Top.Mail.Ru
Описание механизма аудита
8 800 555-89-02
Войти
Регистрация
Документация
CTRL+K
Standalone2402
SaaS

Описание механизма аудита

В этой статье
  • Описание механизма аудита
  • Выявление неправомерных действий
  • Неправомерные действия с описанием

Выявление неправомерных действий

Для выявления неправомерных действий в системе необходимо использовать инструмент логирования событий. Журнал событий безопасности по умолчанию располагается: C:\ProgramData\Infomaximum\logs\security.log. (локальный диск может отличаться).

Для выявления неправомерных действий необходимо использовать журнал безопасности и описание процесса выявления неправомерных действий.

Неправомерные действия с описанием

Входы в систему с разными ID пользователя с одной рабочей станции в короткие интервалы времени (интервал устанавливается экспертами)

  1. Вход 1 (действие 1):
    • тип события: logon
    • доп. параметр типа события: success
    • объект: id
    • адрес рабочей станции: remote_address
    • поле: Время события
  2. Вход 2 (действие 2):
    • тип события: logon
    • доп. параметр типа события: success
    • объект: id
    • адрес рабочей станции: remote_address
    • поле: Время события

Если параметры ID объекта отличаются, а remote_address имеют одинаковое значение, то Время события 1 — Время события 2 = интервал входа с одной рабочей станции (интервал сравнивается с установленным параметром).

Вход с одним и тем же ID пользователя с разных рабочих станций в короткие интервалы времени (интервал устанавливается экспертами)

  1. Вход 1 (действие 1):
    • тип события: logon
    • доп. Параметр типа события: success
    • объект: id
    • адрес рабочей станции: remote_address
    • поле: Время события
  2. Вход 2 (действие 2):
    • тип события: logon
    • доп. параметр типа события: success
    • объект: id
    • адрес рабочей станции: remote_address
    • поле: Время события

Если ID имеют одинаковое значение, а значения remote_address отличаются, то Время события 1 — Время события 2 = интервал входа с одной рабочей станции (интервал сравнивается с установленным параметром).

Большое количество неудачных входов в систему с одним ID c разных терминалов

  • Тип события: logon
  • Доп. параметр типа события: invalid_logon
  • Объект: id
  • Адрес рабочей станции: remote_address

Или

  • Тип события: logon
  • Доп. параметр типа события: invalid_logon_and_max_logon_attempts_exceed
  • Объект: id
  • Адрес рабочей станции: remote_address,

где remote_address имеют разные значения в каждой попытке входа.

Большое количество неудачных входов в систему с разными ID c одного терминала

  • Тип события: logon
  • Доп. параметр типа события: invalid_logon
  • Объект: id
  • Адрес рабочей станции: remote_address

Или

  • Тип события: logon
  • Доп. параметр типа события: invalid_logon_and_max_logon_attempts_exceed
  • Объект: id
  • Адрес рабочей станции: remote_address,

где remote_address имеют одинаковое значение в каждой попытке входа.

Попытка входа в систему с заблокированной учётной записью

  • Тип события: logon
  • Доп. Параметр типа события: disabled_logon
  • Объект: id

Отключение логирования

Для конфигурирования логов используется файл C:\ProgramData\Infomaximum\logback.xml. Также есть вариант с подменой конфигурации через механизм инициализации системы логирования.

Подробный порядок и загрузки файла конфигурации описан: https://logback.qos.ch/manual/configuration.html.

Совет
  • Необходимо отслеживать изменение в каталоге: C:\ProgramData\Infomaximum.
  • Необходимо отслеживать изменение в каталоге: C:\Program Files\Infomaximum.
  • Необходимо отслеживать изменения службы.

Удаление/очистка логов

Удаление и очистка логов не может осуществляться через веб-интерфейс. Логирование данного неправомерного действия не осуществляется.

Доступ к удалению/очистке логов регламентируется на уровне файловой системы в рамках политики Windows.

Добавление нового ID пользователя в систему и его удаление (блокировка) в короткий промежуток времени (короткий промежуток времени устанавливается экспертами)

Субъект (тот, кто производит действие):

  • объект: id
  • адрес рабочей станции: remote_address
  • сотрудник: employee_id
  • действие 1 (тип события): create (создание)
  • действие 2 (тип события): remove (удаление)
  • действие 3 (тип события): change_enabled_logon
  • доп. параметр действия 3: — false (отключение разрешения на авторизацию, блокировка)
  • поле: Время события (для каждого действия)

Объект (над кем производят действие):

  • объект: id
  • объект: employee

Если ID объекта (добавляемого сотрудника) имеет одинаковое значение при всех действиях:

  • Время события действия remove — Время события действия create = интервал времени между созданием и удалением сотрудника

или:

  • Время события действия change_enabled_logon (доп. параметр: — false) — Время события действия create = интервал времени между созданием и блокировкой сотрудника

Назначение новых прав/членства в группе пользователю и их последующая отмена в короткий интервал времени (интервал устанавливается экспертами)

Субъект (тот, кто производит действие):

  • объект: id
  • адрес рабочей станции: remote_address
  • сотрудник: employee_id
  • действие 1 (Тип объекта): adding_access_role (добавление сотруднику РД)
  • действие 2 (Тип объекта): removing_access_role (удаление у сотрудника РД в группе «Административные» роли)
  • доп параметр у всех типов объектов (всех действий):
    • access_role_id (id роли доступа)
    • access_role_name (имя роли доступа)
  • поле: Время события (для каждого действия)

Объект (над кем производят действие):

  • объект: id, employee, login

Если ID и Login объекта (над кем производят действие) имеет одинаковое значение при всех действиях и назначаемая и отменяемая РД имеет одинаковое значение access_role_id, то Время события действия removing_access_role — Время события действия adding_access_role = интервал времени между назначением новых прав и их последующая отмена.

Изменение парольной политики АС

Любое изменение из 6 типов событий (действий) является изменением парольной политики АС для объекта.

  1. Действие 1 (Тип объекта): change_complex_password. Включение/выключение контроля сложности пароля.
  2. Действие 2 (Тип объекта): change_min_password_length. Изменение минимальной длины пароля.
  3. Действие 3 (Тип объекта): password_expiration_date. Включение/выключение срока действия пароля.
  4. Действие 4 (Тип объекта): change_password_expiration_time. Изменение срока действия пароля.
  5. Действие 5 (Тип объекта): limit_login_attempts. Включение/выключение ограничить попытки входа.
  6. Действие 6 (Тип объекта): change_max_invalid_logon_count. Изменение лимита на неуспешные попытки входа.

Отслеживаемые параметры объекта:

  • объект: id
  • адрес рабочей станции: remote_address
  • сотрудник: employee_id, login

Была ли статья полезна?

Да
Нет
Предыдущая
Получение информации о группах безопасности AD с помощью GraphQL-запроса
Следующая
Работа с базой данных
8 (800) 555-89-028 (495) 150-31-45team@infomaximum.com
Для бизнеса
Материалы и поддержка
support@infomaximum.com
Компания
© 20102024. ООО «Инфомаксимум»
Мы используем файлы cookies, чтобы сайт был лучше для вас.