27 Апреля, 2012

Как выбрать решение для аудита Active Directory: 8 требований, предъявляемым к программам

NetWrix_ru


Аудит изменений Active Directory – это процесс сбора информации, формирования на ее основании отчетов, анализ этой информации, принятие определенных решений и оценка. В Active Directory присутствует встроенная возможность генерировать подобную информацию. Однако такая информация хранится не централизованно, а локально на каждом контроллере домена. Функция формирования отчетов также недоступна во встроенных инструментах, что превращает аудит изменений Active Directory в сложный и долгий процесс. Также существует риск потери данных, если журнал событий не настроен таким образом, чтобы справиться с объемом генерируемой информации. Часто это ведет к тому, что свободное место на контроллерах доменов заканчивается. Информация, сгенерированная с помощью встроенных инструментов, может быть полноценно проанализирована администратором, который обладает значительным опытом работы с системными событиями и сообщениями. Интерпретация такой информации должна привести к принятию определенного решения (принять данное изменение или отклонить его). Ни в коем случае это решение не должно быть компромиссным или принятым в результате отсутствия необходимой информации. Комбинируя эти факторы можно заключить, что встроенные инструменты аудита во многом не подходят для удовлетворения потребностей организаций, за исключением разве что малых, в которых всего лишь пара серверов и до 100 пользователей.




Существуют различные причины, по которым аудит Active Directory является необходимой процедурой:

1) Аудит изменений Active Directory как способ снижения риска

Аудит изменений позволяет фиксировать детальную информацию о событиях в IT-инфраструктуре. С его помощью осуществляется минимизация риска. В случае с Active Directory, пользователям даются права доступа к данным и приложениям как локально, так и удаленно. Членство в группах и групповые политики настраиваются специально для того, чтобы контролировать поведение при доступе к данным и приложениям. И если что-то из этого меняется, то администратор должен первым быть в курсе, чтобы обеспечить минимальный уровень риска нарушения информационной безопаности и одновременно стабильную работу систем. Аудит изменений Active Directory предоставляет детализированную информацию, которая может быть использована при расследовании. Наличие такой информации (представленной, как правило, в отчетах) гарантирует, что факторы риска управляются должным образом, и в то же время пользователям предоставляются необходимые права для выполнения их работы.

2) Аудит изменений для целей усиления безопасности

Порой внутренние угрозы гораздо более серьезны, нежели внешние, и причина тому – излишнее доверие. Аудит изменений позволяет осуществлять проверку всех изменений Active Directory. Изменения в настройки безопасности обычно вносятся после того, как была обнаружена брешь в системе. Такой реактивный подход связан с тем, что без ежедневной деятельности по аудиту изменений отсутствует возможность спрогнозировать, как эти изменения скажутся на IT-инфраструктуре. Те инфраструктуры, которые полагаются на мандаты доступа к системе (tickets) или другие процессы одобрения изменений, все равно могут быть подвержены угрозам в области безопасности, если впоследствии обнаруживается, что присланная информация была неточной или заведомо ложной. Единственный способ узнать о том, что безопасность была нарушена – получать информацию об изменениях прямо из Active Directory.

3) Аудит изменений в контексте требований нормативов по информационной безопасности

Такие нормативы в сфере информационной безопасности, как SOX, HIPAA, FISMA и PCI, по-разному объясняют стандарты безопасности, а именно что конкретно нужно отслеживать и записывать о событиях доступа и изменениях. Эти нормативы существуют для того, чтобы обеспечить защиту как организаций, так и конечных потребителей. В конечном итоге, эти нормативы призваны подтвердить, что организация защищает, записывает и отслеживает изменения, которые так или иначе подразумевают доступ к конфиденциальной информации. Для Active Directory этого крайне сложно добиться с помощью встроенных инструментов аудита, что и приводит к возникновению программ сторонних разработчиков.

4) Аудит изменений с целью усовершенствования управляемости

Осуществить изменения Active Directory просто, если пользователь или администратор обладает необходимыми правами. Однако восстановление после таких изменений может долгие часы и даже дни. И даже если изначально использовалось тестовое оборудование, неожиданные результаты все равно могут появиться, делая насущной потребность в управлении изменениями Active Directory. Аудит изменений может значительным образом усовершенствовать возможность администратора восстанавливать работоспособность системы после нежелательных изменений. Запись изменений в течение определенного времени позволяет осуществлять дальнейший анализ - для обнаружения скрытых проблем, которые не являются очевидными при обычной работе с Active Directory.

Все это дало толчок к возникновению вспомогательных инструментов, особенно актуальных в крупных IT-инфраструктурах с различными уровнями IT-администрирования.


Требования, предъявляемые к функциям программ, осуществляющих аудит Active Directory:

1) Автоматический сбор данных

Для того чтобы максимизировать эффективность сбор информации, этот процесс должен быть автоматизирован либо с помощью использования скриптов, либо с помощью сторонних программ. Без этого сбор информации на постоянной основе невозможен. Cбор данных должен осуществляется регулярно, иначе существует риск потери важной информации вследствие перезаписи журнала событий или проблем с исчерпанием свободного места на сервере. Это важное требование к инструментам аудита изменений, так что без него своевременный аудит невозможен.

2) Эффективное централизованное хранение данных

Автоматизация обычно требует дополнительных системных ресурсов и может негативно сказываться на функционировании системы, что в свою очередь может привести к проблемам стабильности. По этой причине важно, чтобы влияние применяемого метода сбора данных было минимальным. Более того, хранение данных должно также быть рассмотрено в процессе внедрения программного решения. Пока это является возможным, данные событий и аудита могут храниться исключительно в локальной системе, где события произошли. Однако предпочтительный метод – централизация этой информации в отдельном хранилище данных, где они были бы одновременно защищены и доступны. Такой подход имеет свои преимущества, так как потребность анализировать информацию и формировать на ее основании отчеты становится частью повседневной деятельности IT-администратора или группы, ответственной за осуществление аудита изменений Active Directory.

3) Сбор информации должен быть надежным.

В процессе сбора данных, предпочтение должно отдаваться тем методам, которые используют Журнал событий Windows (Event Log) и другие встроенные инструменты аудита, которые отличаются от методов, требующих внедрения агентов или изменения кода системы для извлечения данных о событии. Осуществление этого позволяет устранить любые потенциальные проблемы, связанные со стабильностью работы системы или несовместимостью программ. Особенно это актуально для Windows систем, в которых нельзя полагаться исключительно на данные журнала событий, так как генерируемая информация не является полной. Чтобы полностью понять то или иное событие, информация из различных источников должна быть агрегирована, и последующий анализ должен рассматривать уже агрегированную информацию. Защита такой информации для целей краткосрочного и долгосрочного хранения также является важным процессом. Важно, чтобы никто из привилегированных пользователей не имел доступа к ним, а тем более возможности удалить или иным образом вмешаться в эти данные. Доступ к такой информации должен быть ограничен или вообще запрещен.

4) Масштабируемость

Чтобы осуществлять аудит изменений, программное решение для аудита должно быть масштабируемым. Оно должно приспосабливаться к постоянно меняющейся инфраструктуре организации, но в то же время без “рывков” в процессе внедрения. Внедрение и дальнейшее использование решений для аудита изменений будет упрощено в том случае, когда не будут требоваться дополнительное ПО или значительные изменения конфигурации, чтобы адаптироваться к изменениям внутри организации. Решение для аудита изменений должно принимать во внимание постепенные (гранулярные) изменения, такие как изменения общей топологии сети, контроллеров доменов и Active Directory. Это необходимо для того, чтобы осуществлять постоянный контроль изменений с целью предоставления наилучшего качества обслуживания пользователям и предоставления записей аудита IT-службам и службам поддержки.

5) Возможность формирования расширенных отчетов

Когда сбор данных из различных источников автоматизирован, а сами данные хранятся в защищенном месте, тогда аудит изменений Active Directory начинает играть проактивную роль в выполнении требований нормативов в сфере информационной безопасности, защите информации и повышении общей стабильности работы сети. Расширенные отчеты необходимы для предоставления IT-администраторам, менеджменту и аудиторам, причем в них должна присутствовать возможность настройки итоговых результатов по каждому изменению Active Directory за любой период времени.

Ежедневное использование отчетов гарантирует полную прозрачность всей IT-инфраструктуры и выполнение требований нормативов в сфере информационной безопасности. Дополнительные возможности, такие как оповещение по электронной почте и подписка на отчеты, также оказывают влияние на общую эффективность управления системой. Таким образом, возможность формирования расширенных отчетов является залогом успешного осуществления аудита изменений и повседневного управления IT-инфраструктурой.

6) Уведомления в режиме реального времени

С возможностью формирования расширенных отчетов тесно связана возможность получать уведомления об изменениях AD в режиме реального времени. Уведомления в режиме реального времени позволяют администраторам моментально быть в курсе тех изменений, осуществленных с критическими объектами и данными. Это позволяет администраторам проактивно реагировать на потенциально опасные инциденты, что раньше было для них недоступно. Поэтому функция уведомлений в режиме реального времени должна быть включена в состав программы для аудита изменений Active Directory.

7) Включенные опции восстановления и отмены нежелательных изменений

В Active Directory присутствует ряд функций для восстановления, хотя они требуют перезагрузки и значительного объема свободного места для того, чтобы функционировать должным образом. Также необходимо тестировать настройки для того объекта, который необходимо восстановить. Для аудита изменений Active Directory требуется комплексное решение, поэтому функция восстановления также является неотъемлемой функцией программного решения для аудита изменений Active Directory. Более того, встроенные функции ограничены тем уровнем детальности, с которым объект может быть восстановлен. Например, измененные атрибуты невозможно восстановить, если не доступна резервная копия. Наличие возможности гранулярного восстановления бесценно при управлении Active Directory. Например, необходимо восстановить отдельное членство в группах безопасности, которое было недавно изменено, не отменяя при этом других изменений.

8) Дополнительные требования

Предпочитаемые решения должны быть просты во внедрении и обладать возможностью подключения дополнительных модулей для формирования целостного пакета программ, чтобы максимизировать потенциальные выгоды от аудита изменений. Некоторые дополнительные типы систем могут включать файрволы, маршрутизаторы, серверы с базами данных, устройства хранения и другие технологии Microsoft, такие как Exchange и SharePoint.


Подход NetWrix к аудиту изменений Active Directory
Подход NetWrix включает в себя все необходимые функции для достижения эффективного аудита изменений, представленного в программном решении. NetWrix Active Directory Change Reporter — программа, которая отслеживает изменения Active Directory во всей IT-инфраструктуре, включая популярные устройства хранения. Программа ежедневно присылает полные отчеты и генерирует уведомления в режиме реального времени по изменениям Active Directory, а именно: кто, когда, где и что изменил, для каждого изменения AD, включая пользователей, подразделения (OU), группы, контроллеры домена, конфигурацию, схему раздела и другие изменения. Отчет включает предыдущее и новое значения для изменений объектов AD с целью повышения защищенности и контроля над изменениями AD. Автоматический сбор информации и формирование на ее основе отчетов не только превосходит возможности встроенных инструментов Windows и устройств хранения, но расширяет возможности, сокращая время и усилия, затрачиваемые на сбор информации об изменениях, осуществляемый вручную или используя сложные скрипты. Также в программе возможна архивация всех модификаций, которая поможет выяснить подробности изменений спустя месяцы и годы. Все это позволяет распространить аудит изменений Active Directory в SIEM системы, такие как SCOM для повышения контроля заIT инфраструктурой.

Узнайте, как NetWrix Active Directory Change Reporter может помочь Вашей организации при осуществлении аудита изменений и выполнении требований нормативов в сфере информационной безопасности.

Скачайте программу – NetWrix ADCR
или введите имя

CAPTCHA