Top.Mail.Ru
Описание механизма аудита
8 800 555-89-02
Войти
Регистрация
Документация
CTRL+K
Standalone2306
EOL
SaaS

Описание механизма аудитаEOL

В этой статье
  • Описание механизма аудита
  • Выявление неправомерных действий
  • Неправомерные действия с описанием

Выявление неправомерных действий

Для выявления неправомерных действий в системе необходимо использовать инструмент логирования событий. Журнал событий безопасности по умолчанию располагается: C:\ProgramData\Infomaximum\logs\security.log. (локальный диск может отличаться).

Для выявления неправомерных действий необходимо использовать журнал безопасности и описание процесса выявления неправомерных действий.

Неправомерные действия с описанием

Входы в систему с разными ID пользователя с одной рабочей станции в короткие интервалы времени (интервал устанавливается экспертами)

  1. Вход 1 (действие 1):
    • тип события: logon;
    • доп. параметр типа события: success;
    • объект: id;
    • адрес рабочей станции: remote_address;
    • поле: Время события.
  2. Вход 2 (действие 2):
    • тип события: logon;
    • доп. параметр типа события: success;
    • объект: id;
    • адрес рабочей станции: remote_address;
    • поле: Время события.

Если параметры ID объекта отличаются, а remote_address имеют одинаковое значение, то Время события 1 – Время события 2 = интервал входа с одной рабочей станции (интервал сравнивается с установленным параметром).

Вход с одним и тем же ID пользователя с разных рабочих станций в короткие интервалы времени (интервал устанавливается экспертами)

  1. Вход 1 (действие 1):
    • тип события: logon;
    • доп. параметр типа события: success;
    • объект: id;
    • адрес рабочей станции: remote_address;
    • поле: Время события.
  2. Вход 2 (действие 2):
    • тип события: logon;
    • доп. параметр типа события: success;
    • объект: id;
    • адрес рабочей станции: remote_address;
    • поле: Время события.

Если ID имеют одинаковое значение, а значения remote_address отличаются, то Время события 1 – Время события 2 = интервал входа с одной рабочей станции (интервал сравнивается с установленным параметром).

Большое количество неудачных входов в систему с одним ID c разных терминалов

  • Тип события: logon;
  • Доп. параметр типа события: invalid_logon;
  • Объект: id;
  • Адрес рабочей станции: remote_address.

Или

  • Тип события: logon;
  • Доп. параметр типа события: invalid_logon_and_max_logon_attempts_exceed;
  • Объект: id;
  • Адрес рабочей станции: remote_address,

где remote_address имеют разные значения в каждой попытке входа.

Большое количество неудачных входов в систему с разными ID c одного терминала

  • Тип события: logon;
  • Доп. параметр типа события: invalid_logon;
  • Объект: id;
  • Адрес рабочей станции: remote_address. Или
  • Тип события: logon;
  • Доп. параметр типа события: invalid_logon_and_max_logon_attempts_exceed;
  • Объект: id;
  • Адрес рабочей станции: remote_address,

где remote_address имеют одинаковое значение в каждой попытке входа.

Попытка входа в систему с заблокированной учётной записью

  • Тип события: logon;
  • Доп. параметр типа события: disabled_logon;
  • Объект: id.

Отключение логирования

Для конфигурирования логов используется файл C:\ProgramData\Infomaximum\logback.xml. Также есть вариант с подменой конфигурации через механизм инициализации системы логирования.

Подробный порядок и загрузки файла конфигурации описан: https://logback.qos.ch/manual/configuration.html.

Рекомендации:

  • Необходимо отслеживать изменение в каталоге: C:\ProgramData\Infomaximum;
  • Необходимо отслеживать изменение в каталоге: C:\Program Files\Infomaximum;
  • Необходимо отслеживать изменения службы.

Удаление/очистка логов

Удаление и очистка логов не может осуществляться через веб-интерфейс. Логирование данного неправомерного действия не осуществляется.

Доступ к удалению/очистке логов регламентируется на уровне файловой системы в рамках политики Windows.

Добавление нового ID пользователя в систему и его удаление (блокировка) в короткий промежуток времени (короткий промежуток времени устанавливается экспертами)

Субъект (тот, кто производит действие):

  • объект: id;
  • адрес рабочей станции: remote_address;
  • сотрудник: employee_id;
  • действие 1(тип события): create (создание);
  • действие 2 (тип события): remove (удаление);
  • действие 3 (тип события): change_enabled_logon;
  • доп. параметр действия 3: - false (отключение разрешения на авторизацию, блокировка);
  • поле: Время события (для каждого действия).

Объект (над кем производят действие):

  • объект: id;
  • объект: employee.

Если ID объекта (добавляемого сотрудника) имеет одинаковое значение при всех действиях:

  • Время события действия remove – Время события действия create = интервал времени между созданием и удалением сотрудника;

Или:

  • Время события действия change_enabled_logon (доп. параметр: - false) – Время события действия create = интервал времени между созданием и блокировкой сотрудника.

Назначение новых прав/членства в группе пользователю и их последующая отмена в короткий интервал времени (интервал устанавливается экспертами)

Субъект (тот, кто производит действие):

  • объект: id;
  • адрес рабочей станции: remote_address;
  • сотрудник: employee_id;
  • действие 1 (Тип объекта): adding_access_role (добавление сотруднику РД);
  • действие 2 (Тип объекта): removing_access_role (удаление у сотрудника РД в группе «Административные» роли);
  • доп параметр у всех типов объектов (всех действий):
    1. access_role_id (id роли доступа);
    2. access_role_name (имя роли доступа);
  • поле: Время события (для каждого действия).

Объект (над кем производят действие):

  • объект: id, employee, login.

Если ID и Login объекта (над кем производят действие) имеет одинаковое значение при всех действиях и назначаемая и отменяемая РД имеет одинаковое значение access_role_id, то Время события действия removing_access_role – Время события действия adding_access_role = интервал времени между назначением новых прав и их последующая отмена.

Изменение парольной политики АС

Любое изменение из 6 типов событий (действий) является изменением парольной политики АС для объекта.

  1. Действие 1 (Тип объекта): change_complex_password. Включение/выключение контроля сложности пароля.
  2. Действие 2 (Тип объекта): change_min_password_length. Изменение минимальной длины пароля.
  3. Действие 3 (Тип объекта): password_expiration_date. Включение/выключение срока действия пароля.
  4. Действие 4 (Тип объекта): change_password_expiration_time. Изменение срока действия пароля.
  5. Действие 5 (Тип объекта): limit_login_attempts. Включение/выключение ограничить попытки входа.
  6. Действие 6 (Тип объекта): change_max_invalid_logon_count. Изменение лимита на неуспешные попытки входа.

Отслеживаемые параметры объекта:

  • объект: id;
  • адрес рабочей станции: remote_address;
  • сотрудник: employee_id, login.

Была ли статья полезна?

Да
Нет
Предыдущая
Общие положения для администратора безопасности
Следующая
Работа с базой данных
8 (800) 555-89-028 (495) 150-31-45team@infomaximum.com
Для бизнеса
Материалы и поддержка
support@infomaximum.com
Компания
© 20102024. ООО «Инфомаксимум»
Мы используем файлы cookies, чтобы сайт был лучше для вас.