю неделю. Поумолчанию в сводке отображаются следующие данные:
Этого достаточно для быстрой оценки текущего уровня защищенности и оперативного обнаружения проблем. В диаграммах сводного отчета есть интерактивный компонент, который позволяет прямо из этого интерфейса уточнить информацию по инцидентам, используемым протоколам и лидерам нарушителей. Диаграмма связей (информация о сотрудниках) Информацию о сотрудниках аналитический модуль получает из корпоративного каталога Active Directory, к которому подключается во время установки. Эта информация сопоставляется с данными о событиях из других продуктов Zecurion DLP, привязанных к соответствующей учетной записи. Zecurion Reports позволяет быстро анализировать данные по конкретным сотрудникам (см. рис. 2). При этом модуль показывает не только подробные сведения о конкретном пользователе, но и интерактивную диаграмму его взаимодействия с другими участниками информационного обмена.
Рисунок 2. Вкладка с информацией по сотрудникам Во вкладке «Сотрудники» отображается сводная панель, содержащая детальную информацию о действиях пользователя в сети: по каким каналам и кому передаются данные, какие политики применяются в отношении сотрудника, список произошедших инцидентов и другая информация. Расследование Информация о персонале может стать отправной точкой в расследовании инцидентов, помочь определить общие схемы нарушений и выявить задействованных в них сотрудников и внешних контрагентов. В некоторых случаях простая пересылка материалов на внешние почтовые ящики вполне можно расценивать как нарушение, поскольку информация выходит за пределы контура контроля, и что там с ней будет делать сотрудник – неизвестно. При желании специалист может быстро добраться до информации по конкретному инциденту, где уже подробно описывается, почему система Zecurion посчитала данное событие инцидентом, и провести полный анализ всех данных. Архив В «Архиве» предоставляется возможность проводить поиск по архивным записям с использованием различных поисковых запросов. При этом у офицера безопасности есть возможность уточнить свои запросы с помощью инструмента быстрого поиска. Он позволяет отбирать записи по многочисленным параметрам. Когда необходимые записи обнаружены, по ним можно получить полный набор сведений, почему система посчитала данное событие инцидентом. Указываются сработавшие правила с вероятностью отнесения сообщения к той или иной категории, журнал анализа письма со списком слов из правил и множество другой информации. Далее можно проанализировать диаграмму связей пользователя, связанного с интересующим сообщением. В дальнейшем правила поиска, приведшие к локализации инцидента, можно будет использовать для построения графиков в применении других пользователей. Это позволит выявить как другие инциденты, так и аналогичные случаи в режиме реального времени. Инструмент анализа инцидентов безопасности Zecurion Reports позволяет быстро и удобно проанализировать действия сотрудников, фиксируемые продуктами компании Zecurion. Он может быть использован как для оперативного мониторинга текущей ситуации и быстрого обнаружения нарушений, так и для расследования уже произошедших событий. Продукт может пригодиться как для оперативной оценки состояния защищенности компании, так и для решения самых разнообразных задач бизнеса. Например, он позволяет заблаговременно обнаружить момент, когда ключевые работники предприятия начинают искать дополнительный заработок, и подготовиться к моменту их ухода из вашей компании. Удобство интерфейса позволяет контролировать состояние защиты практически из любой точки сети с сохранением полномочий и политики доступа. Zecurion Reports может пригодиться в том числе и при аутсорсинге услуг безопасности для предоставления клиентам отчетов в удобной и понятной для них форме. В целом Zecurion Reports позволяет сделать защиту более удобной и эргономичной. |
Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
