Zecurion Reports как инструмент детектива

Zecurion Reports
как инструмент детектива

Компании, обеспечивающие информационную безопасность, не всегда могут оценить эффективность работы ИТ-систем, предназначенных для этого. Информацию по качеству работы ИБ-решений получить достаточно сложно. Для этого важно контролировать, какие события происходят в корпоративной информационной системе, чем на самом деле занимаются пользователи и какие угрозы безопасности реально существуют

Для решения этих задач необходимо расследовать инциденты, для чего и предназначены инструменты мониторинга действий пользователей. Одним из них является аналитический модуль DLP-систем (Data Loss Prevenstion). Продукты этого класса позволяют выявлять инциденты в режиме реального времени и расследовать их постфактум.

DLP собирает массу полезных сведений о деятельности персонала. В архиве DLP есть информация о подготовке преступлений, но не всегда эти сведения легко добыть. Для этого и предназначен инструмент отчетности, который вэкосистеме продуктов Zecurion называется Zecurion Reports, он предоставляет достаточно широкие возможности по расследованию инцидентов и подготовке индикаторов компрометации.

Отличительными особенностями Zecurion Reports является:

• обработка сведений от всех уже установленных продуктов Zecurion;
• удобный интерактивный веб-интерфейс, написанный на AJAX и доступный в том числе и с мобильных устройств;
• предустановленные и легко настраиваемые отчеты;
• удобная и интерактивная карта сотрудников из Active Directory и диаграмма связей его с контрагентами;
• оптимизированная работа с архивной информацией (быстрый ввод данных);
• удобный интерфейс для проведения расследования инцидентов любой сложности;
• оперативный мониторинг действий сотрудников в режиме реального времени.

Все это позволяет службе безопасности проводить оперативные расследования и выявлять нарушения политики безопасности, в том числе готовящиеся преступления.

Установка

Технические требования для сервера Zecurion Reports следующие:

• процессор – Pentium 4 и выше;
• оперативная память – 1 Гб и выше;
• свободный объем на жестком диске – 240 Мб;
• операционная система – Microsoft Windows XP SP3, Vista SP1, Microsoft Windows 7/8/10, Microsoft Windows Server 2003 SP2, 2008 R2, 2012, 2012 R2;
• дополнительное ПО – Microsoft SQL Server 2008, 2008 R2, 2012, 2014, 2016.

Установка продукта максимально проста – достаточно запустить приложение Setup.exe и подтвердить условия лицензионного соглашения.

После установки приложение запускается автоматически как сервис, доступный по протоколу HTTP на порту 1294 – этот номер можно и нужно изменить через веб-интерфейс конфигурации.

Также стоит использовать защищенный протокол HTTPS, определить доверенных пользователей и настроить аутентификацию, лучше всего двухфакторную.

После этого можно конфигурировать группы пользователей и права их доступа, а также подключение к SQL-серверу, где хранятся или будут храниться сведения об инцидентах.

Экосистема Zecurion

Соблюдение корпоративных политик информационной безопасности контролируют другие DLP-продукты компании:

• Traffic Control (Zecurion Zgate),
• Device Control (Zecurion Zlock),
• Discovery (Zecurion Zdiscovery).

Zecurion Reports только анализирует текущую ситуацию и архив записей. Информация поступает из всех продуктов Zecurion и обрабатывается централизованно, что позволяет оценить общее состояние защищенности всего предприятия, ане отдельных фрагментов корпоративной сети. При этом можно рассмотреть следующие варианты конфигурации сервера:

• Все в одном. Это стандартный сценарий, при котором все события собираются и анализируются в основной базе данных. Такой конфигурации будет достаточно в большинстве применений.
• Рабочее место аналитика. Аналитический модуль может создавать значительную нагрузку на базу данных, если количество событий велико. Поэтому на крупных установках с множеством контрольных устройств и большим числом инцидентов для подготовки отчетности и анализа ситуации стоит создать отдельную реплику базы данных, чтобы анализ выполнялся независимо.
• Раздельная конфигурация. Если нужно оперативно оценить обстановку по заранее определенным KPI, то можно отделить небольшую реплику Zecurion Reports и сформировать набор простых отчетов для оценки текущей ситуации иподключить ее к основной базе событий – эти отчеты будут готовиться оперативно в режиме реального времени, а сложные расследования с огромными объемами записей по транзакциям можно проводить уже на специально выделенной для аналитика базе данных событий.

Возможности Zecurion Reports

Управление процедурой анализа и подготовкой отчетности выполняется через стандартный веб-интерфейс (см. рис. 1). Есть возможность работать с сервером с мобильных устройств: для Android с помощью браузера Google Chrome, с iOS – браузер Safari.

Рисунок 1. Сводный отчет Zecurion Reports

Отчеты Zecurion Reports позволяют быстро оценить состояние защиты по заранее подготовленным правилам поиска. Они используются для оперативной оценки текущего состояния защищенности и показывают общие характеристики системы. В частности, первым отчетом после подключения к серверу Reports является сводный отчет.

Сводный отчет

Сводный отчет имеет настраиваемый формат (можно менять состав и положение виджетов и параметров) и представляет в компактном виде основную информацию по инцидентам за прошедший день и за последнюю неделю. Поумолчанию в сводке отображаются следующие данные:

• Непросмотренные инциденты: отображается количество инцидентов, которые не были просмотрены.
• Активные пользователи: отображается количество внутренних и внешних пользователей, которые были зафиксированы Zecurion DLP.
• Топ нарушителей за неделю: табличный отчет с указанием пользователей, с которыми связано наибольшее количество инцидентов.
• Инциденты по каналам: круговая диаграмма, показывающая количество инцидентов, сгруппированных по тому или иному каналу передачи данных.
• Активность за 24 часа: линейная диаграмма, показывающая почасовое распределение количества зафиксированных случаев в течение последних 24 часов.
• Активность за неделю: столбчатая диаграмма, показывающая распределение количества зафиксированных инцидентов по дням в течение последних семи дней.

Этого достаточно для быстрой оценки текущего уровня защищенности и оперативного обнаружения проблем. В диаграммах сводного отчета есть интерактивный компонент, который позволяет прямо из этого интерфейса уточнить информацию по инцидентам, используемым протоколам и лидерам нарушителей.

Диаграмма связей (информация о сотрудниках)

Информацию о сотрудниках аналитический модуль получает из корпоративного каталога Active Directory, к которому подключается во время установки. Эта информация сопоставляется с данными о событиях из других продуктов Zecurion DLP, привязанных к соответствующей учетной записи. Zecurion Reports позволяет быстро анализировать данные по конкретным сотрудникам (см. рис. 2). При этом модуль показывает не только подробные сведения о конкретном пользователе, но и интерактивную диаграмму его взаимодействия с другими участниками информационного обмена.

Рисунок 2. Вкладка с информацией по сотрудникам

Во вкладке «Сотрудники» отображается сводная панель, содержащая детальную информацию о действиях пользователя в сети: по каким каналам и кому передаются данные, какие политики применяются в отношении сотрудника, список произошедших инцидентов и другая информация.

Расследование

Информация о персонале может стать отправной точкой в расследовании инцидентов, помочь определить общие схемы нарушений и выявить задействованных в них сотрудников и внешних контрагентов. В некоторых случаях простая пересылка материалов на внешние почтовые ящики вполне можно расценивать как нарушение, поскольку информация выходит за пределы контура контроля, и что там с ней будет делать сотрудник – неизвестно.

При желании специалист может быстро добраться до информации по конкретному инциденту, где уже подробно описывается, почему система Zecurion посчитала данное событие инцидентом, и провести полный анализ всех данных.

Архив

В «Архиве» предоставляется возможность проводить поиск по архивным записям с использованием различных поисковых запросов. При этом у офицера безопасности есть возможность уточнить свои запросы с помощью инструмента быстрого поиска. Он позволяет отбирать записи по многочисленным параметрам.

Когда необходимые записи обнаружены, по ним можно получить полный набор сведений, почему система посчитала данное событие инцидентом. Указываются сработавшие правила с вероятностью отнесения сообщения к той или иной категории, журнал анализа письма со списком слов из правил и множество другой информации. Далее можно проанализировать диаграмму связей пользователя, связанного с интересующим сообщением. В дальнейшем правила поиска, приведшие к локализации инцидента, можно будет использовать для построения графиков в применении других пользователей. Это позволит выявить как другие инциденты, так и аналогичные случаи в режиме реального времени.

Инструмент анализа инцидентов безопасности Zecurion Reports позволяет быстро и удобно проанализировать действия сотрудников, фиксируемые продуктами компании Zecurion. Он может быть использован как для оперативного мониторинга текущей ситуации и быстрого обнаружения нарушений, так и для расследования уже произошедших событий.

Продукт может пригодиться как для оперативной оценки состояния защищенности компании, так и для решения самых разнообразных задач бизнеса. Например, он позволяет заблаговременно обнаружить момент, когда ключевые работники предприятия начинают искать дополнительный заработок, и подготовиться к моменту их ухода из вашей компании.

Удобство интерфейса позволяет контролировать состояние защиты практически из любой точки сети с сохранением полномочий и политики доступа. Zecurion Reports может пригодиться в том числе и при аутсорсинге услуг безопасности для предоставления клиентам отчетов в удобной и понятной для них форме. В целом Zecurion Reports позволяет сделать защиту более удобной и эргономичной.

Комментарии могут оставлять только зарегистрированные пользователи