Power Pivot / Power BI для информационной безопасности и ИТ аудита

Power Pivot / Power BI для информационной безопасности и ИТ аудита
Потребность в аналитике больших объемов данных, с целью аудита, выявления проблем и генерации новых знаний, высока в любой связанной с ИТ области.
Направление информационной безопасности не исключение. Для сбора и корреляции разнокачественных источников данных принято использовать системы класса SIEM (Security information and event management). При этом для оперативного решения задач, встающих перед службой информационной безопасности, хорошо подходят и системы бизнес аналитики (Business Intelligence).

Далее расскажу о том, как можно применять бесплатные аналитические системы Microsoft Power Pivot / Power View и  Power BI для решения задач информационной безопасности и ИТ аудита.
name='more'>

Power Pivot / Power View

Начиная с MS Office 2010 в Excel появились надстройки  PowerPivotPowerViewPowerMap .
Надстройки позволяют обрабатывать и визуализировать большие объемы данных из нескольких источников. В общих чертах работа с надстройками сводится к следующим этапам: 
  1. Исходя из задачи определить источники информации
  2. Загрузить данные в Power Pivot
  3. Провести дополнительную обработку данных и связать таблицы между собой (создать модель данных)
  4. Вывести на PowerView интересующие графики и отчеты

Пример: Аудит web сервиса

В компании есть web сервис, с помощью которого внешние пользователи регистрируются на прием и подают заявления. Количество ресурсов (время приема) ограниченно, кто не успел - ждет следующей недели, значит - возможны злоупотребления. Межсетевые экраны фиксируют атаки на сервис, больше всего в момент открытия регистрации на прием.

Требуется провести аудит, чтобы понять нагрузку на сервис, кто из пользователей и организаций наиболее активен, как пользователи связаны с атаками, есть ли аномалии в работе сервиса.

Исходные данные: логи web сервера, БД web приложения, БД web aplication firewall

Объединяя исходные данные на одном листе PowerView получаем удобный инструмент аналитики. Ответы на перечисленные вопросы становятся буквально "видны". Кроме того, становятся доступны новые знания, например были выявлены взаимосвязи пользователей между собой (по почте, IP адресам) что позволило лучше понять происходящие процессы и пресечь злоупотребления.
Анализ пользователей web сервиса через Power View
Анализ пользователей web сервиса через Power View

Power BI

С 2016 у Microsoft появился отдельный продукт, позиционирующийся как сервис бизнес аналитики. Power BI базируется на тех же компонентах и логике что и Power Pivot, но является отдельным приложением, а не надстройкой к Excel. Возможностей по аналитике значительно больше, есть дополнительные плагины, в том числе для визуализации связей . Так же доступен хороший  учебный курс .


Пример: Аудит подключений пользователей

В компании есть терминальные сервера, к которым подключаются внешние пользователи. Требуется провести аудит активности внешних пользователей на терминальных серверах, а так же внутренних пользователей на контроллерах домена, выявить подозрительную активность, в том числе по неудачным подключениям.

Исходные данные: Windows event logs с серверов, каталоги Active Directory, таблицы Microsoft security events description.

Нюансы: в PowerBI есть функционал по подключению к Active Directory, но он не подходит для нашей задачи (не собираются параметры учетных записей), по этому сведения о пользователях собираются скриптом по расписанию, взять можно  тут .

Для сбора eventlog так же используем скрипт, который преобразует и сохраняет выборку из eventlog в CSV формат, взять можно  тут .

Помимо общей статистики, о том какие пользователи и организации работают больше всего или в какое время на сервера идет наибольшая нагрузка по результатам аудита были выявлены такие инциденты:
  1. Использование учетных записей пользователей с нескольких узлов, в том числе одновременно, что означало компрометацию учетной записи;
  2. Активности в нерабочее время, когда пользователь не мог быть на своем рабочем месте;
  3. Брутфорс пароля. На сервере фиксировались события неправильного ввода пароля пользователем, но блокировки учетной записи не происходило, т.к. между попытками ввода пароля проходило достаточно много времени чтобы сбрасывался счетчик неудачных попыток авторизации. Учитывая, что в день таких событий по одному пользователю было более 30 предположение о том, что это человеческий фактор, было исключено.

Анализ подключений пользователей через Power BI
Анализ подключений пользователей через Power BI

Резюме

Если Power Pivot стал для меня скорее вынужденным инструментом для решения конкретных задач то Power BI это настоящее открытие, дающее весьма широкие возможности для оперативного анализа всего и вся. Недостатком Power BI является то, что он не SIEM и не умеет осуществлять сложных корреляций и слать оповещения. Но как инструмент для получения новых знаний и проведения периодических аудитов Power BI подходит отлично.

Преимуществом визуального анализа является то, что в процессе анализа часто выявляются знания, о которых ранее было ничего не известно. Появляются ответы на вопросы, которые не задавались, но не потому, что не важны, а потому что предвидеть все не возможно. 

А какие инструменты для анализа данных используете вы? Какие нестандартные источники данных при визуальном анализе дают полезные службе ИБ результаты? 
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Николай Казанцев

Об информационной безопасности в Северной столице