Для многих наш клиенты и потенциальные клиенты имеют те или иные формы отслеживания активности, установленные на файловых серверах, сайтах SharePoint, Exchange и даже Active Directory. И все это даже вроде работает — можно заходить в программу, формировать отчеты, просматривать статистику и выявлять нестандартные модели поведения.
Но дьявол кроется в деталях — такие вещи нужно проверять регулярно, на постоянной основе, а не тогда, когда данные уже оказались в чужих руках.
Как показывает практика, не многие этим занимаются, несмотря на наличие соответствующих технических возможностей.
Но есть достаточно простой выход – автоматизация.
Настройте все один раз, а потом сидите, пейте чай и реагируйте только в случае возникновения подозрительных ситуаций – что может быть лучше? О том, что можно и даже нужно автоматизировать и о каких событиях отправлять уведомления, мы поговорим в этой статье.
Самый тривиальный случай — это отклонение от среднесуточной активности конкретного пользователя.
За последний месяц Василий Пупкин работал в среднем с 30 файлами на сервере и тут вдруг сгенерировал пару десятков тысяч событий? Что это, полнотекстовый поиск, антивирусная проверка, утечка информации перед плановым увольнением или кто-то поймал крипто-локатор? Выяснить это можно только детально проанализировав собранные логи, но оповестить администратора и ИБ в любом случае не помешало бы.
Однако количество ложных срабатываний в этом случае может быть довольно большим.
Кто-нибудь вернулся из отпуска и внезапно вернулся на работу? Система может ошибочно посчитать это резким всплеском активности, хотя алгоритмы большинства инструментов мониторинга умеют автоматически игнорировать скачки от уровня нулевой активности.
Другое дело, если человек иногда работал удаленно — здесь будут сравниваться уровни средней активности во время «отпуска» (кто работает в отпуске?) и в дни полной занятости.
А может, пользователю взбрело в голову почистить свой почтовый ящик — и вот вам несколько тысяч событий одновременно на фоне недели со стабильной сотней-двумя.
Снизить уровень ложных срабатываний можно, играя с параметрами срабатывания уведомлений, но идеала все равно достичь не удастся — слишком разные ситуации могут быть.
Поэтому в любом случае человек должен принять решение, а машина лишь сообщить о возможной угрозе.
Из мониторинга файловых ресурсов также будет полезно иметь уведомление при массовом удалении файлов — например, более 100 файлов за 1 минуту.
Но на самом деле одного уведомления здесь будет недостаточно — лучше сразу настроить скрипт на отключение учетной записи пользователя или отзыв его прав доступа к общей папке.
Это можно сделать, если программа мониторинга поддерживает вызов PowerShell при срабатывании определенного события.
В случае, если сервисный аккаунт регулярно и массово удаляет файлы по техническим причинам, его можно просто исключить из списка объектов, по которым срабатывает уведомление.
В этот же список неплохо было бы заранее добавить администраторов - по понятным причинам :) Стоит отметить, что затея может с треском провалиться, если система не распознает событие перемещения файла и интерпретирует это как набор событий открытия, создания нового файла и удаления старого.
Кто-то случайно перетащил папку во вложение мышкой? Ну, извини.
Если ваши файловые серверы уже классифицированный , можно создать куда более интересные правила уведомлений: неужели кто-то массово открывает (копирует) файлы с персональными данными? Сообщите администратору и информационной безопасности.
Настойчиво пытаетесь получить доступ к папке с ограниченным доступом или папке с финансовой информацией? Отчитывайтесь перед ИС и одновременно перед руководством.
Кто-нибудь заливал на общую акцию выгрузку из 1С с зарплатами сотрудников? Подождите, за вами уже кто-то пришёл, а файл тем временем автоматически переместился в зону карантина.
Если с файловыми серверами все понятно, то для таких ресурсов, как SharePoint, Active Directory или Exchange. можно сделать все точно так же! Есть любители спама? Проведите обучающую беседу.
Кто-то приобрел права на чужой почтовый ящик и отправляет письма от имени другого человека? Разберитесь в ситуации и исключите его из списка уведомлений, если владелец почтового ящика согласен.
Ваша учетная запись пользователя заблокирована? Узнайте об этом, прежде чем звонить в службу поддержки! Есть ли новый пользователь в группе Администраторы? Напишите письмо в ИС и руководству - на всякий случай.
Подобных примеров много, и наверняка у каждого найдется свой, наиболее подходящий для бизнес-задач его компании.
Главное — осознавать, что возможности ПО зачастую не ограничиваются схемой «открой программу — сделай, что нужно — забудь до следующего раза», а имеют обширные средства автоматизации с гибкой настройкой уведомлений.
Это позволяет не выполнять периодические рутинные проверки, о которых все равно неплохо было бы помнить, а довериться автоматическим правилам, требующим лишь небольшого внимания при первоначальной настройке.
И вы всегда будете в курсе всех изменений в инфраструктуре отслеживаемых ресурсов.
Теги: #Большие данные #varonis #файловые серверы #неструктурированные данные #информационная безопасность #информационная безопасность #Интеллектуальный анализ данных #Большие данные
-
Дестю Де Трейси, Антуан Луи Клод
19 Oct, 24 -
Методы Оптимизации Вашей Работы В Интернете
19 Oct, 24 -
Что Внутри Чат-Бота?
19 Oct, 24
