Обзор продукта — анализатор журнала событий ManageEngine
Продукт: Анализатор журнала событий ManageEngine
Домашняя страница продукта: нажмите здесь
Введение
ИТ-специалисты знают, что знание — это сила, и при управлении сложной сетью важно иметь всю возможную информацию о том, что происходит с вашими системами. К счастью, у нас есть механизмы регистрации событий, включая события, связанные с безопасностью. Эти журналы содержат данные, которые могут помочь вам отследить причины нарушений безопасности (или попыток взлома), определить, был ли, когда и кем доступ к сети, системам и конкретным объектам, были ли изменены политики, изменены или удалены файлы и так далее. вперед.
Плохая новость заключается в том, что эти журналы огромны по объему, и их сортировка, чтобы узнать, что на самом деле произошло, может занять много времени и утомительна. Однако все чаще у вас нет выбора; нормативные требования во многих отраслях означают, что вы должны иметь возможность разобраться во всей этой информации, чтобы документально подтвердить соответствие. Хорошая новость заключается в том, что существует совершенно новая категория программного обеспечения, предназначенного для того, чтобы помочь вам в этом. В последнее время все чаще говорят об управлении информацией о безопасности и событиями (SIEM), но на рынке так много решений SIEM, что трудно выбрать правильное.
Недавно я протестировал продукт SIEM под названием EventLog Analyzer от ManageEngine, который служит нескольким целям. Он работает как защитный слой, выполняя мониторинг угроз, мониторинг целостности файлов и мониторинг привилегированных пользователей, а также отправляя оповещения в режиме реального времени. Постфактум он обеспечивает сбор и архивирование журналов, их синтаксический анализ и индексацию, а также комплексный поиск в журналах. Это позволяет вам проводить криминалистическую экспертизу журналов и даже упрощает обременительную задачу создания отчетов о соответствии.
EventLogAnalyzer отслеживает, среди прочего, события Windows, UNIX и CISCO. На самом деле, он может поддерживать практически любой формат журнала, понятный человеку. Вы можете найти список поддерживаемых устройств здесь. Его можно установить как на Windows, так и на Linux; Я протестировал версию для Windows на Windows Server 2012.
Установка и настройка
Одна вещь, которую я заметил, заключалась в том, что процесс установки был простым. Вы можете выбрать установку «в один клик» или расширенную установку.
фигура 1
Если вы выберете опцию одним щелчком мыши, это все, что нужно сделать. Программное обеспечение устанавливается в папку по умолчанию на диске C:. Если вы выберете расширенную установку, вы сможете сделать несколько вариантов. Если вы просто пробуете его, вы можете выбрать, какую версию установить: бесплатную версию (ограничено 5 хостами/приложениями и меньшим количеством функций, но с неограниченным сроком действия), автономную версию (полный набор функций и неограниченное количество хостов). /apps, но через 30 дней возвращается к бесплатной версии, если вы не покупаете лицензию), или к распределенной версии для крупных предприятий (срок действия пробной версии истекает через 30 дней). Я пошел с автономной версией для этого теста.
При расширенной установке вы можете выбрать папку назначения, в которую будет установлено программное обеспечение. Появится сообщение, предлагающее вам определить исключение для каталога программы в вашем антивирусном сканере. Затем вы можете определить используемый веб-порт, язык (английский, упрощенный или традиционный китайский, японский или «другой») и веб-протокол (http или https). По умолчанию EventLog Analyzer устанавливается как служба. Вы можете снять этот флажок, если хотите установить его как приложение. Далее вы выбираете папку программы, в которую будут добавлены значки программ (по умолчанию создается папка с именем ManageEngine EventLog Analyzer 8). Вот и все — просмотрите настройки и нажмите «Далее», чтобы начать установку. Как видите, даже расширенная установка не сложна, в отличие от некоторых продуктов, которые я тестировал, когда я сталкивался с препятствиями и часами пытался установить программу.
фигура 2
Если вы установили как службу, диалоговое окно «Готово» дает вам возможность запустить службу, но по умолчанию этот флажок не установлен. Вы можете запустить его через Администрирование | Услуги; нажмите кнопку Пуск. Если вы установили как приложение и передумали, вы можете преобразовать его в сервис.
Веб-клиент должен открыть страницу-заставку на локальном компьютере. Инициализация модулей займет некоторое время. Internet Explorer может заблокировать страницу от запуска элементов управления ActiveX, и в этом случае она будет казаться зависшей. Обязательно включите запуск ActiveX для страницы. Вы входите в систему с паролем по умолчанию в первый раз.
Далее вы увидите интерфейс с вкладками, показанный на скриншоте ниже. Навигация проста; моя единственная незначительная жалоба будет заключаться в том, что я бы предпочел, чтобы панель навигации слева оставалась на месте, пока вы выполняете все задачи; иногда оно исчезает, и вместо этого все окно занимает диалоговое окно. Конечно, вы по-прежнему можете использовать вкладки вверху для навигации.
Первое, что вам нужно сделать, это добавить устройства, которые вы хотите контролировать. Вы можете ввести имена хостов (через запятую) или выбрать «Выбрать хосты», и программное обеспечение просканирует домен или всю сеть и предоставит вам список хостов.
Рисунок 3
Вам потребуется имя пользователя (администратора) и пароль для доступа к хостам. Вы можете установить частоту (интервал мониторинга) для получения журналов с хост-компьютеров. Вы должны импортировать журналы приложений, хотя некоторые из них также могут импортироваться автоматически через заданные промежутки времени. Вы можете импортировать журналы с локального компьютера или удаленных хостов. Это довольно простой процесс.
Чтобы импортировать файл журнала (путем выбора «Импортированные файлы журнала» на левой панели), необходимо выбрать формат журнала, временной интервал (только один раз, каждый час, каждый день или каждые X минут) и тип журнала. (приложение, безопасность, система, DNS-сервер, сервер репликации файлов, служба каталогов). Вы можете ввести местоположение файла или просмотреть его в файловой системе. Импорт большого файла журнала может занять некоторое время, но во время импорта вы увидите вращающиеся стрелки и надпись «Выполняется» в поле «Тип отчета».
Обратите внимание на «Нужна помощь?» вкладку с левой стороны. Вы можете щелкнуть по нему в любое время, и появится небольшое диалоговое окно, в котором вы можете ввести свой вопрос, свой адрес электронной почты и номер телефона. Мне очень нравится эта идея; это быстрый и простой способ связаться с ManageEngine для получения поддержки. Вам не нужно искать контактную информацию службы технической поддержки. В верхней части страницы также есть ссылка «Поддержка», которая ведет к ряду полезных ссылок с советами по устранению неполадок, онлайн-формам, контактной информации, пользовательскому форуму и возможности создать файл с информацией о поддержке. Вы также можете присоединиться к живой встрече с этой страницы, и есть даже ссылка, чтобы отправить запрос на новые функции в будущих выпусках.
Рисунок 4
Было несколько аспектов интерфейса, которые мне показались немного запутанными. Если вы снова посмотрите на рис. 3, то увидите, что этот экран является экраном настроек. Однако если щелкнуть эту вкладку «Настройки», откроется страница настроек типа панели управления, на которой есть множество различных параметров для конфигураций, настроек администратора и системных настроек, как показано на рис. 5.
Рисунок 5
На этом экране вы можете выполнять многие из тех же задач, что и на левой панели навигации. Это немного напоминает мне Windows в том смысле, что есть много разных способов сделать одно и то же. Как только вы это выясните, хорошо иметь варианты, но это может немного сбить с толку начинающего пользователя.
Конечно, реальная ценность решения SIEM заключается в его способности агрегировать и оценивать данные журналов из разных источников, уведомлять вас в режиме реального времени о важных событиях и тенденциях, а также создавать отчеты, которые предоставляют вам информацию, которую вы можете использовать для принятия решений. решения по безопасности.
EventLog Analyzer позволяет создавать профили предупреждений для определенных событий, связанных с безопасностью. Вам нужно будет настроить почтовый сервер и определить критерии оповещения или использовать одно из предопределенных оповещений (я насчитал их более пятидесяти). Вы можете исключить определенные идентификаторы событий и установить частоту возникновения (т. е. количество событий в течение определенного периода времени).
Рисунок 6
В EventLog Analyzer есть несколько различных предопределенных отчетов, которые вы можете использовать, и вы можете создавать собственные отчеты (которые вы найдете в разделе «Мои отчеты»). Предопределенные отчеты включают основные сетевые действия, отчеты об активности пользователей, отчеты о тенденциях, подробные отчеты о приложениях, подробные отчеты о хостах, важные события или все события (классифицированные по типу). Сюда входят «Лучшие» отчеты (основные узлы, основные пользователи, основные процессы по различным критериям), отчеты об активности пользователей, отчеты о тенденциях, подробные отчеты о приложениях и подробные отчеты об узлах. Для многих отчеты о соответствии жизненно важны. EventLog Analyzer включает отчеты FISMA, PCI, SOX, HIPAA и GLBA.
Но этих предопределенных отчетов не всегда достаточно. Вы также можете выполнять поиск в журналах в произвольной форме и создавать настраиваемые отчеты, в том числе настраиваемые отчеты о соответствии требованиям. Функция поиска позволяет вам искать определенные термины в определенных полях, и вы можете использовать логические операторы и подстановочные знаки. Расширенный поиск позволяет выполнять поиск по идентификаторам событий, серьезности, пользователю, источнику, типу журнала, сообщению или пользовательскому полю.
Создание пользовательских отчетов довольно просто. Существует пошаговый интерфейс типа мастера, который проведет вас через весь процесс.
Рисунок 7
Для отчетов о соответствии снова есть два способа сделать это: вы можете создать новый отчет на вкладке «Отчеты» и выбрать «Соответствие» в качестве типа, или вы можете добавить новый отчет о соответствии на вкладке «Соответствие».
После того, как вы определили свои отчеты, они могут быть созданы в формате HTML или, если они настроены для автоматического запуска и отправки по электронной почте, они будут созданы в виде вложений PDF. Вы также можете экспортировать отчеты HTML в PDF или CSV.
Я сосредоточился здесь на функциях безопасности EventLog Analyzer, потому что это моя основная область интересов, но это еще не все. Вы также можете создавать всевозможные отчеты о тенденциях: ежечасные и еженедельные, как текущие, так и исторические, и они могут основываться на категориях событий, серьезности или инициированных оповещениях. Помимо важности для безопасности, они могут предоставить важную информацию о производительности и использовании и помочь вам отследить проблемы с системой или приложениями. Возможность мониторинга журнала Active Directory также полезна для устранения неполадок, а также для мониторинга информации, связанной с безопасностью.
И EventLog Analyzer, несмотря на свое название, делает гораздо больше, чем просто анализирует журналы событий. Его также можно использовать для отслеживания изменений в файлах и папках (включая изменения атрибутов). Вы также можете исключить определенные файлы. Программное обеспечение агента устанавливается на хост-компьютере, где находятся отслеживаемые файлы. Агент также можно использовать для сбора данных журнала событий по другую сторону брандмауэра или по каналу глобальной сети, но метод по умолчанию не требует агента и использует WMI/DCOM. Если ваша политика безопасности не разрешает использование этих технологий, вы можете использовать агент.
Рисунок 8
Что-то, что может быть особенно полезно для новых пользователей, — это ссылка «Спросить меня» в интерфейсе панели управления «Настройки», которую мы видели на рис. имеет большое количество неудачных попыток входа в систему или какие пользователи изменили или очистили журнал аудита безопасности. Еще раз, есть удобная ссылка, по которой вы можете отправить предложения по дополнительным вопросам, которые будут включены в этот список.
Рисунок 9
Думаю, что мне больше всего нравится в EventLog Analyzer, так это внимание к деталям, которые улучшают работу пользователя и которые очевидны во всем интерфейсе. Они действительно сделали все возможное, чтобы гарантировать, что вы можете получить помощь, когда она вам нужна, и эта помощь не предлагается только в одной или двух формах. Мне также нравится запрашивать предложения, которые встроены непосредственно в программное обеспечение в различных местах — это дает мне ощущение, что поставщик действительно заботится о том, чего хотят и в чем нуждаются ИТ-специалисты, использующие его решение. Мое единственное (очень незначительное) замечание заключается в том, что было бы полезно, если бы краткое руководство включало больше снимков экрана (скриншоты на связанных страницах, но я бы хотел, чтобы они были включены в основное содержание руководства).
Этому решению удается быть чрезвычайно полнофункциональным, не будучи сложным. Несмотря на пару моментов замешательства, когда я знакомился с интерфейсом, я никогда не сталкивался с одним из тех диалоговых окон, которые заставляют вас рвать на себе волосы, потому что вы не знаете, о чем они просят, и мне никогда не приходилось ломать голову над долго над тем, как выполнить любую задачу.
Предыдущие версии EventLog Analyzer получили награды от SC и Руководства по продуктам информационной безопасности, а эта версия заслуживает золотой награды WindowSecurity.com с рейтингом 4,5.
WindowSecurity.com Рейтинг: 4.5/5
Дополнительная информация об анализаторе журнала событий ManageEngine
http://www.manageengine.com/products/eventlog/