Обзор продукта: аудитор удаленного доступа ObserveIT
Продукт: Аудитор удаленного доступа ObserveIT
Домашняя страница продукта: нажмите здесь
Введение
Когда вы имеете дело с проблемой безопасности или аудитом соответствия, журналы вашего сервера часто являются самым важным активом, с которым вам приходится работать. К сожалению, в самых идеальных обстоятельствах вы можете обнаружить, что ваши устройства, даже настроенные для самых напряженных параметров регистрации, просто не предоставляют достаточно информации для удовлетворения ваших потребностей.
Недавно у меня была возможность установить и настроить программный пакет ObserveIT, предназначенный для заполнения пробела в регистрации устройств. В этом обзоре я собираюсь немного рассказать о ObserveIT, о том, как он работает, и о наборе функций, который он предлагает.
Начать…
Взято непосредственно со своего веб-сайта, ObserveIT описывает свое программное обеспечение так, что оно «аудит и записывает все действия пользователя, выполняемые на вашей серверной платформе. Каждый оконный сеанс в вашей сети — будь то через удаленный доступ или консольный доступ — записывается и индексируется в соответствии с метаданными использования. Пользовательские записи можно искать, перемещаться и воспроизводить, чтобы идентифицировать любую конкретную деятельность. Подробные отчеты и оповещения в режиме реального времени обеспечивают строгое соблюдение корпоративных политик безопасности».
Программное обеспечение полностью соответствует этому описанию. В буквальном смысле это похоже на то, как если бы у вас была видеокамера, направленная прямо на монитор вашего сервера, записывающая каждое действие на экране, которое делает пользователь. Если этого недостаточно, он не только будет записывать данные на экране, но также будет отслеживать каждый щелчок или нажатие клавиши пользователем, независимо от того, вошли ли они в консоль физически или через удаленный рабочий стол, Citrix, SSL или виртуально. любая другая платформа удаленного доступа, о которой вы только можете подумать. Чтобы действительно превзойти его, он даже индексирует все в базе данных SQL для быстрого и настраиваемого поиска в зависимости от ваших потребностей в любой момент времени.
Давайте углубимся в каждый из этих компонентов отдельно.
Требования и установка
Учитывая то, что он делает, ObserveIT очень легкий, но очень расширяемый. Как минимум, он состоит из четырех компонентов:
- Серверная часть базы данных — данные, собранные ObserveIT, хранятся в базе данных Microsoft SQL. Это можно использовать с SQL Server Express или полноценным Microsoft SQL Server, который рекомендуется для всего, что выше небольшой установки.
- Консоль веб-управления — консоль веб-управления, где вы будете администрировать агенты и базу данных. Отсюда осуществляется все управление, мониторинг и отчетность. Для веб-консоли управления требуются службы Microsoft Internet Information Services (IIS) с поддержкой ASP.NET.
- Сервер приложений. Сервер приложений — это веб-приложение ASP.NET, которое также работает в IIS. Сервер приложений принимает данные, отправленные агентом, обрабатывает их и отправляет в серверную часть базы данных для сохранения. Сервер приложений также предоставляет агентам информацию о конфигурации.
- Агент. Последняя часть головоломки — это агент. Это часть программного обеспечения, которое работает на компьютерах, за которыми вы следите, и отправляет отчеты в базу данных SQL. Агент поддерживает различные платформы операционных систем.
ObserveIT определяет несколько различных сценариев развертывания в зависимости от вашей сети:
- Небольшая реализация — этот сценарий предназначен для 1–100 контролируемых серверов. В этом типе среды сервер базы данных и веб-консоль управления могут быть установлены в одной системе, что устраняет необходимость в нескольких аппаратных компонентах. В документации об этом нигде не говорится, но мне кажется, что это отличное развертывание для Microsoft Small Business Server. Кроме того, вы можете развернуть этот сценарий на том же физическом оборудовании на виртуальных машинах.
- Средняя реализация — все, что состоит из нескольких сотен контролируемых клиентов, гарантирует, что сервер базы данных и веб-консоль управления будут установлены на отдельном оборудовании для поддержания нагрузки.
- Интеграция с LDAP. Если в вашей сети развернута служба Active Directory, вы можете настроить ObserveIT на доступ только для чтения к базе данных AD. Это можно использовать для интеграции аутентификации между AD и веб-консолью управления, что снижает административные затраты на управление программным обеспечением.
- Изоляция веб-консоли — ObserveIT поддерживает изоляцию веб-консоли управления от серверной части базы данных и отслеживаемых клиентов. Они рекомендуют эту изоляцию для развертываний на уровне предприятия, но это хорошая практика безопасности независимо от вашей организации.
- Внедрение для крупного предприятия — в средах, где имеется более тысячи отслеживаемых серверов, а также требования к высокой доступности, ObserveIT поддерживает использование нескольких серверов, на которых работают как база данных, так и серверы веб-управления в кластерных сценариях и сценариях с балансировкой нагрузки.
- Внедрение удаленного поставщика/привилегированного доступа. В качестве одного из наиболее распространенных сценариев ObserveIT можно развернуть в сочетании с решением VPN/SSL с помощью Citrix или служб терминалов, чтобы предоставить удаленным поставщикам, ИТ-поддержке и другим привилегированным пользователям доступ к веб-консоль управления. Мне, как консультанту, это кажется одним из самых ценных сценариев развертывания. Это не только позволяет мне быстро войти в систему и посмотреть, что происходит, но также предоставляет внешний доступ для аудита соответствия.
Я устанавливал ObserveIT почти во всех этих сценариях развертывания, и каждый из них работал правильно, как заявлено. Убедившись, что все необходимые компоненты установлены, я последовал их «Руководству по установке в один клик». Как указано в руководстве, я ввел необходимую информацию, сделал один клик, и программное обеспечение было установлено в течение нескольких минут (рис. 1).
Рисунок 1: Успешно завершенная установка
Развертывание агента
После установки первым делом в моем списке дел было развернуть программное обеспечение агента на машинах, за которыми я буду следить. Программное обеспечение агента включено в установку сервера, и установить его было так же просто, как дважды щелкнуть исполняемый файл и несколько раз нажать «Далее». Я сделал это только на нескольких машинах, поэтому я использовал ручной подход, поместил файл в общий каталог и запустил его вручную с каждого терминала, но они включают файл MSI, чтобы агент можно было развернуть автоматически с помощью групповой политики. или СМС.
Все, что требуется при установке агента, — это IP-адрес сервера ObserveIT. После завершения сервер, на котором установлен агент, начнет отчитываться перед приложением.
Просмотр активности пользователя
Когда вы развернете свои агенты, они автоматически начнут передавать снимки экрана действий пользователя. Это основная функциональность программного обеспечения, и оно работает так, как рекламируется. Я выполнял всевозможные действия, от создания и редактирования файлов до выполнения административных задач и работы в Интернете, и все они были записаны дословно.
До оценки программного обеспечения одной из моих самых больших забот было извлечение сохраненных изображений после захвата. К моему большому одобрению, снимки хранятся в очень удобном для навигации формате. Во-первых, ObserveIT отслеживает сеансы пользователей по времени. Это означает, что если пользователь входит в систему на 15 минут активности в течение одного часа, а затем снова на 10 минут в течение следующего часа, они будут разбиты на два отдельных сеанса. Самое приятное то, что как только вы расширяете эти сеансы, активность разбивается на действия пользователя. Как вы увидите на рисунке 2, я выполнил несколько задач, включая изменение файла RTF, выполнение поиска в Google, запуск дефрагментации диска и удаление файла. ObserveIT очень четко перечислил все эти действия и соответствующим образом разделил воспроизведения.
Рисунок 2: ObserveIT позволяет очень легко и удобно находить искомое событие
Фактическое воспроизведение экрана работает очень эффективно и делает именно то, что должно. Я мог четко наблюдать за всеми действиями, которые я выполнял, не пропуская ни секунды. Я даже предпринял несколько попыток обмануть программное обеспечение, создав сценарии, которые быстро выполняли действие через всплывающую командную строку, которая очень быстро исчезала. ObserveIT отловил каждую из этих попыток и зафиксировал ее.
Важно отметить, что ObserveIT на самом деле не записывает действия пользователей в видеоформате, потому что это было бы слишком интенсивно для полосы пропускания и хранилища. Вместо этого он записывает серию скриншотов, оптимизированных для эффективного хранения. По умолчанию эти изображения сохраняются в черно-белом цвете, но при желании их можно изменить на цветные.
Рисунок 3. Фактические снимки из ObserveIT четкие, оптимизированы для хранения и ничего не пропускают
ObserveIT не ограничивает ваш аудит только действиями, выполняемыми для каждого сервера. Он также предоставляет дневник пользователя, который позволяет отслеживать и просматривать действия конкретных пользователей во всех контролируемых системах. В то время как мониторинг каждого сервера кажется более подходящим для целей аудита и соответствия требованиям, мониторинг каждого пользователя кажется более подходящим для целей безопасности и реагирования на инциденты. Охвачены все базы для обеих целевых аудиторий.
Конфигурация
Гибкость конфигурации программного обеспечения оказалась больше, чем я ожидал. Я ожидал, что программное обеспечение будет отслеживать все или ничего, но на самом деле оно довольно надежное в своих предложениях. Вы можете настроить записи так, чтобы они происходили только на определенных устройствах, когда определенные пользователи входят в систему, когда определенные приложения запускаются или когда определенные действия выполняются этими пользователями. Наряду с этим вы можете назначать определенные группы для серверов, настраивать SMTP-уведомления и определять пользователей, которые имеют доступ к веб-консоли.
Были две функции, которые мне особенно понравились. Во-первых, это возможность настроить ведение журнала для пользователей, которые получают доступ к воспроизведениям из консоли ObserveIT. Это часто упускается из виду программным обеспечением для мониторинга и является жемчужиной для целей аудита. Если вас беспокоит, кто наблюдает за наблюдателем, то этот вариант вас удовлетворит. Я также был очень рад увидеть опцию, позволяющую скрыть значок ObserveIT на панели задач в системах, где развернут агент. Я не вижу много способов, которыми злоумышленник может обойти это программное обеспечение, не отключая программное обеспечение агента, и если они даже не знают, что агент работает, то это очень эффективная защита за счет неясности.
Составление отчетов
Я всегда был твердо уверен, что функциональность важна, но отчетность — это то, где программное обеспечение стоит своих денег. Создание отчетов из веб-консоли управления является быстрым, гибким и охватывает все, о чем вы только могли подумать. ObserveIT поставляется с некоторыми стандартными отчетами, включая следующие:
- Задачи, связанные с администрированием, выполняемые на контролируемых серверах
- Все приложения, используемые на контролируемых серверах
- Все сеансы RDP, инициированные с контролируемых серверов
- Все пользователи, имеющие доступ к отслеживаемым серверам
Как и следовало ожидать, все отчеты можно запускать по запросу или по расписанию.
Помимо встроенных отчетов, я мог настроить пользовательские отчеты, чтобы делать практически все, что, по моему мнению, мне может понадобиться в отчете. Это не только отличный способ организовать отчеты для просмотра сеансов воспроизведения, но и отличный способ дополнить существующую серверную систему, приложения и журналы безопасности. Еще одной неожиданной приятной функцией стал раздел, в котором отображалось все недавно установленное программное обеспечение на серверах. Конечно, есть и другие способы сделать это, но наличие легкодоступного в консоли отчетов было чем-то, что я нашел удобным и полезным.
Рисунок 4. Настраиваемые отчеты легко создавать и они очень гибкие
Вывод
В целом, я действительно не могу сказать ничего плохого о ObserveIT. Продукт делает именно то, на что претендует, и делает это идеально; предоставляя все функции, которые, как я ожидал, будут предоставлены программным обеспечением, претендующим на роль решения для ведения журнала на основе захвата экрана. Как человек, который довольно часто работает консультантом, у меня есть много клиентов, у которых есть потребности в аудите и соблюдении требований, которые ObserveIT немедленно удовлетворит. Наряду с этим, в средах с высоким уровнем безопасности контрольный журнал, созданный ObserveIT, невероятно ценен в ситуации реагирования на инциденты. Можете ли вы представить себе возможность сидеть в суде и воспроизводить видео с каждым шагом злоумышленника или фактически показать аудитору соответствия каждый шаг, который был предпринят для защиты подмножества финансовых данных компании? Теперь, когда у меня появилась возможность использовать ObserveIT, я знаю, что это можно сделать легко, правильно и надежно. Чтобы ознакомиться с решением ObserveIT, перейдите по этой ссылке.
WindowSecurity.com Рейтинг: 5/5
Дополнительная информация о ObserveIT