Comments 12
DLP!
История #N.
Мартин понял, что неделька будет еще та, когда руководство уже в понедельник забегало по офисам, говоря о чем-то на повышенных тонах. Очевидно, случилось нечто хреновое.
“Мартин, — раздался голос начальника, заходящего к нему в кабинет. – Нам нужно поговорить. Это насчет того хренового происшествия”.
Мартин зашел в кабинет начальника и, удостоверившись, что его никто не слышит, признался, что тут ничего нельзя поделать.
Начальник был раздосадован, но Мартин объяснил, что их текущее решение никуда не годится, так что все логично.
“Ах, если бы использовали решения компании NetWrix”, — вздохнул Мартин.
“Да, Мартин, да”, — согласился начальник.
Какие возможные решения существуют, чтобы не допускать такого впредь?
Дисклеймер: У NetWrix имеются такие решения.
Мартин понял, что неделька будет еще та, когда руководство уже в понедельник забегало по офисам, говоря о чем-то на повышенных тонах. Очевидно, случилось нечто хреновое.
“Мартин, — раздался голос начальника, заходящего к нему в кабинет. – Нам нужно поговорить. Это насчет того хренового происшествия”.
Мартин зашел в кабинет начальника и, удостоверившись, что его никто не слышит, признался, что тут ничего нельзя поделать.
Начальник был раздосадован, но Мартин объяснил, что их текущее решение никуда не годится, так что все логично.
“Ах, если бы использовали решения компании NetWrix”, — вздохнул Мартин.
“Да, Мартин, да”, — согласился начальник.
Какие возможные решения существуют, чтобы не допускать такого впредь?
Дисклеймер: У NetWrix имеются такие решения.
А вы пророк, однако.
Написал скрипт из 15 строчек на Powershell для выгрузки нужных журналов в xml. Отправил его в планировщик. Забыл навсегда.
Samba + правильно настроенный logrotate.
Можно и в две
get-eventlog security -before (get-date (get-date).AddDays(-1))|export-clixml («c:\logs\»+(get-date -uformat "%Y%m%d")+".xml")
clear-eventlog security
(но что-то мне подсказывает, что кое-какие записи могут потеряться)
get-eventlog security -before (get-date (get-date).AddDays(-1))|export-clixml («c:\logs\»+(get-date -uformat "%Y%m%d")+".xml")
clear-eventlog security
(но что-то мне подсказывает, что кое-какие записи могут потеряться)
Ну и заодно не отмазывался бы в 2012 году что «в Windows-сервере 2000, который они используют, просто отсутствуют возможности долгосрочного хранения записей журналов безопасности.», потому что с момента его установки прошло 12 лет.
В Windows Server 2003 он мог бы попробовать включить ключ: AutoBackupLogFiles msdn.microsoft.com/en-us/library/windows/desktop/aa363648(v=vs.85).aspx
В Windows Server 2008 ключ превратился в галку в интерфейсе: Archive the log when full, do not overwrite events. technet.microsoft.com/en-us/library/cc721981.aspx
Это была реклама Technet.
В Windows Server 2003 он мог бы попробовать включить ключ: AutoBackupLogFiles msdn.microsoft.com/en-us/library/windows/desktop/aa363648(v=vs.85).aspx
В Windows Server 2008 ключ превратился в галку в интерфейсе: Archive the log when full, do not overwrite events. technet.microsoft.com/en-us/library/cc721981.aspx
Это была реклама Technet.
Уважаемый gotch,
Приведенные Вами варианты решений имеют недостатки:
1. Обработка всех записей журналов событий приводит к большому количеству неинформативных данных. Найти информацию о реальных изменениях в полученных .xml – непростая задача.
2. Сбор данных осуществляется на каждом сервере. А если в компании их 300? Найти нужную информацию будет серьезной проблемой!
3. Хранение архивов журналов безопасности требует большого дискового пространства. В развитых средах через месяц такого хранения потребуются дополнительные меры по его организации. Долгосрочное – в течение нескольких лет — хранение далеко не всегда может быть осуществлено таким образом.
С уважением,
Антон Ч.
Приведенные Вами варианты решений имеют недостатки:
1. Обработка всех записей журналов событий приводит к большому количеству неинформативных данных. Найти информацию о реальных изменениях в полученных .xml – непростая задача.
2. Сбор данных осуществляется на каждом сервере. А если в компании их 300? Найти нужную информацию будет серьезной проблемой!
3. Хранение архивов журналов безопасности требует большого дискового пространства. В развитых средах через месяц такого хранения потребуются дополнительные меры по его организации. Долгосрочное – в течение нескольких лет — хранение далеко не всегда может быть осуществлено таким образом.
С уважением,
Антон Ч.
1. В том же конвеере легко добавляется фильтрация
2. Вообще-то Powershell преспокойно работает по сети. Очень продвинутая и масштабируемая система.
3. Разумеется, понадобится место под логи. Хотя, в принципе, можно архивировать теми же скриптами.
Антон, ваша программа, может быть, и хороша, но вот начало со впариванием было неудачным.
2. Вообще-то Powershell преспокойно работает по сети. Очень продвинутая и масштабируемая система.
3. Разумеется, понадобится место под логи. Хотя, в принципе, можно архивировать теми же скриптами.
Антон, ваша программа, может быть, и хороша, но вот начало со впариванием было неудачным.
Уважаемый Антон,
«Он объяснил, что в Windows-сервере, который они используют, просто отсутствуют возможности долгосрочного хранения записей журналов безопасности»
вот эту часть рассказа мы обсуждаем.
Про то, что в организации на 300+ серверов, наверно, все же окажется OpsMgr и его ACS, тоже логично.
(А по остальной части — был в 2001 годувот такой продукт www.gfi.com/pages/lanselm)
Нет я совсем не против вашего продукта, я очень даже за, потому что представляю, за что предлагается заплатить.
Меня немного огорчает техническая неточность вашего хужожественного замысла. :-)
«Он объяснил, что в Windows-сервере, который они используют, просто отсутствуют возможности долгосрочного хранения записей журналов безопасности»
вот эту часть рассказа мы обсуждаем.
Про то, что в организации на 300+ серверов, наверно, все же окажется OpsMgr и его ACS, тоже логично.
(А по остальной части — был в 2001 годувот такой продукт www.gfi.com/pages/lanselm)
Нет я совсем не против вашего продукта, я очень даже за, потому что представляю, за что предлагается заплатить.
Меня немного огорчает техническая неточность вашего хужожественного замысла. :-)
Уважаемый gotch,
Бывает, ходишь с расстегнутой не при дамах будь сказано ширинкой, все поглядывают косо — и никто не скажет. Спасибо, что сообщили об этой неточности! Конечно, возможности долгосрочного хранения логов не отсутствуют, хоть они и довольно громоздки.
Честно сказать, мы при написании этого поста положились на Дона Джонса (http://concentratedtech.com/about/don-jones.php), который написал на английском языке whitepaper www.netwrix.com/download/WhitePapers/NetWrix_WP_The_Audit_Zone_Five_Stories_of_Suspense_and_Security.pdf, и не проверяли его текста.
Так что, видимо, Вашим огорчением мы обязаны Дону. Нас это в свою очередь огорчает. Но мы уже придумали, как исправить ситуацию с техническими неточностями наших замыслов и работаем над новым проектом. Надеюсь, он Вам понравится!
Что касается приведенного Вами продукта GFI и его более современной версии — у нас есть конкурентный продукт NetWrix Event Log Manager (http://www.netwrix.com/event_log_archiving_consolidation_freeware.html). При общей равной «весовой категории» у нашей программы есть некоторые преимущества перед ним. Если Вам интересно, могу привести подробности.
Но это инструменты для сбора логов. Вы же согласны с тем, что ими не осуществляется аудит изменений групповых политик полностью?
С уважением,
Антон Ч.
Бывает, ходишь с расстегнутой не при дамах будь сказано ширинкой, все поглядывают косо — и никто не скажет. Спасибо, что сообщили об этой неточности! Конечно, возможности долгосрочного хранения логов не отсутствуют, хоть они и довольно громоздки.
Честно сказать, мы при написании этого поста положились на Дона Джонса (http://concentratedtech.com/about/don-jones.php), который написал на английском языке whitepaper www.netwrix.com/download/WhitePapers/NetWrix_WP_The_Audit_Zone_Five_Stories_of_Suspense_and_Security.pdf, и не проверяли его текста.
Так что, видимо, Вашим огорчением мы обязаны Дону. Нас это в свою очередь огорчает. Но мы уже придумали, как исправить ситуацию с техническими неточностями наших замыслов и работаем над новым проектом. Надеюсь, он Вам понравится!
Что касается приведенного Вами продукта GFI и его более современной версии — у нас есть конкурентный продукт NetWrix Event Log Manager (http://www.netwrix.com/event_log_archiving_consolidation_freeware.html). При общей равной «весовой категории» у нашей программы есть некоторые преимущества перед ним. Если Вам интересно, могу привести подробности.
Но это инструменты для сбора логов. Вы же согласны с тем, что ими не осуществляется аудит изменений групповых политик полностью?
С уважением,
Антон Ч.
Sign up to leave a comment.
История №1 «Полуденный вор» (из «5 историй об информационной безопасности»)