Александр Кузнецов (a.kuznetsov@ntc-vulkan.ru) — руководитель отдела безопасности информационных систем ООО «НТЦ «Вулкан»
На сегодня подавляющее большинство ИТ-инфраструктур (по не-которым оценкам, до 90%) строится на платформах Microsoft Windows. Как известно, операционные системы Windows обладают развитыми функциями в плане регистрации системных событий: в операционной системе ведется сразу несколько журналов событий («Безопасность», «Система», «Приложения» и прочие). Служба Eventlog активирована по умолчанию, а работа с журналами событий осуществляется с использованием многофункциональной оснастки EventViewer (см. экран 1).
Экран 1. Оснастка EventViewer |
На практике часто возникает потребность в анализе данных из журналов событий Windows, например с целью определения источника текущих неполадок либо для предотвращения возможных проблем. Про-водить такой анализ вручную (последовательно работать с каждым журналом событий на каждом компьютере) чрезвычайно трудно. А в ситуациях, когда необходимо проанализировать журналы событий де-сятков или сотен компьютеров, определить частоту возникновения событий, взаимосвязь с другими событиями, ручной анализ становится абсолютно неэффективным.
Опытные администраторы решают эту задачу путем разработки и использования сложных сценариев VBS- и PowerShell, например так, как описано в статье Брэндона Джоунса «Сценарий для чтения журналов событий» (опубликованной в «Windows IT Pro» № 3 за 2011 год). Пример кода, приведенный в статье Джоунса, демонстрирует, насколько трудоемкой является такая автоматизация работы с «логами» (см. экран 2).
Экран 2. Пример кода автоматизации работы с журналами |
Кроме того, это решение обладает низкой гибкостью, так как поиск возможен только по идентификатору события Event ID за опре-деленный период времени, а аналитические возможности здесь прак-тически отсутствуют.
И наконец, описанный инструментарий подлежит коррекции для каждой версии операционной системе (Б. Джоунс: «Сценарий в данном виде работает на компьютерах XP, но его можно приспособить и для запуска с другими версиями Windows»).
Существует еще один важный момент, на который стоит обратить внимание – ограничение размера журнала, которое может привести к потере важных событий (максимальный размер журнала может достигать 4 Гбайт, но на практике этот параметр составляет не более 1Гбайт). В этом случае использование даже отлаженных инструментов анализа не даст результатов. Таким образом, возможность обращения к записям, например, полугодовой давности, становится все менее вероятной с регистрацией каждого нового события.
Чтобы обеспечить возможность глубокого ретроспективного анализа, администраторы практикуют использование программного обеспечения типа EventLogtoSysLog, которое необходимо установить на все компьютеры, а кроме того – организовать выделенный SysLog-сервер, осуществляющий централизованный сбор данных.
А можно ли решить задачу анализа журналов событий Windows более рационально? Безусловно, да. Эффективными и одновременно простыми инструментами для решения данных задач без использования программных «агентов» является Security Information and Event Management (SIEM), в частности – платформа RSA enVision. Так, для анализа нескольких десятков или даже сотен журналов событий в RSA enVision достаточно выполнить несколько несложных действий:
-указать источники журналов событий;
-выбрать интересующие события (ID, период времени и/или другие параметры);
-получить результат – табличный отчет, гистограмму, круговую диаграмму и т.п. (см. экран 3).
Экран 3. Результат работы RSA?enVision |
При этом централизованное хранение событий в специализиро-ванной базе данных гарантирует формирование «слепка» информационной среды и возвращение к любому моменту жизненного цикла ИТ-инфраструктуры за длительный период времени.
Таким образом, в распоряжении ИТ-специалиста имеется мощный и гибкий инструмент, позволяющий:
? без привлечения программных «агентов» собрать Windows-события с десятков, сотен, тысяч систем;
? обеспечить хранение журналов событий в неизменном виде в течение длительного периода;
? выполнять аналитические действия любой сложности;
? одновременно работать с операционной системой разных версий;
? автоматизировать генерацию периодических отчетов;
? существенно разгрузить администраторов корпоративных сетей Windows.
Данный инструмент может использоваться для решения, с одной стороны, простых повседневных задач, например, если на компьютере периодически возникают проблемы при подключении к почтовому серверу Microsoft Exchange 2010, RSA enVision сигнализирует о сотнях попыток неудачных подключений в течение нескольких минут, после чего соединение устанавливается. Причина: пользователь после смены пароля доступа к почтовому серверу не произвел его обновление в веб-браузере и спустя несколько минут после неудачного подключения использовал другой клиент для получения доступа. С другой стороны, он применим и для задач более сложных. Например, группа компьютеров, обращаясь к внутреннему сервису, «зависает». Причина: некорректная настройка сервера DNS, приводящая к передаче рекурсивного запроса DNS наружу и возврату его на тот же порт, что создает цикл.
В заключение приведем несколько практических задач, которые можно решить подобным способом:
? определить количество (а при необходимости — и источники) неудачных попыток локальной/сетевой регистрации в операционной системе;
-вывести все ошибки операционной системы или конкретного приложения;
-получить информацию о попытках очистки журналов событий;
-получить общую статистику событий на компьютерах по типам (количество и распределение по времени);
-выявить активность сотрудников на компьютерах в нерабочее время;
-получить информацию о печати документов (по сотрудникам);
-получить информацию об атаках, зарегистрированных бранд-мауэром Windows;
-получить данные по изменению полномочий пользователей и другим операциям администрирования учетных записей;
-выявить попытки несанкционированного использования чужих учетных записей.