Описание механизма аудита
8 800 555-89-02
Войти
Документация
CTRL+K
Standalone2409
SaaS

Описание механизма аудита

В этой статье
  • Описание механизма аудита
  • Выявление неправомерных действий
  • Неправомерные действия с описанием

Выявление неправомерных действий

Для выявления неправомерных действий в системе необходимо использовать инструмент логирования событий. Журнал событий безопасности security.log по умолчанию располагается:

  • На Windows — в каталоге C:\ProgramData\Infomaximum\logs (локальный диск может отличаться)
  • На Linux — в контейнере /var/log/infomaximum

Для выявления неправомерных действий необходимо использовать журнал безопасности и описание процесса выявления неправомерных действий.

Неправомерные действия с описанием

Входы в систему с разными ID пользователя с одной рабочей станции в короткие интервалы времени (интервал устанавливается экспертами)

  1. Вход 1 (действие 1):
    • Тип события: logon
    • Дополнительный параметр типа события: success
    • Объект: id
    • Адрес рабочей станции: remote_address
    • Поле: Время события
  2. Вход 2 (действие 2):
    • Тип события: logon
    • Дополнительный параметр типа события: success
    • Объект: id
    • Адрес рабочей станции: remote_address
    • Поле: Время события

Если параметры ID объекта отличаются, а remote_address имеют одинаковое значение, то Время события 1 — Время события 2 = интервал входа с одной рабочей станции (интервал сравнивается с установленным параметром).

Вход с одним и тем же ID пользователя с разных рабочих станций в короткие интервалы времени (интервал устанавливается экспертами)

  1. Вход 1 (действие 1):
    • Тип события: logon
    • Дополнительный параметр типа события: success
    • Объект: id
    • Адрес рабочей станции: remote_address
    • Поле: Время события
  2. Вход 2 (действие 2):
    • Тип события: logon
    • Дополнительный параметр типа события: success
    • Объект: id
    • Адрес рабочей станции: remote_address
    • Поле: Время события

Если ID имеют одинаковое значение, а значения remote_address отличаются, то Время события 1 — Время события 2 = интервал входа с одной рабочей станции (интервал сравнивается с установленным параметром).

Большое количество неудачных входов в систему с одним ID c разных терминалов

  • Тип события: logon
  • Дополнительный параметр типа события: invalid_logon
  • Объект: id
  • Адрес рабочей станции: remote_address

Или

  • Тип события: logon
  • Дополнительный параметр типа события: invalid_logon_and_max_logon_attempts_exceed
  • Объект: id
  • Адрес рабочей станции: remote_address,

Где remote_address имеют разные значения в каждой попытке входа.

Большое количество неудачных входов в систему с разными ID c одного терминала

  • Тип события: logon
  • Дополнительный параметр типа события: invalid_logon
  • Объект: id
  • Адрес рабочей станции: remote_address

Или:

  • Тип события: logon
  • Дополнительный параметр типа события: invalid_logon_and_max_logon_attempts_exceed
  • Объект: id
  • Адрес рабочей станции: remote_address,

Где remote_address имеют одинаковое значение в каждой попытке входа.

Попытка входа в систему с заблокированной учётной записью

  • Тип события: logon
  • Дополнительный параметр типа события: disabled_logon
  • Объект: id

Отключение логирования

Для конфигурирования логов используется файл logback.xml, расположенный:

  • На Windows — в каталоге C:\ProgramData\Infomaximum
  • На Linux — в контейнере /var/lib/infomaximum

Также есть вариант с подменой конфигурации через механизм инициализации системы логирования.

Подробный порядок и загрузки файла конфигурации описан: https://logback.qos.ch/manual/configuration.html.

Совет
  • Необходимо отслеживать изменение: на Windows — в папке C:\ProgramData\Infomaximum, на Linux — в контейнере /var/lib/infomaximum.
  • Необходимо отслеживать изменение: на Windows — в папке C:\Program Files\Infomaximum, на Linux — в контейнере /usr/sbin/infomaximum.
  • Необходимо отслеживать изменения службы.

Удаление/очистка логов

Удаление и очистка логов не может осуществляться через веб-интерфейс. Логирование данного неправомерного действия не осуществляется.

Доступ к удалению/очистке логов регламентируется на уровне файловой системы в рамках политики Windows.

Добавление нового ID пользователя в систему и его удаление (блокировка) в короткий промежуток времени (короткий промежуток времени устанавливается экспертами)

Субъект (тот, кто производит действие):

  • Объект: id
  • Адрес рабочей станции: remote_address
  • Сотрудник: employee_id
  • Действие 1 (тип события): create (создание)
  • Действие 2 (тип события): remove (удаление)
  • Действие 3 (тип события): change_enabled_logon
  • Дополнительный параметр действия 3: — false (отключение разрешения на авторизацию, блокировка)
  • Поле: Время события (для каждого действия)

Объект (над кем производят действие):

  • Объект: id
  • Объект: employee

Если ID объекта (добавляемого сотрудника) имеет одинаковое значение при всех действиях:

  • Время события действия remove — Время события действия create = интервал времени между созданием и удалением сотрудника

Или:

  • Время события действия change_enabled_logon (доп. параметр: — false) — Время события действия create = интервал времени между созданием и блокировкой сотрудника

Назначение новых прав/членства в группе пользователю и их последующая отмена в короткий интервал времени (интервал устанавливается экспертами)

Субъект (тот, кто производит действие):

  • Объект: id
  • Адрес рабочей станции: remote_address
  • Сотрудник: employee_id
  • Действие 1 (Тип объекта): adding_access_role (добавление сотруднику РД)
  • Действие 2 (Тип объекта): removing_access_role (удаление у сотрудника РД в группе «Административные» роли)
  • Дополнительный параметр у всех типов объектов (всех действий):
    • access_role_id (id роли доступа)
    • access_role_name (имя роли доступа)
  • Поле: Время события (для каждого действия)

Объект (над кем производят действие):

  • Объект: id, employee, login

Если ID и Login объекта (над кем производят действие) имеет одинаковое значение при всех действиях и назначаемая и отменяемая РД имеет одинаковое значение access_role_id, то Время события действия removing_access_role — Время события действия adding_access_role = интервал времени между назначением новых прав и их последующая отмена.

Изменение парольной политики АС

Любое изменение из 6 типов событий (действий) является изменением парольной политики АС для объекта.

  1. Действие 1 (Тип объекта): change_complex_password. Включение/выключение контроля сложности пароля.
  2. Действие 2 (Тип объекта): change_min_password_length. Изменение минимальной длины пароля.
  3. Действие 3 (Тип объекта): password_expiration_date. Включение/выключение срока действия пароля.
  4. Действие 4 (Тип объекта): change_password_expiration_time. Изменение срока действия пароля.
  5. Действие 5 (Тип объекта): limit_login_attempts. Включение/выключение ограничить попытки входа.
  6. Действие 6 (Тип объекта): change_max_invalid_logon_count. Изменение лимита на неуспешные попытки входа.

Отслеживаемые параметры объекта:

  • Объект: id
  • Адрес рабочей станции: remote_address
  • Сотрудник: employee_id, login

Была ли статья полезна?

Да
Нет
Предыдущая
Получение информации о группах безопасности AD с помощью GraphQL-запроса
Следующая
Мониторинг состояния системы
8 (800) 555-89-028 (495) 150-31-45team@infomaximum.com
Для бизнеса
Материалы и поддержка
support@infomaximum.com
Компания
© 20102024. ООО «Инфомаксимум»
Мы используем файлы cookies, чтобы сайт был лучше для вас.