Netwrix Auditor
Комплексное решение для контроля
и анализа поведения пользователей
и событий в вашей сети
Netwrix — гарантия того, что ни одно
нежелательное изменение не останется
незамеченным
Netwrix способен обеспечить
постоянный аудит и максимальную
прозрачность событий в вашей
IT–инфраструктуре:
Отслеживание изменений
Кто, где и когда
вносил изменения
Информация по доступам
Кто и к каким данным
имеет доступ
Netwrix Auditor эффективно решает
следующие задачи:
устраняет неконтролируемые участки IT-инфраструктуры;
позволяет выявить изменения, которые не соответствуют корпоративным политикам безопасности
вашей организации;
выявляет подозрительные действия пользователей и предотвращает утечки данных;
устраняет необходимость обращаться к разрозненным журналам событий, чтобы узнать — кто внес
изменения в IТ-системы;
автоматизирует процесс поиска необходимых событий и формирования отчетов;
предоставляет данные, необходимые для прохождения аудита на соответствие международным
стандартам безопасности PCI DSS, HIPAA, HITECH, SOX, FISMA/NIST800-53, COBIT, GLBA, FERPA, NERC,
ISO/IEC 27001 и др.
Особенности Newtrix:
Ежедневные настраиваемые отчеты; Выборочная подписка на отчеты позволит получать оповещения об изменениях самых важных настроек в реальном времени. Например, вы получите оповещение в случае изменений в группах Enterprise Admins и Domain Admins;
Отчеты State-in-time™ показывают настройки различных систем на любую заданную дату в прошлом; Вы можете узнать, кто входил в определенную группу год назад, какой тогда была политика по настройке паролей и т.д.;
Простое восстановление объектов и атрибутов; В случае, если в Active Directory произошли случайные или преднамеренные изменения, вы можете вернуть все объекты AD и любые их свойства в предыдущее состояние, без перерывов в работе или длительных восстановлений из резервных копий;
Оповещения при обнаружении подозрительных поведенческих паттернов; Отслеживайте подозрительные действия пользователей: добавление сторонних пользователей в группу Enterprise Admins, одновременный доступ к большому количеству файлов и т.д.;
Контроль систем, не ведущих журналы событий;
Netwrix Auditor можете контролировать изменения в системах, для которых не предусмотрено ведение журналов событий. Используйте видеозапись действий пользователей. Пишется не только происходящее на экране, но и метаданные: заголовки окон, процессы и пр., возможен поиск событий.;
Долговременное хранение данных; Двухуровневая система хранения данных аудита (БД SQL + файловый архив) AuditArchive™ позволяет обращаться к событиям, произошедшим несколько лет назад что позволит проводить ретроспективного анализ, например, при проведении расследований.
Настройка аудита файловых серверов: подробная инструкция и шпаргалка (.pdf)
Продолжаем публиковать шпаргалки по настройке аудита различных систем, в прошлый раз мы говорили об AD habrahabr.ru/company/netwrix/blog/140569, сегодня обсудим файловые серверы. Надо сказать, что чаще всего мы выполняем именно настройки аудита файловых серверов – в ходе пилотных инсталляций у заказчиков. Ничего сложного в этой задаче нет, всего лишь три простых шага:
- Настроить аудит на файловых ресурсах (file shares)
- Настроить и применить общую и детальную политики аудита
- Изменить настройки журналов событий
Если у вас большое количество файловых шар, доступ к которым часто требуется сотрудникам – рекомендуем контролировать только изменения объектов аудита. Отслеживание всех событий может привести к тому, что в журналы будет попадать большой объем избыточных данных, которые не представляют особой важности.
Настройка аудита на файловых ресурсах
- Откройте свойства шары, выберите вкладку «Security» и нажмите кнопку «Advanced»
- На вкладке «Auditing», выберите группу пользователей «Everyone» и нажмите кнопку «Edit»
- Включите следующие флажки в колонках «Successfull» и «Failed»:
List Folder / Read Data;
Create Files / Write Data;
Create Folders / Append Data;
Write Attributes;
Write Extended Attributes;
Delete Subfolders and File;
Delete;
Change Permissions;
Take Ownership.
Настройка общей политики аудита
Для того, чтобы контролировать изменения на файловом сервере, вам необходимо настроить политику аудита. Перед настройкой политики убедитесь, что ваша учетная запись входит в группу Администраторов или у вас есть права на управление аудитом и журналами событий в оснастке Групповых политик.
- Откройте оснастку Групповые политики с помощью команды gpedit.msc или через меню
Start > Programs > Administrative Tools > Group Policy Management. - Раскройте узел «Domains», щелкните правой кнопкой мыши по имени вашего домена и выберите пункт меню «Create a GPO in this domain and Link it here».
- Впишите название новой политики в поле «Name» и нажмите ОК.
- Щелкните правой кнопкой мыши по новой политике, в меню выберите пункт «Edit», откроется редактор групповых политик.
- Раскройте узел «Computer Configuration», затем раскройте «Policies» > «Windows Settings» > «Security Settings» > «Local Policies» > «Audit Policy».
- В правой части окна два раза щелкните левой кнопкой мыши по категории «Audit object access».
Настройка детальной политики аудита
- На контролируемом файловом сервере откройте оснастку Локальные политики безопасности с помощью команды secpol.msc
- Раскройте узел «Security Settings» > «Local Policies» > «Security Options» и найдите в правой части окна категорию «Audit: Force audit policy subcategory settings (Windows Vista or later) policy»
Настройка журналов событий
Для того, чтобы эффективно контролировать изменения, необходимо выполнить настройку журналов событий, а именно — установить максимальный размер журналов. Если размер окажется недостаточным, то события могут перезаписываться перед тем, как попадут в базу данных, которую использует ваше приложение, контролирующее изменения.
- Откройте просмотр событий: «Start» > «Programs» > «Administrative Tools» > «Event Viewer»
- Разверните узел «Windows Logs»
- Правой клавишей мыши щелкните по журналу «Security», выберите пункт меню «Properties»
- Убедитесь, что флажок «Enable logging» включен.
- Установите значения в поле «Maximum log size»: для Windows 2003 – 300MB, для Windows 2008 – 1GB.
Напоследок, хотели бы предложить вам скрипт, который мы сами используем при настройке аудита на файловых серверах. Скрипт выполняет настройку аудита на всех шарах у каждого из компьютеров в заданном OU. Таким образом, не требуется включать настройки на каждом файловом ресурсе вручную.
Перед запуском скрипта нужно отредактировать строчку 19 — вписать вместо «your_ou_name» и «your_domain» необходимые значения. Скрипт необходимо выполнять от имени учетной записи, имеющей права администратора домена.
Получить скрипт можно в нашей базе знаний или сохранить в файл .ps1 следующий текст:
Скачать шпаргалку(.pdf) по настройке аудита файловых серверов
ПО для аудита серверов под управлением Windows
Netwrix Auditor for Windows Server предоставляет полный контроль событий в инфраструктуре серверов Windows. Чтобы усилить защиту ИБ и соответствовать требованиям регуляторов, проводите регулярное сравнение конфигураций серверов с контрольными показателями и мониторинг всех изменений.
Упрощает мониторинг изменений, собирая информацию по каждой модификации и предоставляя практическую информацию, включая данные кто-что-где-когда и значения до и после.
Составляет отчеты о текущих конфигурациях ваших серверов и позволяет легко сравнить с контрольными значениями, чтобы вы могли вовремя обнаружить и устранить нарушения.
Составляет отчеты об успешных и безуспешных попытках входа в компьютеры. Выясните, во сколько кто-то вошел в ваши критические системы, чтобы расследовать инциденты ИБ.
Информирует вас о критических событиях ИБ и предоставляет все данные, необходимые для того, чтобы отменить вредоносные или случайные изменения, которые подвергают риску ваши конфиденциальные данные.
Позволяет быстро анализировать данные аудита серверов Windows и точно настраивать критерии поиска, чтобы найти конкретную информацию. Сохраните изменения как кастомизированные отчеты и настройте их отправку по расписанию.
Помогает защитить критические системы и инструменты, даже если они не производят логов, записывая активность привилегированных пользователей.
Значительно сокращает время на подготовку к аудиторским проверкам благодапя отчетам по формату PCI DSS, HIPAA, GDPR, SOX, GLBA, FISMA/NIST, CJIS и других стандартов ИБ.
Определяет пользовательские аккаунты с высокой степенью риска, собирая информацию обо всех их подозрительных действиях в ваших серверах Windows и других локальных и облачных системах.
Составляет полезные и легко читаемые отчеты по всем изменениям в ваших локальных политиках аудита, позволяя вам проверить, что все модификации не были совершены без согласования с руководством.
Контролируйте конфигурации серверов и все изменения, чтобы защитить конфиденциальные данные
Чтобы держать инфраструктуру под защитой, крайне важно знать всё о ваших серверах Windows. Какие записи DNS были недавно обновлены? Кто изменил права доступа к вашим файловым хранилищам? Соответствуют ли конфигурации вашего сервера вашей политике ИБ? Какое ПО было установлено, пока вы были в отпуске? Netwrix Auditor даст вам конкретные ответы.
Используйте Netwrix Auditor, чтобы проводить регулярный аудит серверов Windows и быстро обнаруживать отклонения от нормы, например, устаревший антивирус или вредоносное ПО. Снижайте риски ИБ.
Логи аудита ИБ серверов Windows создают столько шума, и их так сложно анализировать, что вы можете с легкостью упустить важные события, такие как модификации ключей регистрации или ввод USB-устройства. ПО Netwrix для аудита серверов Windows оповестит вас о таких событиях, чтобы вы могли вовремя принять меры и избежать утечки данных.
Любые изменения прав доступа к файлам или в группе локальных администраторов могут угрожать ИБ серверов Windows. Расследовать инфиденты с помощью логов аудита Windows почти невозможно из-за их громоздкого объема и неудобного для чтения формата. Netwrix Auditor помогает быстро проанализировать потенциальные инциденты и определить нарушителей.
Нативные логи аудита серверов Windows обычно хранят данные в течение недели, и содержат слишком техническую информацию, что затрудняет решение проблем. Netwrix Auditor предотвращает потерю данных аудита и предоставляет все необходимые детали, включая значения до и после по каждой модификации, в легко читаемом формате, что позволит вам быстро разобраться в проблеме.
Используйте Netwrix Auditor, чтобы проводить регулярный аудит серверов Windows и быстро обнаруживать отклонения от нормы, например, устаревший антивирус или вредоносное ПО. Снижайте риски ИБ.
Логи аудита ИБ серверов Windows создают столько шума, и их так сложно анализировать, что вы можете с легкостью упустить важные события, такие как модификации ключей регистрации или ввод USB-устройства. ПО Netwrix для аудита серверов Windows оповестит вас о таких событиях, чтобы вы могли вовремя принять меры и избежать утечки данных.
Любые изменения прав доступа к файлам или в группе локальных администраторов могут угрожать ИБ серверов Windows. Расследовать инфиденты с помощью логов аудита Windows почти невозможно из-за их громоздкого объема и неудобного для чтения формата. Netwrix Auditor помогает быстро проанализировать потенциальные инциденты и определить нарушителей.
Нативные логи аудита серверов Windows обычно хранят данные в течение недели, и содержат слишком техническую информацию, что затрудняет решение проблем. Netwrix Auditor предотвращает потерю данных аудита и предоставляет все необходимые детали, включая значения до и после по каждой модификации, в легко читаемом формате, что позволит вам быстро разобраться в проблеме.
Узнайте подробнее, как Netwrix Auditor for Windows Server позволяет контролировать и защищать критические приложения.
Контролируйте 5 критических изменений на ваших серверах Windows с помощью Netwrix Auditor.
«Вместо того, чтобы переключаться между 130 серверами, копаться в логах и пытаться выяснить, по чьей вине и как возникла проблема, я мгновенно получаю ответ в Netwrix Auditor. Решение экономит мне порядка 6 часов в неделю. Это бесценно.»