Как продукты Quest Software помогают контролировать изменения в инфраструктуре
Давно и хорошо зарекомендовавшая себя компания Quest Software параллельно развивает более двух сотен программных продуктов, среди которых найдется решение едва ли не под любую инфраструктурную задачу.
Философия вендора не предполагает создания огромных «комбайнов» с избыточной для большинства задач функциональностью. Вместо этого разработчик создает отдельные специализированные инструменты, при необходимости способные интегрироваться между собой с помощью единого интерфейса.
Сегодня мы хотели бы поговорить про ту часть портфеля Quest Software, которая относится к средствам аудита и обеспечения безопасности инфраструктуры на базе решений Microsoft. Среди них стоит коротко упомянуть эти два:
· Recovery Manager, который занимается восстановлением инфраструктуры после сбоев с использованием бекапов, созданных в сторонних приложениях. Этот инструмент позволяет извлекать только нужную информацию, и восстанавливать ее с точностью до отдельных объектов.
· GPOADmin, который представляет собой средство работы с групповыми политиками, которое встраивается в стандартную консоль Active Directory. Оно отслеживает всю историю изменения этих политик, включая точное время и аккаунт администратора, с которого эти изменения были выполнены.
Далее мы более подробно рассмотрим инструменты, непосредственно связанные с темой статьи. Речь пойдет о продуктах Quest Software, актуальных для любой компании, ИТ-инфраструктура которой базируется на Active Directory и где есть необходимость отслеживания происходящих там изменений. Как желательных и управляемых, так и спонтанных, вызванных сбоем или кибератакой.
Change Auditor
Этот инструмент дает ответ на вопрос о причинах того или иного изменения в информационной системе. Напомним, что аудит подобных изменений и хранение их истории является обязательным требованием, например, для обеспечения безопасности критически важных инфраструктур.
Change Auditor помогает осуществлять контроль действий пользователей и администраторов, выполняет «юридическую» блокировку данных от удаления и перезаписи, а также предоставляет широкие возможности аналитики и отчетности. Все это делает его отличным средством сбора доказательной базы при расследовании инцидентов.
Сфера внимания Change Auditor охватывает инфраструктуру Active Directory, Microsoft Exchange, MS SQL, файловые серверы, системы хранения данных NetApp и EMC, Microsoft Teams, Skype и т.д. В любой момент администратор может получить ответ на вопросы: кто произвел изменение, когда оно было сделано, какой объект был изменен, из какого состояния в какое. Это выходит далеко за пределы возможностей стандартной системы логирования событий.
Кроме того, Change Auditor хранит свои данные очень компактно, что позволяет существенно сэкономить дисковое пространство, отведенное под логи. Кроме того, эта информация попадает в сервисную БД, откуда ее может извлечь любая SIEM-система.
InTrust
Еще одно решение Quest Software под названием InTrust является эффективным средством сбора логов и управления ими. В какой-то степени оно может даже заменить дорогую и сложную SIEM-систему, когда ее развертывание экономически нецелесообразно.
В отличие от Change Auditor, InTrust не использует агентов. При этом он в состоянии получить, проанализировать и положить в собственное хранилище любой лог обслуживаемой инфраструктуры. Это могут быть даже самописные приложения, которые в состоянии отправить в лог единицу, если у них все хорошо, и ноль, если ситуация требует внимания.
В любой момент InTrust может предоставить отчет, содержащий сведения о произошедших событиях, их частоте, времени возникновения и пр. При этом инструмент умеет выполнять нормализацию – при помощи специализированного парсера извлекать из любых логов всю существенную информацию, и преобразовывать ее в пригодный для составления отчетов читаемый и однородный поток событий, соответствующий принятым стандартам.
Один сервер InTrust может обрабатывать до 60 тыс. таких событий в секунду. Так как в InTrust по большей части отправляются штатные логи, которые требуют значительного места на диске, в продукте используется т.н. «файловая БД», в которой базы и ячейки представлены в виде папок и файлов на диске. Это позволяет отказаться от огромного индекса, так как имена уже хранятся в файловой системе, и достичь высокой производительности.
Выгрузка 1 млн событий из InTrust занимает буквально пару секунд. Используется здесь и сжатие по фирменному алгоритму, степень которого достигает 20:1.
Еще одним свойством InTrust, делающим его отчасти похожим на SIEM, является поддержка автоматизированного поиска событий, связанных с конкретными профилями кибератак, включенных в открытую базу данных MITRE ATT&CK. Разумеется, можно создавать и собственные правила реагирования на такие события.
Enterprise Reporter
Последним по порядку, но не по важности, продукт Quest Software, о котором сегодня хотелось бы рассказать, является Enterprise Reporter.
Если Change Auditor позволяет смотреть все изменения в инфраструктуре, произошедшие начиная с какого-то момента, а InTrust собирает логи и ищет в них определенные события, то Enterprise Reporter сканирует всю инфраструктуру, заносит собранную информацию в БД, из которой потом можно сделать любую выборку.
Можно, например, просканировать файловый сервер и получить все данные о расположении и размере файлов, выданных на них правах, истории изменений с указанием конкретных аккаунтов и т.д. Enterprise Reporter устанавливается на отдельную ноду, с которой посредством API получает данные с целевой системы. Происходит это без участия локальных агентов.
Возможен и режим работы, близкий к реальному времени. Если файловое хозяйство может сканироваться несколько часов, то для Active Directory достаточно нескольких минут. Можно проследить, например, историю выдачи и наследования прав на файловые активы конкретного пользователя. Или, если требуется двунаправленный отчет, получить данные о выдаче и наследовании прав на конкретную папку.
IT Security Search
Осталось добавить, что для удобства эксплуатации своих продуктов Quest Software предоставляет бесплатный веб-инструмент IT Security Search, который подключается ко всем базам данных всех используемых инструментов этого вендора. С его помощью можно быстро извлекать нужную информацию и представлять ее в наглядном виде, включая диаграмму активности, список событий, различные фильтры и пр.
Больше информации о возможностях и сферах применения продуктов Quest Software, вы найдете в нашем вебинаре.
Если у вас остались вопросы, напишите нам – infra@syssoft.ru. Наши эксперты по решениям Quest Software изучат вашу задачу и помогут подобрать оптимальное решение под ваш бюджет и требования.