SearchInform ADSniffer

Проблема

Контроль та аналіз подій журналів Active Directory дозволяє виявляти підозрілі дії, які можуть вчинятися системним адміністратором компанії. Для забезпечення належного рівня ефективності необхідно враховувати три фактори.
По-перше, важливо фіксувати дійсно критичні події (створення / видалення користувача, підвищення/пониження привілеїв, невдалий вхід в систему і т.д.), а не кожну дію.
По-друге, чим більше комп'ютерів контролюється, тим більше подій відбувається. Отже, настає момент, коли «ручний» аналіз інформації стає неефективним. Тому важливо мати інструмент, що дозволяє автоматизувати цей процес.
По-третє, необхідно забезпечити захист отриманих даних від видалення, оскільки журнали безпеки в будь-який момент можуть бути очищені системним адміністратором.

Рішення

Програмний продукт SearchInform ADSniffer дозволяє відстежувати і зберігати в свою базу даних тільки ті події, які становлять потенційну загрозу безпеці системи, а саме:
вхід в систему, в тому числі і невдалі спроби входу;
вихід із системи;

  • створення / видалення облікового запису;
  • зміни в облікового запису (скидання пароля, активація/деактивація);
  • зміна членства облікового запису в групах;
  • блокування облікового запису при перевищенні допустимої кількості спроб авторизації;
  • очищення журналу безпеки на контролері домену.

Переваги впровадження

Аналіз критичних подій. Контроль тільки важливих з точки зору безпеки подій журналів.
Створення захищеної копії подій. Збереження записів журналів у власній базі даних дозволяє захистити інформацію від видалення.
Широкі пошукові можливості. Клієнтський додаток дозволяє робити вибірки подій за датою / часом, іменами доменних користувачів, комп'ютерів, MAC- і IP-адресами, категоріям подій, типами подій та ін.
Експорт записів. Передбачена можливість збереження всіх або вибраних подій журналів в файл.

Алгоритм роботи

За допомогою серверної консолі SearchInform NetworkSniffer здійснюється запуск / зупинка служби ADSniffer, настройка її параметрів і підключення до бази даних.

  • Cлужба ADSniffer моніторить зміни на контролері домену і створює журнал змін у власній базі даних під управлінням Microsoft SQL Server. Вичитка журналів контролера домену «Система» і «Безпека» проводиться раз на хвилину. У базу даних потрапляють тільки найбільш критичні події (перераховані вище).
  • Для пошуку та перегляду збережених у базі даних подій використовується додаток SearchInform Client. За допомогою клієнта можна провести вибірку подій за різними параметрами (дата і час, доменні користувачі, комп'ютери, MAC- і IP-адреси, категорії подій, типи подій та ін.).

Головне вікно програми