Solarwinds — очень известен своими решениями по мониторингу и удаленному управлению (Dameware). В этой статье мы расскажем об обновлениях платформы мониторинга Orion Solarwinds версии 2020.2 (вышла в июне 2020 года) и приглашаем вас на вебинар. Расскажем о решаемых задачах по мониторингу сетевых устройств и инфраструктуры, мониторингу flow- и span-трафика (а span Solarwinds тоже умеет, хотя, многие удивляются), мониторингу прикладного ПО, управлению конфигурациями, управлению адресным пространством и о реальных кейсах внедрения этого продукта у российских заказчиков — в первую очередь, в организациях банковской и нефтегазовой отрасли.



Вебинар проведем 19 августа в 10 утра совместно с компанией-дистрибьютором Аксофт.

→ Ссылка на запись вебинара здесь

А ниже под катом вы узнаете о новинках последней версии Solarwinds 2020.2. В конце статьи будет ссылка на онлайн-демо.

Может быть пора? Такой вопрос рано или поздно появляются у коллег, которые используют Lotus в качестве почтового клиента или системы документооборота. Запрос на миграцию (по нашему опыту) может возникнуть на совсем разных уровнях организации: от топ-менеджмента до пользователей (особенно, если таких много). Вот несколько причин, почему миграция с Lotus в Exchange — не такая уж и простая задача:

• RTF формат IBM Notes не совместим с форматом RTF Exchange;
• IBM Notes использует SMTP-формат адресов только для внешних писем, Exchange для всех;
• Необходимость сохранения делегирований;
• Необходимость сохранения метаданных;
• Часть писем может быть зашифрована.

А если Exchange уже есть, но Lotus ещё используется, возникают проблемы сосуществования:

• Необходимость использования скриптов или сторонних систем для синхронизации адресных книг между Domino и Exchange;
• Domino использует plain text для отправки писем в другие почтовые системы;
• Domino использует формат iCalendar для отправки приглашений в другие почтовые системы;
• Невозможность Free-Busy запросов и совместного бронирования ресурсов (без использования сторонних решений).

В этой статье мы разберем специализированные программные продукты Quest для миграции и сосуществования: Migrator for Notes to Exchange и Coexistence Manager for Notes соответственно. Под катом пошаговый алгоритм миграции и другие подробности по процессу миграции.

Одна из часто встречающихся типов атак — порождение злонамеренного процесса в дереве под вполне себе добропорядочными процессами. Подозрение может вызвать путь к исполняемому файлу: частенько вредоносное ПО использует папки AppData или Temp, а это нехарактерно для легитимных программ. Справедливости ради, стоит сказать, что некоторые утилиты автоматического обновления исполняются в AppData, поэтому одной только проверки места запуска недостаточно для утверждения, что программа является вредоносной.

Дополнительный фактор легитимности — криптографическая подпись: многие оригинальные программы подписаны вендором. Можно использовать факт отсутствия подписи как метод выявления подозрительных элементов автозагрузки. Но опять же есть вредоносное ПО, которое использует украденный сертификат, чтобы подписать самого себя.

Ещё можно проверять значение криптографических хэшей MD5 или SHA256, которые могут соответствовать некоторым ранее обнаруженным вредоносным программам. Можно выполнять статический анализ, просматривая сигнатуры в программе (с помощью правил Yara или антивирусных продуктов). А ещё есть динамический анализ (запуск программы в какой-либо безопасной среде и отслеживание ее действия) и реверс-инжиниринг.

Признаков злонамеренного процесса может быть масса. В этой статье мы расскажем как включить аудит соответствующих событий в Windows, разберём признаки, на которые опирается встроенное правило InTrust для выявление подозрительного процесса. InTrust — это CLM-платформа для сбора, анализа и хранения неструктурированных данных, в которой есть уже сотни предустановленных реакций на различные типы атак.

Всем, кто пытался запустить виртуальную машину в облаке, хорошо известно, что стандартный порт RDP, если его оставить открытым, будет почти сразу атакован волнами попыток перебора пароля с различных IP-адресов по всему миру.

В этой статье я покажу как в InTrust можно настроить автоматическую реакцию на перебор пароля в виде добавления нового правила на брандмауэр. InTrust — это CLM-платформа для сбора, анализа и хранения неструктурированных данных, в которой есть уже сотни предустановленных реакций на различные типы атак.

Не так давно, Splunk добавил ещё одну модель лицензирования — лицензирование на основе инфраструктуры (теперь их три). Они считают количество ядер CPU под серверами со Splunk. Очень напоминает лицензирование Elastic Stack, там считают количество нод Elasticsearch. SIEM-системы традиционно недешёвое удовольствие и обычно стоит выбор между заплатить много и очень много. Но, если применить смекалочку, можно собрать подобную конструкцию.



Выглядит крипово, но иногда такая архитектура работает в проде. Сложность убивает безопасность, а, в общем случае, убивает всё. На самом деле, для подобных кейсов (я про снижение стоимости владения) существует целый класс систем — Central Log Management (CLM). Об этом пишет Gartner, считая их недооценёнными. Вот их рекомендации:

• Используйте возможности и инструментальные средства CLM, если существуют ограничения по бюджету и персоналу, требования к мониторингу безопасности и конкретные требования к вариантам использования.
• Внедряйте CLM для расширения функций сбора и анализа журналов, когда SIEM-решение оказалось слишком дорогим или сложным.
• Инвестируйте в инструменты CLM с эффективным хранилищем, быстрым поиском и гибкой визуализацией для улучшения расследования/анализа инцидентов безопасности и поддержкой поиска угроз.
• Убедитесь, что применимые факторы и соображения учтены, прежде чем внедрять решение CLM.

В этой статье поговорим о различиях подходов к лицензированию, разберёмся с CLM и расскажем о конкретной системе такого класса — Quest InTrust. Подробности под катом.

Несколько лет назад, при начале внедрения Change Auditor в одном банке, мы обратили внимание на огромный массив PowerShell-скриптов, которые выполняли ровно ту же задачу аудита, но кустарным методом. С тех пор прошло много времени, заказчик всё так же пользуется Change Auditor и вспоминает поддержку всех тех скриптов как страшный сон. Тот сон мог стать и кошмаром, если бы человек, который обслуживал скрипты в одно лицо, взял бы да и уволился, второпях забыв передать тайные знания. От коллег мы слышали, что такие случае кое-где случались и это тогда внесло значительный хаос в работу отдела информационной безопасности. В этой статье расскажем об основных преимуществах Change Auditor и анонсируем вебинар 29 июля по этому инструменту автоматизации аудита. Под катом все подробности.

На скриншоте выше — веб-интерфейс IT Security Search со строкой поиска google-like, в котором удобно сортировать события из Change Auditor и настраивать представления.

Привет, Хабр! В начале июля Solarwinds анонсировал релиз новой версии платформы Orion Solarwinds — 2020.2. Одно из нововведений в модуле Network Traffic Analyzer (NTA) — поддержка распознавания IPFIX-трафика от VMware VDS.



Анализ трафика в среде виртуального коммутатора важен для понимания распределения нагрузки на виртуальную инфраструктуру. Анализируя трафик, можно также обнаружить миграцию виртуальных машин. В этой статье мы расскажем о настройках экспорта IPFIX на стороне виртуального коммутатора VMware и о возможностях Solarwinds по работе с ним. А в конце статьи будет ссылка на онлайн-демо Solarwinds (доступ без регистрации и это не фигура речи). Подробности под катом.

Elastic Stack — известный инструмент на рынке SIEM-систем (вообще-то, не только их). Может собирать в себя много разнокалиберных данных, как чувствительных, так и не очень. Не совсем правильно, если доступ к самим элементам Elastic Stack не будет защищён. По умолчанию все коробочные элементы Elastic (Elasticsearch, Logstash, Kibana и коллекторы Beats) работают по открытым протоколам. А в самой Kibana отключена аутентификация. Все эти взаимодействия можно обезопасить и в этой статье мы расскажем как это сделать. Для удобства разделили повествование на 3 смысловых блока:

• Ролевая модель доступа к данным
• Безопасность данных внутри кластера Elasticsearch
• Безопасность данных вне кластера Elasticsearch

Подробности под катом.

Quest Software — известный вендор на рынках систем по информационной безопасности (Change Auditor, InTrust, Enterprise Reporter), аудита и восстановления облачных окружений Microsoft Office365 или Azure (On Demand License Management, On Demand Audit и т.д.), мониторингу (Foglight, Spotlight), репликации БД (Shareplex), объявляет о запуске специальной программы, в рамках которой вы можете попробовать перечисленные выше инструменты (и не только их) на своём окружении в течении длительного времени.

Компания Галс Софтвэр, как партнёр Quest, компания Мерлион, как дистрибьютор Quest, проведут для вас пилотные проекты и будут готовы рассказать об эффективных подходах использования продуктов вендора. Это наилучший момент провести тест-драйв в течении длительного времени и оценить надёжность и эффективность предлагаемых инструментов.

Под катом описание некоторых из предлагаемых решений c реальными кейсами и ссылка на регистрацию в программе.

Управление удалёнными рабочими местами и кибербезопасность — две основных темы предстоящего вебинара. В среду, 27 мая в 15 часов по московскому времени, специалисты Quest расскажут об инструментах, которые упрощают управление IT в текущих условиях. Вебинар пройдёт на русском языке, ссылка на регистрацию в конце поста.


На вебинаре представители вендора разберут несколько кейсов:

• Управление и учет в Office 365;
• Перенос файловых шар в Teams;
• Внедрение Teams и деление на группы;
• Контроль сеансов удаленного подключения и производительности пользователей;
• Недостатки восстановления данных в конфигурациях Azure AD;
• Аудит гибридных рабочих нагрузок AD и Office 365;
• Аудит рабочих станций;
• Аудит удаленных входов и VPN-подключений;
• Обеспечение устойчивости гибридной среды AD и бизнеса.

Управление рабочими станциями при их физическом отсутствии в офисе — новый вызов для компаний, которые перевели сотрудников на удалённый режим работы. При наличии прав администратора, пользователи, непреднамеренно могут установить софт, который окажется эксплойтом для чьего-то злого умысла. Например, многим известен кейс отказа от Zoom в Google, SpaceX и других известных компаниях и государственных структурах.



В этой статье мы разберём примеры использования решения для распространения ПО и инвентаризации Quest KACE в том числе и для обнаружения на рабочих станциях того же Zoom. Подробности под катом.

Инструментов для мониторинга платформ виртуализации немало. Особенно на этом рынке сильны позиции вендорских решений — vRealize и SCOM относительно родственных платформ VMware и Hyper-V соответственно. Третья популярная платформа виртуализации OpenStack. Вендорского решения для мониторинга этой платформы нет, но есть сторонние решения. Из популярных — решения с открытым исходным кодом. В этой статье я расскажу о комплексном решении для мониторинга перечисленных выше платформ (и не только) — Quest Foglight. Под катом много картинок и мало текста.

На этом скриншоте результат работы Quest KACE относительно компьютера бухгалтера одной из российских компаний. Выяснилось, что часть ПО установлена, но не используется. Здесь приведены цены, по которым это ПО закупалось. В вашем случае цена на ПО может отличаться, здесь важно увидеть только суть.

Это третья статья цикла об инструменте для распространения ПО и патчей, мониторинга, инвентаризации, управления ИТ-активами (включая мобильные устройства), инцидентами и запросами — Quest KACE. В первой статье цикла мы говорили о встроенном в систему Help Desk, во второй об управлении лицензиями. А сегодня про управлении ИТ-активами в широком смысле этого слова. В основном будет про оборудование, но также поговорим про контракты, договоры и программное обеспечение. В конце статьи ссылка на бесплатный KACE Express. Подробности по катом.

В нашем блоге мы много говорили об иностранных решениях для мониторинга и аудита, и вот пришло время для отечественной разработки. MONQ — зонтичная система с коннекторами для распространённых систем мониторинга, ресурсно-сервисными моделями, анализом данных, высоким потенциалом к AI и особенной моделью лицензирования. Нам выдали дистрибутив на посмотреть и мы решили поделиться как оно там под капотом и всё ли так нанотехнологично как говорит вендор (проект, всё-таки, резидент Сколково). Честь потестить выпала мне и я тут расскажу про установку, возможности системы и немного про лицензирование. Прошу под кат.

В прошлых статьях мы рассказывали о мониторинге различных БД в Quest Foglight for Databases и о подходе к быстрой локализации проблем производительности SQL Server. В этой мы покажем какие ещё дашборды можно использовать на основе собираемых метрик. А метрик этих достаточно. Под катом скриншоты интерфейса и описания к ним.

WannaCry, NotPetya, BadRabbit и другие — вирусы-шифровальщики, которые гремели на весь мир ещё около года-двух назад. Сегодня об атаках таким типов вирусов шума меньше, но истории с атаками всё равно происходят. В этой статье я покажу один из инструментов для остановки атаки такого вируса: быстро выявить вторжение и локализовать проблему. Всё это при помощи инструмента для лог-аналити и защиты от вторжений Quest InTrust. Под катом скриншоты и ссылка на репозитории вредоносных скриптов. Погнали!

Привет, Хабр! Мы много работаем с Quest Software, и в этом году они приобрели ApexSQL — производителя решений для управления и мониторинга баз данных Microsoft SQL Server. В России об этих ребятах, как нам кажется, знают мало. На главной своего сайта они пишут «Killer tools for SQL Server». Звучит угрожающе. У нас появилась идея представить этого вендора и разобраться что же такого убийственного есть в их решениях. Начнём с хайповой части — бесплатных продуктов. После них будет краткая часть о коммерческих продуктах. Надеюсь, эти программы окажутся вам полезны. Прошу под кат.

Оба продукта предназначены для выявления несанкционированных действий пользователей, подозрительной активности и контроля конфигураций в инфраструктуре Microsoft. Quest Change Auditor и Netwrix Auditor прямые конкуренты, которые вполне себе борются друг с другом за место на серверах заказчиков. Под катом выявленные нами особенности решений обоих вендоров.

— How big a cluster do I need?
— Well, it depends… (злобное хихиканье)

Elasticsearch — сердце Elastic Stack, в котором происходит вся магия с документами: выдача, приём, обработка и хранение. От правильного количества нод и архитектуры решения зависит его производительность. И цена, кстати, тоже, если ваша подписка Gold или Platinum.

Основные характеристики аппаратного обеспечения — это диск (storage), память (memory), процессоры (compute) и сеть (network). Каждый из этих компонентов в ответе за действие, которое Elasticsearch выполняет над документами, это, соответственно, хранение, чтение, вычисления и приём/передача. Поговорим об общих принципах сайзинга и раскроем то самое «it depends». А в конце статьи ссылки на вебинары и статьи по теме. Поехали!

Инфраструктура и программное обеспечение — столпы, на которых держится ИТ. И то и другое можно посчитать в Quest KACE. В статье разберёмся в возможностях этого инструмента применительно к инвентаризации и управления лицензиями на программное обеспечение. Инвентаризацию инфраструктуры рассмотрим в следующих статьях.


World of Warcraft, который не был обнаружен в нашей тестовой лаборатории. А жаль.

Основное преимущество продукта — возможность использовать встроенный каталог ПО, задавать собственные критерии учёта наличия экземпляра ПО или комбинировать оба эти способа. Собственными условиями могут выступать конкретные ключи реестра, наличие исполнимых файлов или динамических библиотек в конкретной директории и т.д. Таким образом, из поля зрения не выпадет ни один экземпляр установленного ПО. Подробности под катом.