Время на прочтение
6 мин
Количество просмотров 11K
Новый пакет для контроля изменений в ИТ-системах содержит обширный набор отчетов и инструментов для распространенных платформ.
- Оригинал обзора
- Автор: Derek Schauland
Контроль изменений, происходящих в ИТ-инфраструктуре – это регулярные мероприятия, к которым айтишники относятся по-разному. С одной стороны непрерывный контроль обеспечивает доступность служб и систем, соответствие стандартам и безопасную работу сотрудников. С другой стороны, нет занятие скучнее и тоскливее, чем просматривать десятки журналов, отлавливать и коррелировать события.
Продукт Netwrix Auditor 5.0, появившийся в августе, делает контроль изменений в инфраструктуре простым и увлекательным занятием. Продукт состоит из отдельных модулей, предназначенных для распространенных ИТ-систем, но основная идея в том, чтобы обеспечить комплексный аудит, предоставить максимальный объем знаний о произошедших событиях в службу ИТ в форме простых и понятных отчетов.
Netwrix Auditor 5.0 поддерживает распространенные элементы инфраструктуры, такие как служба Active Directory, Групповые политики, серверы Microsoft SQL, Exchange и SharePoint, файловые серверы и системы хранения EMC и NetApp, сбор событий на машинах под управлением Windows и Linux, а также из виртуальных инфраструктур производства VMware или Microsoft.
Кроме того, в пакет входят различные инструменты, облегчающие жизнь администраторов: мастер восстановления объектов AD, приложение для самостоятельного сброса паролей пользователями на основе системы «вопрос-ответ», а также отчеты и оповещения об истекающих или неактивных учетных записях. Для контроля терминальных сессий предусмотрена видеозапись действий пользователей – инструмент, способный предоставить не только фильм, но и метаданные – названия приложений, которые открывал пользователь, заголовки окон, процессы, которые были запущены и пр. Использование Netwrix Auditor рекомендуется для ИТ-департаментов, которым необходим единый инструмент для решения всех задач в области аудита.
Установка и настройка
Инсталляция продукта не сложна, в процессе установки потребовалось внести минимальные изменения в настройку моего тестового сервера Windows Server 2012. Для создания отчетов Netwrix Auditor использует службу SQL Server Reporting Services (SSRS). Кроме неё вам потребуется установить библиотеки .NET версии 3.5 и настроить роли и компоненты сервера IIS.
После настройки Windows можно начинать установку необходимых модулей Netwrix Auditor (см. рис 1). Обратите внимание на то, что каждый модуль лицензируется отдельным ключом, но все они первоначально предлагаются для тестирования в течение 20 дней. При необходимости этот срок можно продлить. В процессе инсталляции необходимо будет указать существующий экземпляр сервера SQL или скачать редакцию 2012 Express.
Netwrix Auditor поддерживает редакцию Express, однако в этом случае служба SSRS недоступна, соответственно нет возможности настраивать отчеты.
Рис.1 Выбор модулей в процессе установки Netwrix Auditor 5.0
Для своей инфраструктуры я решил установить все модули Netwrix. Инсталлятор запустил скрипт, загружающий и устанавливающий файлы *.MSI для каждого модуля, один за другим. Завершающим шагом стала настройка объектов аудита в консоли.
Netwrix Auditor способен работать с использованием агентов или в полностью безагентском режиме. Использование агентов позволяет сократить время сбора данных о событиях в несколько раз.
Рис 2. Консоль Netwrix Auditor 5.0
ИТ-системам, которые выбираются для аудита, присваивается определенная роль. Все связанные с этой ролью подсистемы инфраструктуры также могут становиться объектами аудита. Например, при выборе Active Directory в качестве объекта для аудита, вам предлагается проконтролировать изменения Групповых политик, настроек серверов Microsoft Exchange, а также настроить оповещения об истечении учетных записей и их неактивности. Все эти подсистемы связаны с Active Directory или являются расширением каталога.
Контроль изменений в Active Directory
Стоит подробнее рассказать о контроле изменений в Active Directory т.к. эта система является основной в инфраструктуре Microsoft. Использование встроенных средств Windows для контроля изменений в AD занимает много времени и может быть сложным для администраторов. Netwrix Auditor 5.0 предоставляет оповещения об изменениях критичных параметров AD и понятные отчеты, таким образом сотрудники службы ИТ получают представление обо всех произошедших событиях.
Представим, что в вашей организации происходит набор персонала на новые проекты, каждую неделю добавляется несколько новых сотрудников. Вы нанимаете ИТ-администраторов, задача которых – помочь с добавлением пользователей в AD, адаптацией работников, установкой и настройкой рабочих мест. Поскольку задач и проблем в этот период очень много – привлечение дополнительных админов кажется оправданной мерой, но не следует забывать, что вы даёте им доступ к одной из ключевых систем организации – Active Directory.
Netwrix Auditor позволит проконтролировать все изменения AD – кто, какие объекты и когда изменил, добавил или удалил. Тоже самое касается служб SQL Server и Microsoft Exchange, во многих организациях эти системы имеют наибольшее значение. Контроль изменений позволяет обеспечить доступность служб, сохраняет порядок и, в итоге, поддерживает ваше спокойствие.
Итак, для того, чтобы приступить к использованию модуля Netwrix Auditor для AD, необходимо выполнить несколько простых шагов:
- Открыть консоль Netwrix Auditor
- Выберите Объекты Аудита [Managed Objects] в навигационной панели
- Выберите домен в качестве объекта аудита managed object и нажмите кнопку Next
- Выберите или укажите учетную запись, от имени которой будет осуществляться сбор данных. Эта учетная запись будет использоваться по умолчанию и может быть переопределена для любого объекта аудита.
- Укажите настройки почты, необходимые для оповещений и отправки отчетов:
— Почтовый сервер
— Номер порта SMTP
— Адрес отправителя
— Логин и пароль
— SSL-сертификат (если необходимо) - Укажите имя домена и учетную запись, от имени которой будет осуществляться сбор данных в этом домене и нажмите кнопку Next
- Выберите ИТ-системы, для которых будет проводиться аудит, например Active Directory, групповые политики, файловые и SQL-серверы
- Если в вашей инфраструктуре присутствует служба SSRS, вы можете включить и настроить отчеты об изменениях, основанные на проведенных сессиях аудита
- Настройте отчеты «state in time» — в качестве данных такие отчеты используют моментальные снимки состояния AD, таким образом, вы увидите, какие изменения произошли за период времени.
- Выберите метод сбора данных и режим использования агентов
- Включите автоматическую настройку объектов аудита
- Выберите дополнительные опции:
— «Originating workstation» — позволяет отслеживать, с какой рабочей станции производились изменения
— «Group membership» — собирает данные о том, в каких группах состоят пользователи, вносящие изменения в AD - Укажите почтовый адрес для доставки отчетов со сводкой изменений и нажмите кнопку Next
- Включите оповещения в режиме реального времени, выберите необходимые оповещения (см Рис. 3) и нажмите кнопку Next
- Подтвердите настройку объектов аудита, нажав кнопку Finish
Рис. 3. Настройка оповещений в Netwrix Auditor 5.0
Контроль изменений в других ИТ-системах также может быть настроен с помощью несложных шагов: выберите другой тип объекта аудита в Мастере выбора объектов. После этого вам будут предложены соответствующие настройки.
Отчеты и оповещения
Для создания отчетов Netwrix Auditor использует службу SQL Server Reporting Services (SSRS), которая присутствует, начиная с SQL Server редакции Standard. В процессе тестирования я понял, что использование SQL Server редакции Express не позволяет получить отчеты, несмотря на то, что данные аудита будут собираться. Для получения информации об изменениях в этом случае я рекомендую использовать подписки, но более правильным шагом будет установить SQL Server редакции Standard и использовать его для работы с Netwrix Auditor.
Considerations for Windows Server 2012 and the .NET Framework 3.5
Обратите внимание, на то, что библиотеки Microsoft .NET Framework 3.5 не устанавливаются по умолчанию вместе с Windows Server 2012, для этого можно использовать команду PowerShell.
Вам потребуется вставить или смонтировать диск с дистрибутивом Windows Server 2012. Затем необходимо запустить окно командной строки PowerShell от имени администратора и выполнить команду:
Install-WindowsFeature Net-framework-core –source d:\sources\sxs
Мониторинг действий пользователей на компьютерах может быть осуществлен с помощью модуля видеозаписи, который также присутствует в пакете Netwrix Auditor.
Например, если в вашей инфраструктуре есть машины, которые используются подрядчиками или находятся в общественных местах, — возможно записывать всё происходящее на таких компьютерах.
В заключении хотелось бы отметить, что контроль изменений – это довольно сложная задача, особенно если она выполняется в «ручном режиме». Netwrix Auditor может сэкономить ваше время, взять на себя множество деталей и мелочей, которые необходимо учитывать и помнить, выполняя аудит ИТ-систем.
Оценки журнала Redmond
- Установка и настройка: 10.0
- Функциональность: 10.0
- Простота использования: 8.0
- Администрирование системы: 8.0
- Документированность: 10.0
Общая оценка: 9.2
Подробнее о функционале продукта
Скачать пробную версию
Search code, repositories, users, issues, pull requests…
Provide feedback
Saved searches
Use saved searches to filter your results more quickly
Sign up
Netwrix Auditor — это программное обеспечение для учета изменений в IT-инфраструктуре, которое позволяет организовать максимальную безопасность и защитить сеть.
Описание программы
Для работы с данным программным обеспечением вам понадобится авторизация. Таким образом, пользователь получает доступ ко всем инструментам и машинам, подключенным к той или иной локальной сети.
Это переупакованная версия программы. Соответственно, для избежания потенциальных конфликтов с антивирусом Защитник Windows перед установкой лучше на время отключить.
Как установить
А теперь в виде пошаговой инструкции рассмотрим сам процесс инсталляции:
- Обратившись к разделу загрузки, скачиваем новейшую версию установочного дистрибутива.
- Запускаем процесс и на первом этапе просто принимаем лицензионное соглашение.
- Далее кликаем по «Install» и дожидаемся, пока все файлы будут скопированы по своим местам.
Как пользоваться
Как уже было сказано, чтобы начать работать с программой, необходимо авторизоваться при помощи администраторских логина и пароля. В результате вы увидите список всех подключенных к локальной сети машин и сможете воспользоваться инструментами для организации безопасности.
Достоинства и недостатки
Последняя часть инструкции предусматривает разбор положительных и отрицательных особенностей софта.
Плюсы:
- максимально широкий набор инструментов для организации безопасности.
Минусы:
- отсутствует русский язык.
Скачать
Исполняемый файл программы отличается большим размером, поэтому загрузка реализована через торрент.
| Язык: | Английский |
| Активация: | RePack |
| Разработчик: | Netwrix |
| Платформа: | Windows XP, 7, 8, 10, 11 |
Netwrix Auditor 8.5.1026.0 + Keygen
Netwrix Auditor — Безагентное ПО для защиты данных
Netwrix Auditor — это комплексное решение для эффективного контроля изменений в традиционных и облачных инфраструктурах. Netwrix Auditor позволяет предотвращать утечки данных, вызванные атаками инсайдеров, выявляет угрозы безопасности, используя анализ поведения пользователей. Netwrix Auditor облегчает прохождение аудита на соответствие нормативам и позволяет быть в курсе изменений, которые вносят привилегированные пользователи в различные IT-системы.
Выявляйте подозрительную активность пользователей до того, как произойдет утечка данных.
Проходите аудит на соответствие стандартам ИБ: PCI DSS, HIPAA, SOX, FISMA, ISO 27001 и другие.
Повышайте эффективность IT службы с помощью автоматического мониторинга и отчетности.
Модули Netwrix Auditor
Netwrix Auditor поддерживает широкий спектр IT систем, включая Active Directory, Exchange, файловые серверы, SharePoint, SQL Server, VMware и Windows Server, Office 365, Azure AD, системы хранения данных EMC и NetApp, базы данных Oracle.
Преимущества
-
Усиление мер безопасности. Выявляйте потенциальные инсайдерские угрозы, контролируя изменения пользовательских данных, настроек различных систем, прав доступа, членства в группах и попытки получения доступа. Расследуйте ИБ-инциденты и предотвращайте утечки данных, путем анализа изменений в настройках, отслеживания подозрительной активности и несанкционированного доступа к данным. Преодолевайте ограничения встроенных средств аудита, уменьшая количество избыточных данных и получая контекст событий, используя технологию AuditAssurance™.
-
Соответствие нормативам. Используйте готовые отчеты, необходимые для прохождения аудита на соответствие нормативам PCI DSS, HIPAA, SOX, FISMA/ NIST800-53, COBIT, ISO/IEC 27001 и др. Храните данные о состоянии систем, правах доступа и всех изменениях в течение продолжительного времени — 10 лет и более. При необходимости, есть возможность обратиться к данным любого срока давности, для проведения аудита или расследования.
-
Оптимизация рабочих процессов. Сокращайте время подготовки отчетов: автоматическое формирование подробных и простых для восприятия отчетов сэкономит время сотрудников ИТ-службы, ускорит прохождение аудита на соответствие стандартам ИБ.
Предотвращайте простой системы и минимизируйте время устранения неполадок, вызванных ошибочными или некорректными изменениями в настройках приложений. Проводите комплексный аудит ИТ-инфраструктуры без лишних затрат: ПО легко устанавливается и настраивается. Для работы с ПО не нужно проводить обучение специалистов.
Как это работает: Усиление мер безопасности
Постоянная оценка ИБ рисков, снижение угроз. Выделите ключевые настройки, изменение которых угрожает безопасности данных. Например, избыточные права доступа для группы «Everyone» в Active Directory, или прямая выдача разрешений. Контролируйте эти настройки, задайте необходимые правила и разрешения, чтобы минимизировать риск потери или кражи данных.
Контроль превышения полномочий и предотвращение кражи данных. Получите полный отчет о выданных правах доступа в Active Directory, отмените ошибочно выданные права или наследованные права. Убедитесь, что доступ к данным отдельных сотрудников соответствует их статусу и служебным задачам. Оперативно реагируйте на любые изменения в правах доступа.
Полный контроль за событиями в ИТ-инфраструктуре. Получите общее представление о деятельности сотрудников в вашей ИТинфраструктуре, используя Enterprise Overview Dashboards. Обнаруживайте подозрительные действия сотрудников. Выясните, как часто производятся изменения, на какие системы они влияют и пр.
Обнаружение и анализ поведения пользователей. Просматривайте статистику по таким инцидентам, как неудачная аутентификация в системе, неудачная попытка доступа к файлу (прочтение, изменение файлов).
Оповещения при обнаружении подозрительных паттернов. Отслеживайте подозрительные действия пользователей: добавление сторонних пользователей в группу Enterprise Admins, одновременный доступ к большому количеству файлов и т.д.
Выявление учетных записей с наибольшим коэффициентом риска.Получите максимум информации о действиях каждого конкретного пользователя в системе. Это позволит выявить скомпрометированные УЗ, предотвратить активность злоумышленников. Оценивайте каждое событие, быстро предпринимайте необходимые меры по предотвращению утечек.
Долгосрочное хранение данных аудита. Двухуровневая система хранения данных аудита (БД SQL + файловый архив) AuditArchive™ позволяет обращаться к событиям, произошедшим 10 лет назад и более. Это может пригодиться для ретроспективного анализа при проведении расследований.
Отслеживание изменений в различных системах из единой консоли. Netwrix Auditor поддерживает основные системы, осуществляет их непрерывный мониторинг и собирает полученные данные в единые отчеты. Вы можете управлять событиями в различных приложениях из единой консоли.
Решение постоянных проблем ИТ-Департамента
-
Формируйте отчеты о соответствии нормативам быстрее.
-
Выявляйте подозрительные действия пользователей, предотвращая утечки данных.
-
Контролируйте все события в IT-инфраструктуре и проходите аудит на соответствие нормативам.
-
Минимизируйте риски и затраты, связанные с соблюдением нормативов.
-
Обеспечьте полную прозрачность предоставляемых IT-инфраструктур.
RESTful API — безграничные возможности мониторинга и отчетности, интеграция с любым установленным на сервере или в облаке приложением.
Установите Netwrix Auditor в своей инфраструктуре, в виртуальной среде или на облачной платформе
Функции
Отчеты и оповещения
-
Интерактивный поиск: позволяет задать вопрос на английском языке и быстро получить ответ – какие данные были изменены, кем и когда, а также — кто имеет или имел доступ к различным элементам ИТ-инфраструктуры.
-
Более 150 типов отчетов с возможностью фильтрации, группировки. Экспорт отчетов в различные форматы: Adobe Acrobat, PDF, MS Excel, MS Word, CSV. Веб-доступ к отчетам. Настройка расписания отправки отчетов.
-
Подготовка матрицы прав доступа для сертификации по ФЗ-152.
-
Шаблоны отчетов, сформированных по международным отраслевым стандартам: PCI DSS 3.0, HIPAA, SOX, FISMA/NIST800-53 и ISO/IEC 27001 и др.
-
Оповещения о всех типах событий в инфраструктуре в режиме реального времени. Enterprise overview dashboards — наглядные графики изменений по всем контролируемым системам и приложениям. Возможность быстрого перехода от графиков к детальным табличным отчетам.
SIEM, возврат изменений
-
Интеграция с SIEM для оптимизации отчетности и сокращения ИТ-затрат. Поддержка RSA enVision®, ArcSight® Logger™, Novell® Sentinel™, NetIQ® Security Manager™, Symantec SIM IBM Tivoli® Security Information and Event Manager™.
-
Управление журналами событий: объединение, хранение журналов событий систем и устройств. Поддержка формата syslog, оповещения в реальном времени, веб-отчеты.
-
Возврат изменений: оперативное восстановление предыдущих настроек и свойств объектов, без перезагрузки системы и обращения к резервным копиям.
Netwrix Corporation – международная компания, специализирующаяся на разработке, внедрении и сопровождении программного обеспечения для аудита изменений в IT-инфраструктуре, сокращения количества инцидентов ИБ, обеспечения непрерывности бизнес-процессов и соответствия отраслевым стандартам.
Netwrix Auditor предлагает комплексный подход к отслеживанию изменений в IT-инфраструктуре для сокращения количества инцидентов ИБ, обеспечения непрерывности бизнес-процессов и соответствия отраслевым стандартам.
Netwrix Auditor контролирует основные элементы инфраструктуры, отслеживая события и изменения настроек. Продукт постоянно взаимодействует с ключевыми информационными системами, выявляет, собирает и консолидирует данные. Архитектура Netwrix Auditor обеспечивает постоянную доступность информации для изучения истории модификаций инфраструктуры.
Усиление мер безопасности
Выявление подозрительной активности на ранней стадии
Получите общее представление о деятельности сотрудников в вашей ИТ-инфраструктуре, используя Enterprise Overview Dashboards. Определяйте подозрительные действия сотрудников. Выясните, как часто производятся изменения, на какие системы они влияют и пр.
Расследование инцидентов ИБ
При обнаружении изменений, которые не соответствуют корпоративной политике, используйте Интерактивный Поиск, чтобы выявить, почему они произошли, как предотвратить такие инциденты в дальнейшем.
Контроль прав доступа и защита информации
Убедитесь в том, что только подходящие сотрудники имеют доступ к конфиденциальным данным. Для этого используйте отчет о действующих правах на файл или папку.
Отслеживание попыток доступа к файлам
Используйте подписку на ежедневные отчеты, чтобы выявить тех, кто пытается получить доступ к важным файлам, например, номерам банковских карт, медицинским карточкам или банковским выпискам. Netwrix Auditor покажет, кто осуществлял попытки чтения или изменения файлов, на каком сервере и в какое время.
Отображение настроек системы на любую заданную дату в прошедшем времени
Отчеты State-in-time™ показывают настройки различных систем на любую заданную дату в прошлом. Например, вы можете узнать, кто входил в определенную группу год назад, какой тогда была политика по настройке паролей. Такая информация может пригодиться для сравнения настроек с эталонными, а также при расследованиях инцидентов ИБ.
Восстановление объектов и их атрибутов
В случае, если в Active Directory произошли случайные или преднамеренные нежелательные изменения, вы можете вернуть все объекты AD и любые их свойства в предыдущее состояние, без перерывов в работе или длительных восстановлений из резервных копий.
Оповещения о критических изменениях
Включите предупреждения, чтобы быть в курсе критичных изменений, сразу же, как они происходят. Например, вы получите оповещение в тот момент, когда в группы Enterprise Admins или Domain Admins будет добавлена учетная запись.
Контроль систем, не ведущих журналы событий
Вы можете контролировать изменения в системах, для которых не предусмотрено ведение журналов событий. Используйте видеозапись действий пользователей. Пишется не только происходящее на экране, но и метаданные: заголовки окон, процессы и пр., возможен поиск событий.
Соответствие нормативам
Отслеживание изменений в различных системах из единой консоли
Netwrix Auditor поддерживает основные системы, осуществляет их непрерывный мониторинг и собирает полученные данные в единые отчеты. Вы можете управлять событиями в различных приложениях из единой консоли.
Быстро предоставляйте информацию проверяющим организациям
Вы можете предоставлять всю необходимую информацию проверяющим организациям быстрее, чем раньше. Например, вы можете быстро ответить на вопросы: «как изменялся состав группы Domain Admins год назад?» или «у каких пользователей были зафиксированы превышения полномочий?»
Шаблоны отчетов в соответствии с требованиями регуляторов
Используйте готовые отчеты, необходимые для прохождения аудита на соответствие нормативам PCI DSS, HIPAA, SOX, FISMA/ NIST800-53, COBIT, ISO/IEC 27001 и др.
Долгосрочное хранение данных аудита
Двухуровневая система хранения данных аудита (БД SQL + файловый архив) AuditArchive™ позволяет обращаться к событиям, произошедшим 10 лет назад и более. Это может пригодиться для ретроспективного анализа при проведении расследований.
Оптимизация рабочих процессов
Отслеживайте все изменения в ИТ-инфраструктуре
Получайте информацию о каждом изменении: что было изменено, где и кем, а также дату и время изменения, значения «до» и «после». Поддерживаются такие системы как: Active Directory, Групповые политики, серверы Microsoft Exchange, файловые серверы, среда Microsoft SharePoint, СУБД Microsoft SQL Server, виртуальная инфраструктура Vmware, а также машины под управлением ОС Windows.
Простые и понятные отчеты
Просматривать бесконечные журналы событий или писать скрипты PowerShell больше не требуется. Библиотека Netwrix Auditor содержит более 150 готовых отчетов и графиков. В отчетах вы найдете всю необходимую информацию об изменениях в инфраструктуре, правах пользователей на любую дату, истекающих паролях и неактивных УЗ. Можно получать отчеты по почте, например, раз в неделю, настраивать фильтры, группировать и сортировать данные, а также экспортировать их в популярные форматы (PDF, XLS и др.).
Оперативное предоставление отчетов
Результаты запросов можно сохранять прямо на главной странице Netwrix Auditor для дальнейшего использования и предоставлять их коллегам. Это может сэкономить ваше время и значительно упростить совместную работу нескольких отделов вашей организации.
Предотвращение простоев системы
Если вы обнаружили в AD нежелательные изменения или узнали, что объекты AD были удалены, вы можете воспользоваться мастером восстановления объектов и вернуть ваш каталог в предыдущее состояние. Возврат изменений не требует простоев и перезагрузок, происходит за секунды – намного быстрее, чем при использовании средств резервного копирования.
Выборочная подписка на отчеты и оповещения
Вы можете получать оповещения об изменениях самых важных настроек в реальном времени. Например, вы получите оповещение в случае изменений в группах Enterprise Admins и Domain Admins.
Выявление действий злоумышленников
Отдельные события могут быть легитимными, но их последовательность позволяет говорить о действиях злоумышленника. Netwrix Auditor помогает выявить потенциальные утечки данных и причины внесения изменений в настройки ИТ-систем, поскольку собирает данные аудита комплексно.
Netwrix Auditor успешно интегрируется в инфраструктуру любого масштаба.