Просто и понятно о безопасности гибридной Active Directory. Часть IV
Содержание:
1. Часть I;
2. Часть II ;
3. Часть III;
4. Часть IV (Вы читаете данный раздел);
5. Часть V;
6. Часть VI;
7. Часть VII;
8. Часть VIII;
9. Часть IX;
10. Часть X.
Предполагается, что ранее вы уже задействовали средство просмотра событий и, по крайней мере, вам известны основные типы доступных журналов. Поэтому сосредоточимся на том, как централизовать данные журналов и наиболее эффективно применять средство просмотра событий, работая на упреждение.
Наш акцент в области обеспечения безопасности — на пользователях и их действиях, поэтому полезно иметь возможность сделать запрос типа «показать все действия, выполненные пользователем А вчера». Вряд ли что-то подобное будет возможно с помощью средства просмотра событий в обозримом будущем, но к цели можно приблизиться благодаря подпискам на события. Если вы не работали с ними раньше, то помните, что они позволяют настроить пересылку событий в центральный компьютер (предположительно на сервер). Объединяя данные в общем центре, вы на шаг приблизитесь к тому, чтобы собрать все действия из запроса пользователя А для просмотра в одном месте. После завершения настройки вы можете создать подписку на компьютере-сборщике, выбрать компьютеры, из которых будут извлекаться данные, и даже указать, какие события будут извлекаться, как показано на экране ниже. Это стольже эффективно в плане аудита конкретного приложения или системы, как и использование системы КонсультантПлюс (подробности на https://www.4dk.ru/consultant-plus/buhgalteru-kbo) при организации бюджетного учета вашей компании.
Обратите внимание, что этот подход не заменяет управления журналами событий или решений класса SIEM; в конечном итоге для хранения собранных данных журналов событий потребуется очень много места, а запросы в средстве просмотра событий замедлятся до предела. Этот прием подойдет для владельцев нескольких компьютеров, на которых размещаются журналы, чтобы они смогли увидеть все свои данные в одном месте.
Следующий шаг — поиск способов получать ответы гораздо быстрее, чем при фильтрации вручную.
Проблема со стандартным поиском и фильтрацией в средстве просмотра событий имеет два аспекта. Во-первых, для построения нужного запроса потребуется некоторое время; во-вторых, фильтрация на основе графического интерфейса не охватывает все данные, обнаруживаемые для события.
Самый продуктивный способ фильтрации данных журнала — заранее построить собственное пользовательское представление на основе XML. Вы можете начать с предоставления всех необходимых сведений на вкладке Filters, а затем перейти на вкладку XML для совершенствования XML-запроса. Например, приведенный на экране выше фильтр XML был создан для того, чтобы показать любые изменения, внесенные в группу администраторов домена.
Вы можете задействовать любой элемент метаданных события (которые можно просмотреть, открыв свойства данного события и выбрав вкладку XML) наряду с логическими операторами (инструкции AND и OR), чтобы создать сколь угодно сложный XML-фильтр. Хотите узнать, что делали вчера те или иные пользователи или поместить события из нескольких журналов в одно представление? Это и многое другое можно сделать с помощью фильтров XML.
Хотя фильтры XML приближают вас к возможности задать настоящие аудиторские вопросы, например «кто вчера обращался к почтовому ящику главного управляющего?», но работать с ними сложнее, чем со сторонними решениями. Кроме того, в конечном итоге вы видите сырые данные из журнала событий — анализ отсутствует, есть только информация.
1. Часть I;
2. Часть II ;
3. Часть III;
4.
5. Часть V;
6. Часть VI;
7. Часть VII;
8. Часть VIII;
9. Часть IX;
10. Часть X.
Аудит AD с использованием собственных инструментов
Предполагается, что ранее вы уже задействовали средство просмотра событий и, по крайней мере, вам известны основные типы доступных журналов. Поэтому сосредоточимся на том, как централизовать данные журналов и наиболее эффективно применять средство просмотра событий, работая на упреждение.
Централизованный аудит с подписками на события
Наш акцент в области обеспечения безопасности — на пользователях и их действиях, поэтому полезно иметь возможность сделать запрос типа «показать все действия, выполненные пользователем А вчера». Вряд ли что-то подобное будет возможно с помощью средства просмотра событий в обозримом будущем, но к цели можно приблизиться благодаря подпискам на события. Если вы не работали с ними раньше, то помните, что они позволяют настроить пересылку событий в центральный компьютер (предположительно на сервер). Объединяя данные в общем центре, вы на шаг приблизитесь к тому, чтобы собрать все действия из запроса пользователя А для просмотра в одном месте. После завершения настройки вы можете создать подписку на компьютере-сборщике, выбрать компьютеры, из которых будут извлекаться данные, и даже указать, какие события будут извлекаться, как показано на экране ниже. Это стольже эффективно в плане аудита конкретного приложения или системы, как и использование системы КонсультантПлюс (подробности на https://www.4dk.ru/consultant-plus/buhgalteru-kbo) при организации бюджетного учета вашей компании.
Обратите внимание, что этот подход не заменяет управления журналами событий или решений класса SIEM; в конечном итоге для хранения собранных данных журналов событий потребуется очень много места, а запросы в средстве просмотра событий замедлятся до предела. Этот прием подойдет для владельцев нескольких компьютеров, на которых размещаются журналы, чтобы они смогли увидеть все свои данные в одном месте.
Следующий шаг — поиск способов получать ответы гораздо быстрее, чем при фильтрации вручную.
Ускорение поиска с использованием фильтрации XML
Проблема со стандартным поиском и фильтрацией в средстве просмотра событий имеет два аспекта. Во-первых, для построения нужного запроса потребуется некоторое время; во-вторых, фильтрация на основе графического интерфейса не охватывает все данные, обнаруживаемые для события.
Самый продуктивный способ фильтрации данных журнала — заранее построить собственное пользовательское представление на основе XML. Вы можете начать с предоставления всех необходимых сведений на вкладке Filters, а затем перейти на вкладку XML для совершенствования XML-запроса. Например, приведенный на экране выше фильтр XML был создан для того, чтобы показать любые изменения, внесенные в группу администраторов домена.
Вы можете задействовать любой элемент метаданных события (которые можно просмотреть, открыв свойства данного события и выбрав вкладку XML) наряду с логическими операторами (инструкции AND и OR), чтобы создать сколь угодно сложный XML-фильтр. Хотите узнать, что делали вчера те или иные пользователи или поместить события из нескольких журналов в одно представление? Это и многое другое можно сделать с помощью фильтров XML.
Хотя фильтры XML приближают вас к возможности задать настоящие аудиторские вопросы, например «кто вчера обращался к почтовому ящику главного управляющего?», но работать с ними сложнее, чем со сторонними решениями. Кроме того, в конечном итоге вы видите сырые данные из журнала событий — анализ отсутствует, есть только информация.