У многих наших клиентов и потенциальных заказчиков установлены те или иные средства отслеживания активности на файловых серверах, SharePoint сайтах, Exchange и даже Active Directory. И всё это вроде даже работает – можно зайти в программу, сгенерировать отчеты, просмотреть статистику и выявить нестандартные шаблоны поведения. Но дьявол кроется в мелочах – проверять такие вещи необходимо регулярно, на постоянной основе, а не когда данные уже окажутся в чужих руках. Как показывает практика, делают это совсем не многие, несмотря на наличие соответствующих технических возможностей.
Но существует достаточно простой выход – автоматизация. Настроить всё один раз, а потом сидеть, попивать чаёк и реагировать только в случае возникновения подозрительных ситуаций – что может быть лучше? О том, что можно и даже нужно автоматизировать и на какие события высылать уведомления, мы и поговорим в рамках данной статьи.
Самый тривиальный случай – это отклонение от среднесуточной активности определенного пользователя. Василий Пупкин за последний месяц работал в среднем с 30 файлами на сервере и тут внезапно нагенерировал пару десятков тысяч событий? Что это, полнотекстовый поиск, сканирование антивирусом, слитие информации перед планируемым увольнением или кто-то поймал криптолокера? Узнать такое можно, только детально проанализировав собранные логи, но вот уведомить администратора и ИБ не помешало бы в любом случае.
Однако количество ложных срабатываний в данном случае может быть достаточно большим. Кто-то вернулся из отпуска и резко включился в работу? Система ошибочно может посчитать это как резкий всплеск активности, хотя алгоритмы большинства средств мониторинга умеют автоматически игнорировать скачки с уровня нулевой активности. Другое дело, если человек иногда работал удаленно – тут уже будут сравниваться уровни средней активности за «отпуск» (кто ж в отпуске-то работает?) и в дни полноценной работы. А, может, пользователю взбрело в голову почистить свою папку входящей почты – и вот вам, пожалуйста, несколько тысяч событий за раз на фоне недели со стабильной сотней-другой. Снизить уровень ложных срабатываний можно, поиграв с параметрами срабатывания уведомлений, но достичь идеала все равно будет нельзя – слишком разными могут быть ситуации. Поэтому в любом случае принимать решение должен человек, а машина – лишь сообщать о возможной угрозе.
Из мониторинга файловых ресурсов также будет полезным наличие уведомления при массовом удалении файлов – допустим, более 100 файлов за 1 минуту. Но на самом деле одного уведомления здесь будет мало – лучше сразу настроить скрипт на отключения учетной записи пользователя или лишения его прав доступа к общей папке. Сделать это можно, если программа мониторинга поддерживает вызов PowerShell при срабатывании на заданное событие. В случае, когда какая-либо сервисная учетная запись регулярно и массово удаляет файлы по техническим причинам, ее можно просто исключить из списка объектов, на которые срабатывает уведомление. В тот же список неплохо бы заранее добавить и администраторов — по вполне очевидным причинам :) Стоит заметить, что идея может с треском провалиться, если система не различает событие перемещения файла и интерпретирует это как набор событий открытия, создания нового файла и удаления старого. Кто-то мышкой случайно перетащил папочку во вложенную? Ну извините…
Если ваши файловые сервера уже проклассифицированы, можно создавать куда более интересные правила уведомлений: кто-то массово открывает (копирует) файлы с персональными данными? Сообщить администратору и ИБ. Настойчиво пытается получить доступ в запрещенную папку или папку с финансовой информацией? Доложить ИБ и заодно руководству. Некто выложил в общую шару выгрузку из 1С с зарплатами сотрудников? Ждите, за вами уже выехали, а файл тем временем автоматически переместился в карантинную зону.
Если с файловыми серверами все понятно, то для таких ресурсов, как SharePoint, Active Directory или Exchange… можно сделать все аналогично! Появились любители поспамить? Провести воспитательную беседу. Кто-то получил права на чужой ящик и отправляет письма от лица другого человека? Разобраться в ситуации, исключить из списка уведомлений в случае согласия владельца ящика. Учетная запись пользователя заблокировалась? Узнай об этом до звонка в службу поддержки! В группе администраторов появился новый пользователь? Отправить письмо в ИБ и руководству – так, на всякий случай.
Подобных примеров можно привести множество, и наверняка у каждого найдутся свои, наиболее подходящие под бизнес-задачи именно его компании. Главное – осознать, что возможности программного обеспечения зачастую не ограничиваются схемой «открыл программу – сделал, что нужно – забыл до следующего случая», а имеют широкие средства автоматизации с гибкими настройками уведомлений. Это позволяет не выполнять периодические рутинные проверки, о которых еще неплохо бы и вспомнить, а довериться автоматическим правилам, требующим лишь небольшого внимания при первоначальной настройке. И вы всегда будете в курсе всех изменений в инфраструктуре наблюдаемых ресурсов.
Автор: Alexandra_Varonis