Содержащих ключи активации, а также ссылки на скачивание инсталляторов и сопроводительной документации. Опубликовано обновление конструктора тестов easyQuizzy 2.0.409 тестов easyQuizzy и необходимости активации программы. Мониторинг событий информационной безопасности с помощью ZABBIX / Хабрахабр. Впервые увидев Zabbix, я подумал, почему бы не попробовать использовать его в качестве решения для мониторинга событий информационной безопасности. Как известно, в ИТ инфраструктуре предприятия множество самых разных систем, генерирующих такой поток событий информационной безопасности, что просмотреть их все просто невозможно. Сейчас в нашей корпоративной системе мониторинга сотни сервисов, которые мы наблюдаем с большой степенью детализации. В данной статье, я рассматриваю особенности использования Zabbix в качестве решения по мониторингу событий ИБ. Что же позволяет Zabbix для решения нашей задачи? Примерно следующее: Максимальная автоматизация процессов инвентаризации ресурсов, управления уязвимостями, контроля соответствия политикам безопасности и изменений.
Постоянная защита корпоративных ресурсов с помощью автоматического мониторинга информационной безопасности. Возможность получать максимально достоверную картину защищенности сети. Анализ широкого спектра сложных систем: сетевое оборудование, такое как Cisco, Juniper, платформы Windows, Linux, Unix, СУБД MSQL, Oracle, My. SQL и т. д., сетевые приложения и веб- службы. Минимизация затрат на аудит и контроль защищенности. В качестве платформы мы будем использовать ОС Free. BSD. Думаю, что рассказывать в деталях о процессе установки и настройки нет необходимости, довольно подробная документация на русском языке есть на сайте разработчика, начиная от процесса установки до описания всех возможностей системы. На момент написания статьи система работает под управлением ОС Free. BSD 9. 1, Zabbix 2. Мониторинг событий безопасности MS Windows Server. С помощью системы мониторинга Zabbix можно собирать любую имеющуюся информацию из системных журналов Windows с произвольной степенью детализации. Это означает, что если Windows записывает какое- либо событие в журнал, Zabbix «видит» его, например по Event ID, текстовой, либо бинарной маске. Кроме того, используя Zabbix, мы можем видеть и собирать колоссальное количество интересных для мониторинга безопасности событий, например: запущенные процессы, открытые соединения, загруженные в ядро драйверы, используемые dll, залогиненных через консоль или удалённый доступ пользователей и многое другое. Всё, что остаётся – определить события возникающие при реализации ожидаемых нами угроз. Устанавливая решение по мониторингу событий ИБ в ИТ инфраструктуре следует учитывать необходимость выбора баланса между желанием отслеживать всё подряд, и возможностями по обработке огромного количества информации по событиям ИБ. Здесь Zabbix открывает большие возможности для выбора. Ключевые модули Zabbix написаны на C/C++, скорость записи из сети и обработки отслеживаемых событий составляет 1. СУБД. Всё это даёт нам возможность отслеживать наиболее важные события безопасности на наблюдаемом узле сети под управлением ОС Windows. Итак, для начала рассмотрим таблицу с Event ID, которые, на мой взгляд, очевидно, можно использовать для мониторинга событий ИБ: События ИБ MS Windows Server Security Log. Описание Event. ID2. Server. 20. 03 Server. Очистка журнала аудита. Вход с учётной записью выполнен успешно. Учётной записи не удалось выполнить вход в систему. Создана учётная запись пользователя. Попытка сбросить пароль учётной записи. Отключена учётная запись пользователя. Удалена учётная запись пользователя. Создана защищённая локальная группа безопасности. Добавлен участник в защищённую локальную группу. Удален участник из защищённой локальной группы. Удалена защищённая локальная группа безопасности. Изменена защищённая локальная группа безопасности. Изменена учётная запись пользователя. Заблокирована учётная запись пользователя. Имя учётной записи было изменено. Я уделяю внимание локальным группам безопасности, но в более сложных схемах AD необходимо учитывать так же общие и глобальные группы. Триггер – это механизм Zabbix, позволяющий сигнализировать о том, что наступило какое- либо из отслеживаемых событий. В нашем случае – это событие из журнала сервера или рабочей станции MS Windows. Теперь все что будет фиксировать журнал аудита с указанными Event ID будет передано на сервер мониторинга. Указание конкретных Event ID полезно тем, что мы получаем только необходимую информацию, и ничего лишнего. Вот одно из выражений триггера. Событие исчезнет спустя 5 минут, если в течение этого времени не был произведен повторный вход. Если же необходимо отслеживать определенного пользователя, например “Администратор”, можно добавить к выражению триггера проверку по regexp: &. Например с использованием типов входа в систему, кодов ошибок, регулярных выражений и других параметров. Таким образом тонны сообщений, генерируемых системами Windows будет проверять Zabbix, а не наши глаза. Нам остаётся только смотреть на панель Zabbix Dashboard. Дополнительно, у меня настроена отправка уведомлений на e- mail. Это позволяет оперативно реагировать на события, и не пропустить события произошедшие например в нерабочее время. Мониторинг событий безопасности Unix систем. Система мониторинга Zabbix так же позволяет собирать информацию из лог- файлов ОС семейства Unix. События ИБ в Unix системах, подходящие для всех. Такими проблемами безопасности систем семейства Unix являются всё те же попытки подбора паролей к учётным записям, а так же поиск уязвимостей в средствах аутентификации, например, таких как SSH, FTP и прочих. Некоторые критически важные события в Unix системах. Исходя из вышеуказанного следует, что нам необходимо отслеживать действия, связанные с добавлением, изменением и удалением учётных записей пользователей в системе. Изменения ключевых файлов типа sudoers, passwd, etc/rc. Способы мониторинга ИБ в Unix системах. Рассмотрим следующий пример. Нужно отслеживать входы в систему, неудачные попытки входа, попытки подбора паролей в системе Free. BSD по протоколу SSH. Вся информация об этом, содержится в лог- файле /var/log/auth. По умолчанию права на данный файл — 6. Придется немного пожертвовать локальной политикой безопасности, и разрешить читать данный файл группе пользователей zabbix: Меняем права на файл: chgrp zabbix /var/log/auth. Нам понадобится новый элемент данных со следующим ключом: log. Открыв историю полученных данных, мы увидим ошибки, которые возникали при авторизации по протоколу SSH. Вот пример последнего значения элемента данных, по которому срабатывает данный триггер: Рассмотрим ещё один пример мониторинга безопасности в ОС Free. BSD: С помощью агента Zabbix мы можем осуществлять проверку контрольной суммы файла /etc/passwd. Ключ в данном случае будет следующий: vfs. В данном случае мы не узнаем, какая конкретная операция была произведена, но если к серверу кроме Вас доступ никто не имеет, то это повод для быстрого реагирования. Если необходимо более детально вести политику то можно использовать другие ключи, например пользовательские параметры. Например, если мы хотим получать список пользователей, которые на данный момент заведены в системе, можно использовать такой пользовательский параметр: User. Parameter=system. Передача данных с устройств осуществляется с помощью так называемых трапов (SNMP Trap). С точки зрения ИБ можно выделить следующие события, которые необходимо отслеживать — изменения конфигураций оборудования, выполнение команд на коммутаторе/маршрутизаторе, успешную авторизацию, неудачные попытки входа и многое другое. Способы мониторинга. Рассмотрим опять же пример с авторизацией. В качестве стенда я буду использовать эмулятор GNS3 с маршрутизатором Cisco 3. Думаю многим знакома данная схема. Для начала нам необходимо настроить отправку SNMP трапов с маршрутизатора на сервер мониторинга. В моём случае это будет выглядеть так: login block- for 3. Будем отправлять события из Syslog и трапы аутентификации. Замечу, что удачные и неудачные попытки авторизации пишутся именно в Syslog. Далее необходимо настроить прием нужных нам SNMP трапов на сервере мониторинга. Добавляем следующие строки в snmptt. EVENT clog. Message. Generated . 1. 3. Нам понадобится Syslog сервер на базе Unix, в нашем случае им будет тот же сервер мониторинга. На маршрутизаторе нам необходимо настроить отправку Syslog на сервер хранения: system syslog host 1. Теперь все сообщения об авторизации будут отправляться на Syslog сервер, можно конечно отправлять все сообщения (any any), но переизбыток информации нам не нужен, отправляем только необходимое. Далее переходим к Syslog серверу. Смотрим tcpdump, приходят ли сообщения: tcpdump - n - i em. IP 1. 92. 1. 68. 1. SYSLOG auth. info, length: 1. По умолчанию в настройках syslog. Далее делаем все аналогично примеру с мониторингом входов в Unix. Вот пример строки из лога: Остается только настроить триггер на данное событие так же как это было рассмотрено в примере с авторизацией на Unix сервере.
0 Comments
Leave a Reply. |
AuthorWrite something about yourself. No need to be fancy, just an overview. Archives
August 2017
Categories |