NetWrix Change Reporter Suite – комплексное решение для аудита

Без постоянного анализа изменений нельзя построить действительно безопасную среду. Комплексное решение NetWrix Change Reporter Suite существенно упростит аудит ИТ-инфраструктуры.

Сегодня бизнес очень плотно интегрирован с ИТ поэтому бесперебойная и безопасная работа сервисов является важной составляющей, которую нельзя игнорировать ведь практически любая служба критична. В итоге помимо собственно развертывания сервиса, необходимо предусмотреть еще и ряд мероприятий – защита, резервное копирование и аудит. Если назначение первых двух вполне понятно и новичку, то аудиту часто не уделяется должного внимания. Хотя это очень важная часть, ведь без постоянного анализа изменений можно даже не знать о действительных проблемах на сервере – кто, когда и что изменил, кому делегированы права, что произошло в случае изменений (удачных или неудачных), кто смог или не смог зайти в систему или получить доступ к ресурсу, кто удалил данные. Аудит позволит найти ответы на эти и многие другие вопросы. Поэтому он становится важной частью обеспечения безопасности, к тому же этого требуют большинство стандартов вроде PCI (Payment Card Infrastructure) или закон SOX (Sarbanes-Oxley Act). Но здесь есть некоторые проблемы.

Проблемы аудита

Все записи сохраняются в нескольких журналах – системный, безопасности, службы каталогов, приложения и многих других, а штатные инструменты операционной системы и серверов часто предлагают лишь базовые наборы средств анализа. Выбрать параметры изменения, которых нужно контролировать задача не простая и требующая хорошей подготовки администратора. Хотя здесь имеются уже некоторые улучшения. Так в Windows Server 2008 и выше предложен обновленный Event Log умеющий собирать сведения (подписки) с других серверов, представлен целый набор командлетов РowerShell практически на все случаи. Кроме этого обновлены возможности аудита настраиваемые через политики безопасности, количество отслеживаемых параметров увеличено на 53. Их настройки подробно расписывает документация, возможности новых инструментов достаточно обширные, но опять же администратор в их выборе, по сути, представлен самому себе. Он должен самостоятельно активировать, подбирая оптимальные значения, кроме того, на его плечи ложится анализ результата и построение разнообразных отчетов. Учитывая, что в сети запущено нескольких служб – Active Directory/GPO, Exchange Server, MS SQL Server, виртуальные машины и так далее, генерирующих очень большое количество событий отобрать действительно необходимые, следуя лишь их описаниям очень тяжело. Но это еще не все. Некоторые стандарты безопасности требуют хранения данных собранных в процессе аудита в течение продолжительного времени (например, SOX до 7 лет), системными средствами реализовать это очень сложно.
Поэтому проблему всестороннего аудита можно решить при помощи продуктов сторонних поставщиков, обладающих графическим интерфейсом и понятными настройками. Одним из таких решений для автоматизированного отслеживания изменений и оповещений является пакет программ от NetWrix.

Возможности продуктов NetWrix

На сайте NetWrix можно найти несколько решений Change Reporter обеспечивающих аудит отдельных компонентов (Active Directory, групповые политики, MS Exchange, файловый сервер, SCVMM, SQL Server, VMware, SharePoint, сетевая инфраструктура, изменения конфигурации серверов) и комплексный продукт Change Reporter Suite в котором интегрированы все возможности. Также предлагается расширение к Microsoft System Center Operations Manager обеспечивающее возможность контроля изменений Active Directory, GPO и Exchange. Установка NetWrix Change Reporter возможна на любой компьютер работающий под управлением Windows XP SP3 и выше. Для хранения отчетов используется Microsoft SQL Server от 2005, в том числе и бесплатный Express Edition. Кроме этого понадобится IIS от 5.1 (в 64 битных системах в режиме 32 совместимости).
Особо хочется отметить, что практически все решения распространяются в двух версиях бесплатной и коммерческой. Например, используя бесплатную NetWrix Active Directory Change Reporter администратор может отследить все изменения сделанные в Active Directory, групповых политиках и Microsoft Exchange. По результатам генерируются полные отчеты с данными кем, где и когда были произведены изменения с указанием значения до и после, которые формируются в виде ежедневного дайджеста отправляемого на указанный email.

Бесплатная версия NetWrix позволяет получать отчеты по любым изменениям

Инстурмент Change Rollback Wizard позволяет произвести откат до предыдущего значения (в бесплатной версии “запоминаются” только 4 последних дня). Очень удобный и полезный продукт. Чтобы упростить настройки политик аудита, предложен мастер Audit Configuration Wizard, в котором все нужно производится нажатием одной кнопки. Главный минус бесплатной версии – отсутствие централизованного управления, хотя для относительно небольших сетей это не так критично. Платная версия, оснащена значительно лучше. Здесь уже и уведомления в реальном времени о критических изменениях, поддержка нескольких доменов, продолжительное хранение архива изменений, интеграция со SCOM и другими решениями от NetWrix. Также увеличено количество отчетов по расписанию — состояние “snapshot” Active Directory, изменения в определенных настройках на указанный момент, сброс пароля AD и так далее. Снимки службы каталогов по умолчанию производятся каждые 10 минут и на их основании можно построить отчет, показывающий изменения объектов в динамике.
Мастер восстановления объектов NetWrix не имеет ограничений штатных инструментов
Практически аналогичные возможности и у остальных продуктов линейки, с учетом их специфики. Например, Network Infrastructure Change Reporter умеет собирать данные с сетевых устройств, поддерживающих SNMP и создавать отчеты о текущих настройках и их изменениях, и информировать администратора о появлении новых систем в сети.

Всесторонний NetWrix Change Reporter Suite

Отдельные продукты Change Reporter интегрированы в комплексное решение NetWrix Change Reporter Suite, управление настройками производится посредством единой консоли Enterprise Management Console. Дополнительно можно подключить и другие решения NetWrix — управление неактивными учетными записями Inactive Users Tracker, напоминалку о необходимости смены пароля Password Expiration Notifier и агрегатор журналов Event Log Manager. В итоге мы получаем удобную систему способную автоматизировать многие задачи администрирования. Решение от NetWrix может интегрироваться с некоторыми SIEM (Security Information and Event Management) системами, что открывает еще большие возможности по аудиту и обработке инцидентов.
Консоль не локализована, но выполнена традиционно для подобного рода инструментов, поэтому не смотря на большие возможности, разобраться с настройками труда не составит. Все операции вполне логичны, некоторые установки производятся при помощи мастеров или нажатием одной кнопки (например, установка режима 32 битной совместимости для IIS).
NetWrix Change Reporter Suite представляет собой комплексный продукт
После установки Change Reporter Suite следует добавить объекты (домен, отдельный OU, сервер VMware или коллекцию компьютеров) и в Setting последовательно переходя по подпунктам настроить функцию улучшенных отчетов, подключение к SMTP и хранение архива. При большом количестве объектов их можно распределить по папкам.
Выбрав в меню объект и раскрыв список, получаем все доступные функции. После установки в списках Real-Time Alerts присутствует три оповещения (уведомления об изменениях в группе Администраторов, настройках домена и всех объектов AD), но они неактивны. Каждое уведомление может состоять из одного или нескольких критериев, которые можно просмотреть, изменить или дополнить новыми. Чтобы настроить критерий необходимо указать название, выбрать степень критичности, установить фильтры (кто, объект и тип модификации – добавлен, изменен, удален) и значения отслеживаемых атрибутов (тип, название и значение). В большинстве случаев параметр просто выбирается из предложенного списка, генерируемого на основании текущих настроек домена. Чтобы отобрать любые изменения то просто выбирается звездочка “*”. Возможно использование ряда переменных. Когда все критерии заполнены следует, составить список получателей, выбрать тип уведомления (email или SMS) и отредактировать шаблон сообщения. Все настраивается очень просто, а работает эффективно.
Настройка атрибутов оповещений в реальном времени
Раздел Advanced report содержит более 60 отчетов, разделенных на 3 группы (AD Snapshot Reports, All Changes Reports и Best Practice Reports). Для получения нужных данных следует выбрать требуемый отчет и уточнить параметры (диапазон дат, кто и что изменил). Чтобы получать данные по отчету автоматически оформляется подписка на email.
После того как сделан первый снимок Active Directory, становится доступной функция восстановления измененных или удаленных данных при помощи мастера Object Restore Wizard. Причем он не имеет ограничений штатных инструментов, так в процессе выбора можно указать любую дату для которой доступен snapshot. В процессе анализа мастер выдаст список всех изменившихся объектов, кнопка Detail позволит получить подробную информацию. Остается лишь отметить нужные флажком и подтвердить изменения.

***

Знакомство показало, что NetWrix Change Reporter Suite простой в использовании и удобный инструмент обеспечивающий администратора всем необходимым для аудита изменений в ИТ инфраструктуре. Лицензируется NetWrix по количеству активных пользователей, в стоимость включается 1 год техподдержки. Документация по настройкам весьма подробна, правда только на английском, но при базовом уровне понять все термины можно, плюс на сайте доступен форум и база знаний.

Рис.1 Бесплатная версия NetWrix позволяет получать отчеты по любым изменениям
Рис.2 Мастер восстановления объектов NetWrix не имеет ограничений штатных инструментов
Рис.3 NetWrix Change Reporter Suite представляет собой комплексный продукт
Рис.4 Настройка атрибутов оповещений в реальном времени

Теги: , ,

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Комментариев пока что нет

Оставить комментарий

(required)

(required)