Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Аудит локальных объектов ФС и веток реестра

Для того чтобы установить событие аудита для конкретного объекта ФС или ветки реестра необходимо выполнить следующие действия:

1. Открыть дескриптор безопасности объекта, используя оболочку администратора Dallas Lock 8.0 («Контроль ресурсов» => «Аудит» => «Добавить (ФС)» или «Добавить (Реестр)»), или через контекстное меню объекта (пункт «Права доступа» для объекта ФС).

 

 

2. В дескрипторе объекта необходимо открыть закладку «Аудит доступа».

3. Включить аудит (отметить флажком поле «Аудит включен»), и отметить события «Успех» или «Отказ» по выбранным операциям. Объекты, для которых назначен аудит любым из способов, автоматически появляются в списке объектов выбранной категории «Аудит» на вкладке «Контроль целостности».

Журналы

В системе защиты Dallas Lock 8.0 регистрация и запись событий ведется в различных типах журналов. Для удобства выделены 11 основных журналов.

1. Журнал входов.

2. Журнал управления учетными записями.

3. Журнал ресурсов.

4. Журнал печати.

5. Журнал управления политиками.

6. Журнал процессов.

7. Журнал пакетов МЭ.

8. Журнал соединений МЭ.

9. Журнал событий ОС.

10. Журнал трафика.

11. Журнал контроля приложений.

Для просмотра содержимого определенного журнала необходимо в оболочке администратора на основной вкладке главного меню «Журналы» выбрать категорию, соответствующую одному из 11 типов журналов.

В каждом журнале фиксируются дата, время, имя пользователя, операция, результат и прочие параметры. Возможно упорядочивание элементов списков журнала по необходимому значению, для этого нужно кликнуть на кнопку с названием столбца журнала. Двойной щелчок мышки на любой записи любого журнала открывает окно, содержащее всю информацию, относящуюся к этой записи.

Нажимая на кнопки «вверх» и «вниз» можно листать журнал, просматривая предыдущие или следующие записи. Панель кнопок «Действия», общая для всех журналов, позволяет произвести над открытым журналом действия по обновлению журнала (кнопка «Обновить»), по архивации всего журнала (кнопка «Архивировать»), по экспорту всего журнала или отфильтрованных записей в файл (кнопка «Экспорт»). Также эти действия возможно выбрать из контекстного меню. После выбора архивации журнала, его записи сохраняются в файл в системной папке C:DLLOCK80Logs, в окне журнала записи очищаются, и он начинает вестись заново. Также, в случае, когда журнал переполняется (максимальный размер – 20000 записей), он архивируется в файл со специальным расширением *.lg8 и помещается в папку C:DLLOCK80Logs. При этом текущий журнал в оболочке администратора очищается и начинает вестись заново. В имени архивного файла с журналом записаны его тип, дата и время создания файла. Каждый текущий журнал формируется в папке C:DLLOCK80Jrn и имеет фиксированный максимальный размер – 20000 записей. Если необходимо удалить журнал окончательно, нужно зайти в папку C:DLLOCK80Logs и удалить соответствующий файл. Категория «Журнал из файла» на вкладке «Журналы» позволяет открыть журнал из сохраненного файла, отфильтровать его значения и экспортировать в файл. Это могут быть журналы от Dallas Lock 7.7 или Dallas Lock 8.0 предыдущих сборок.

Журналы в СЗИ НСД Dallas Lock 8.0 имеют следующую структуру: 1. журнал входов. Фиксируются все входы (или попытки входов – с указанием причины отказа) и выходы пользователей ПК, включая как локальные, так и сетевые, в том числе, терминальные входы и события разблокировки. А также события входа при активном модуле доверенной загрузки (включение ПК, вход с PIN-кодом, начало загрузки ОС). Журнал содержит следующие элементы списков:

· в графе «Время» фиксируется дата и время события;

· в графе «Пользователь» фиксируется имя пользователя;

· в графе «Источник» фиксируется тип события: загрузка ПК, вход в ОС, выход из ОС;

· в графе «Доступ» указывается мандатный уровень, под которым осуществлен вход (только для Dallas Lock 8.0 редакции «С»);

· в графе «Результат» фиксируется успех или отказ в доступе и причина отказа;

· в графе «Неверный пароль» фиксируются неверно введенные пароли при попытке загрузки ПК или входе в ОС.

2. в журнале управления учетными записями ведется учет всех действий по созданию, удалению или изменению прав пользователей и события смены пароля учетной записи. Журнал содержит следующие элементы списков:

· в графе «Время» фиксируется дата и время действий, производимых над правами пользователей;

· в графе «Пользователь» фиксируется имя пользователя, осуществившего вышеперечисленные операции администрирования;

· в графе «Компьютер» фиксируется имя компьютера, с которого производилось администрирование;

· в графе «Имя» фиксируется имя пользователя, изменения прав которого было произведено;

· в графе «Результат» отображается результат выполнения операции («OK» – операция выполнена удачно или «доступ запрещен»);

· в графе «Операция» отображается наименование произведенной операции (создать пользователя, удалить пользователя, сменить пароль, изменить параметры и др.).

3. журнал ресурсов позволяет проследить обращения к объектам файловой системы, реестру и устройствам, для которых назначен аудит, а также события по настройке дескрипторов объектов ФС и устройств. Журнал содержит следующие элементы списков:

· в графе «Время» фиксируется дата и время события;

· в графе «Пользователь» фиксируется имя пользователя, осуществившего действие;

· в графе «Компьютер» фиксируется имя компьютера, с которого осуществлялся доступ;

· в графе «Объект доступа» фиксируется путь к ресурсу или имя устройства;

· в графе «Результат» фиксируется успех или отказ в доступе и причина отказа;

· в графе «Операция» фиксируются все действия, которые производились с объектом;

· в графе «Доступ» указывается мандатный уровень, под которым осуществлен доступ к ресурсу (только для Dallas Lock 8.0 редакции «С»);

· в графе «Права» фиксируются права, с которыми был осуществлен доступ к ресурсу файловой системы и ветке реестра:

· в графе «Процесс» фиксируется программа, из которой производилась операция по доступу.

 

 

4. в журнал печати заносятся все события, связанные с распечаткой документов на локальных или удаленных принтерах. Журнал содержит следующие элементы списков:

· в графе «Время» фиксируется дата и время начала печати;

· в графе «Пользователь» фиксируется имя пользователя, запустившего процесс печати;

· в графе «Принтер» фиксируется имя принтера, на котором производилась печать;

· в графе «Порт» фиксируется название порта, к которому подключено устройство;

· в графе «Документ» фиксируется название документа и программа, из которой производилась печать;

· в графе «Страниц» фиксируется количество распечатанных страниц документа;

· в графе «Копий» - количество копий;

· в графе «Процесс» фиксируется процесс, который запущен программой печати;

· в графе «Доступ» фиксируется уровень мандатного доступа, под которым работает пользователь, производящий печать.

Записи в журнал печати заносятся при условии включенного аудита печати (вкладка «Параметры безопасности» => «Аудит»). Процесс печати сопровождается двумя записями: начала и окончания печати.

5. журнал управления политиками безопасности дает возможность просмотреть все действия, изменяющие настройку параметров системы защиты и прав пользователей. Журнал содержит следующие элементы списков:

· в графе «Время» фиксируется дата и время события;

· в графе «Пользователь» фиксируется имя пользователя, производящего изменения;

· в графе «Компьютер» фиксируется имя компьютера;

· в графе «Параметр» фиксируется название процесса по настройке параметров;

· в графе «Результат» фиксируется результат редактирования.

6. журнал процессов. В этот журнал заносятся события запуска и завершения процессов. Журнал содержит следующие элементы списков:

· в графе «Время» фиксируется дата и время события;

· в графе «Пользователь» фиксируется пользователь, от имени которого был запущен процесс;

· в графе «Процесс» фиксируется путь к файлу процесса и его имя;

· в графе «PID» фиксируется уникальный идентификатор процесса;

· в графе «Операция» фиксируется тип события – запуск или завершение;

· в графе «Доступ» указывается мандатный уровень, под которым осуществлен доступ (только для Dallas Lock 8.0 редакции «С»);

· в графе «Результат» фиксируется успешный (OK) или неуспешный («Доступ запрещен!») результат.

7. журнал пакетов МЭ. В этот журнал заносятся события, связанные с передачей пакетов данных в соответствии с заданными правилами в обоих направлениях через сетевые адаптеры компьютера. Журнал содержит следующие элементы списков:

· в графе «Время» фиксируется дата и время события;

· в графе «Локальный адрес» фиксируется логический или физический адрес локального сетевого интерфейса устройства, на котором происходил обмен информацией;

· в графе «Локальный порт» фиксируется логический порт локального сетевого интерфейса устройства, на котором происходил обмен информацией;

· в графе «Внешний адрес» фиксируется логический или физический адрес внешнего сетевого интерфейса устройства, на котором происходил обмен информацией;

· в графе «Внешнее имя» фиксируется NETBIOS- или DNS-имя внешнего респондента при наличии такой информации в отправленных или принятых данных (принудительный запрос этой информации не производится);

· в графе «Внешний порт» фиксируется логический порт внешнего сетевого интерфейса устройства, на котором происходил обмен информацией;

· в графе «Направление» фиксируется направление передачи данных (прием или отправка);

· в графе «Протокол» фиксируется протокол отправленного или принятого пакета данных (самого верхнего уровня по модели OSI);

· в графе «Информация» фиксируется вся техническая информация, найденная и проанализированная в отправленном или принятом пакете данных;

· в графе «Пользователь» фиксируется пользователь, от имени которого был запущен процесс;

· в графе «Доступ» указывается мандатный уровень, под которым осуществлен доступ (только для Dallas Lock 8.0 редакции «С»);

· в графе «Процесс» фиксируется путь к файлу процесса и его имя;

· в графе «PID» фиксируется уникальный идентификатор процесса;

· в графе «Длина» фиксируется отправленного или принятого пакета данных;

· в графе «Правило» фиксируется правило, которое было применено;

· в графе «Результат» фиксируется успешный (OK) или неуспешный («Доступ запрещен!») результат.

8. журнал соединений МЭ. В этот журнал заносятся сведения об истории сетевых соединений, устанавливаемых процессами (приложениями) в соответствии с заданными правилами. Журнал содержит следующие элементы списков:

· в графе «Время» фиксируется дата и время события;

· в графе «Локальный адрес» фиксируется логический или физический адрес локального сетевого интерфейса устройства, на котором происходил обмен информацией;

· в графе «Локальный порт» фиксируется логический порт локального сетевого интерфейса устройства, на котором происходил обмен информацией;

· в графе «Внешний адрес» фиксируется логический или физический адрес внешнего сетевого интерфейса устройства, на котором происходил обмен информацией;

· в графе «Внешнее имя» фиксируется NETBIOS- или DNS-имя внешнего респондента при наличии такой информации в отправленных или принятых данных (принудительный запрос этой информации не производится);

· в графе «Внешний порт» фиксируется логический порт внешнего сетевого интерфейса устройства, на котором происходил обмен информацией;

· в графе «IP версия» фиксируется версия используемого протокола IP;

· в графе «Протокол» фиксируется протокол отправленного или принятого пакета данных;

· в графе «Информация» фиксируется вся техническая информация, найденная и проанализированная в отправленном или принятом пакете данных;

· в графе «Пользователь» фиксируется пользователь, от имени которого был запущен процесс;

· в графе «Доступ» указывается мандатный уровень, под которым осуществлен доступ (только для Dallas Lock 8.0 редакции «С»);

· в графе «Процесс» фиксируется путь к файлу процесса и его имя;

· в графе «PID» фиксируется уникальный идентификатор процесса;

· в графе «Событие» фиксируется наименование события соединения;

· в графе «Отправлено» фиксируется количество отправленных байт;

· в графе «Получено» фиксируется количество принятых байт;

· в графе «Правило» фиксируется правило, которое было применено;

· в графе «Результат» фиксируется успешный (OK) или неуспешный («Доступ запрещен!») результат.

9. журнал событий ОС. Включение журнала позволяет фиксировать все важные события безопасности, генерируемые операционной системой. Журнал содержит следующие элементы списков:

· в графе «Время» фиксируется дата и время события;

· в графе «Уровень тревоги» фиксируется уровень важности события;

· в графе «Тип события» фиксируется тип события;

· в графе «Источник события» фиксируется процесс, зарегистрировавший событие в журнале;

· в графе «Код события» фиксируется число, определяющее конкретный тип события;

· в графе «Протокол» фиксируется протокол отправленного или принятого пакета данных (самого верхнего уровня по модели OSI);

· в графе «Пользователь» фиксируется пользователь, от имени которого был запущен процесс;

· в графе «Домен» фиксируется домен;

· в графе «Категория» фиксируется категория события;

· в графе «Процесс» фиксируется программа, из которой производилась операция;

· в графе «PID» фиксируется уникальный идентификатор процесса;

· в графе «ID сигнатуры» фиксируется уникальный идентификатор сигнатуры;

· в графе «Сигнатура» фиксируется информация о сработанной сигнатуры;

· в графе «Текст события» фиксируется описание события;

· в графе «Результат» фиксируется успешный (OK) или неуспешный («Доступ запрещен!») результат.

10. журнал трафика. Включение журнала позволяет фиксировать проходящий сетевой трафик через контролируемые узлы сети. Журнал содержит следующие элементы списков:

· в графе «Время» фиксируется дата и время события;

· в графе «Уровень тревоги» фиксируется уровень важности события.

· в графе «Адрес источника» фиксируется логический или физический адрес внешнего сетевого интерфейса устройства, на котором происходил обмен информацией;

· в графе «Порт источника» фиксируется логический порт внешнего сетевого интерфейса устройства, на котором происходил обмен информацией;

· в графе «Адрес назначения» фиксируется логический или физический адрес локального сетевого интерфейса устройства, на котором происходил обмен информацией;

· в графе «Порт назначения» фиксируется логический порт локального сетевого интерфейса устройства, на котором происходил обмен информацией;

· в графе «Протокол» фиксируется протокол отправленного или принятого пакета данных (самого верхнего уровня по модели OSI).

· в графе «Пользователь» фиксируется пользователь, от имени которого был запущен процесс;

· в графе «Процесс» фиксируется путь к файлу процесса и его имя;

· в графе «PID» фиксируется уникальный идентификатор процесса;

· в графе «Комментарий» фиксируется тип атаки;

· в графе «Сообщение» фиксируется описание атаки;

· в графе «Правило» фиксируется правило, которое было применено;

· в графе «Результат» фиксируется успешный (OK) или неуспешный («Доступ запрещен!») результат.

11. журнал контроля приложений. Включение журнала позволяет фиксировать все события об активности приложений, их целостности и набора загружаемых ими компонентов. Журнал содержит следующие элементы списков:

· в графе «Время» фиксируется дата и время события;

· в графе «Тип атаки» фиксируется описание атаки;

· в графе «Комментарий» фиксируется сообщение присвоенное правилу;

· в графе «Процесс» фиксируется путь к файлу процесса и его имя;

· в графе «PID» фиксируется уникальный идентификатор процесса;

· в графе «Пользователь ОС» фиксируется пользователь, от имени которого был запущен процесс;

· в графе «ID правила» фиксируется уникальный идентификатор правила;

· в графе «Правило» фиксируется правило, которое было применено;

· в графе «Результат» фиксируется успешный (OK) или неуспешный («Доступ запрещен!») результат.

Фильтры журналов

Панель кнопок «Фильтр», общая для всех журналов, используется для задания параметров отбора событий, отображаемых в текущем или экспортированном журнале. Использование фильтров дает возможность отсеять ненужные данные в журнале так, что они становятся невидимы при просмотре. В то же время информация при использовании фильтров из журналов не удаляется. Чтобы произвести настройки, необходимо нажать кнопку «Настроить фильтр» и выбрать необходимые параметры фильтра в открывшемся окне, нажать «OK». После настройки необходимо нажать кнопку «Применить фильтр», после чего записи журнала будут отсортированы. Повторное нажатие «Применить фильтр» вернет полное содержание журнала.

Фильтр можно настроить по параметрам и(или) по времени. Для включения временного периода в фильтр необходимо отметить флажком поле «Фильтр по времени». Каждый фильтр имеет параметры настройки, которые соответствуют основным элементам списков выбранного журнала. Например, журнал входов можно отфильтровать по времени, в которое была осуществлена попытка входа на ПК, по логину пользователя, по результату процесса (удачный/не удачный), по источнику процесса (удаленный вход, терминальный вход, смена пароля и т.д.). Отфильтрованные записи журнала можно сохранить, воспользовавшись кнопкой «Экспорт», в выбранную папку в выбранном типе файла (текст, CSV, HTML, XML). Экспортированные журналы служат для того, чтобы администратор мог рассмотреть записи в более удобном виде.

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...