O-STA

ObserveIT Gateway Auditor - nadzor terminalskih sej na centralni prehodni točki

23.7.2014

ObserveIT, vodilni dobavitelj izdelkov za napredno spremljanje in snemanje uporabniške aktivnosti na ključnih strežniških sistemih, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,


predstavlja ObserveIT Gateway Auditor za snemanje uporabniških aktivnosti oz. terminalskih sej, ki se usmerjajo od delovnih postaj preko centralne prehodne točke - gateway - do vseh vrst strežnikov. Gateway Auditor zna snemati podatke o celotni uporabniški seji od trenutka, ko se uporabnik prijavi v operacijski sistem z oddaljene lokacije (remote desktop ali terminalska seja), pa vse do zaključka seje. Za razliko od drugih ObserveIT rešitev v tem primeru ni zahteve po nameščanju agenta na strežnik, seveda pa to pomeni, da ne more videti sej z lokalno prijavo na strežnik ali sej, ki so morebiti na nek način vzpostavljene tako da gredo mimo centralne prehodne točke, na kateri je rešitev nameščena.

ObserveIT Gateway Auditor

Je del platform ObserveIT Enterprise in je rešitev tipa - najbolje iz obeh svetov - ena namestitev, v kateri za razliko od drugih komponent te platforme ena namestitev podpira več strežnikov in vse operacijske sisteme Windows / Unix / Linux po izbiri. Gateway Auditor lahko posname celotno na prehodni točki prestrezano uporabniško aktivnost od trenutka prijave v operacijski sistem z oddaljene lokacije (Telnet, SSH, rlogin idr.) do zaključka uporabniške seje. Gateway Auditor shranjuje na zaslonu vidne informacije, vnose, izpise in drugo, ob tem pa tvori tudi video posnetek seje. Gateway Auditor ne more videti sej, ki grede mimo prehodne točke, obseg zajetih podatkov pa je nekoliko manjši od namestitve z agentom na vsakem posameznem strežniku, saj ne more videti podrobnosti iz operacijskega sistema kot so sistemski klici, posredno odprte datoteke in podobno). Organizacije, ki pri določenih neposredno dostopnih strežnikih potrebujejo vse podrobnosti, a so prav tako zainteresirane za Gateway Auditor opcijo za snemanje dela n večini strežnikov, ki itak niso dostopni mimo prehodne točke, lahko izberejo hibridno namestitev.

GATEWAY AUDITOR NAMESTITEV

Prikazana je na prvi sliki tega dokumenta, samo en Gateway Auditor je nameščen na centralni prehodni točki in skrbi za beleženje povezav do vseh strežnikov.

Prednosti: - ena sama komponenta pokrije vse zahteve,
- strežniki ostanejo nedotaknjeni, nanje se ne namešča agentov.

Slabosti: - ne vidimo oddaljenih povezav, ki gredo mimo centralne prehodne točke,
- ne vidimo lokalnih povezav,
- ne vidimo vseh podrobnosti uporabniške seje (sistemski detajli).

STANDARDNA OBSERVEIT AGENT NAMESTITEV [slika 2, spodaj]

V klasični namestitvi, ki velja za druge ObserveIT rešitve, imamo po en ObserveIT Agent nameščen na vsakem strežniku, za katerega želimo spremljati uporabniške seje.

Prednosti: - vidi vse vrste sej, oddaljene in lokalne,
- beleženje maksimalne stopnje podrobnosti.

Slabosti: - agenta mora biti nameščen na vsak strežnik ,
- včasih to ni mogoče.

HIBRIDNA NAMESTITEV,
GATEWAY AUDITOR IN OBSERVEIT AGENT [slika 1, spodaj]

"Problem" lahko rešimo tako, da uporabimo oboje, Gateway Auditor in Agente.

Gateway Auditor:
- "poskrbi" za veliko večino uporabnikov, saj bodo njihove seje usmerjene preko centralnega prehoda,
- omogoča beleženje zadostne količine podatkov o povprečni seji,
- podpira preprosto, centralno, enkratno namestitev.

ObserveIT Agent:
- se namesti le na manjše število strežnikov,
- omogoča beleženje na strežnikih, ki so dostopni lokalno oz. mimo centralnega prehoda,
- omogoča beleženje največje stopnje podrobnosti za najbolj kritične strežnike.

ObserveIT Gateway Auditor - ključne funkcionalnosti

· snemanje celotne uporabniške aktivnosti od trenutka prijave pa vse do zaključka seje;
· samodejno tvorjenje video posnetka vse zaslonske aktivnosti, za vsa sistemska področja in vse aplikacije;
· samodejno tvorjenje zabeležk o vsaki uporabniški aktivnosti, vključuje vse vnose in izpise;
· beleženje podatkov o aktivnostih, ki same po sebi ne tvorijo nobenih dnevniških zapisov;
· zabeležke uporabniške aktivnosti podpirajo popolno iskanje po besedilu;
· podpora za vse standardne podpore oddaljenih sej in standardne operacijske sisteme Windows / Unix / Linux;
· identifikacija privilegiranih uporabnikov, zaznavanje kraje identitet in druge varnostne funkcije;
· popolna integracija z rešitvami za revizijsko beleženje, SIEM, obravnavo incidentov idr.

Napredno beleženje uporabniških vnosov

"Advanced Keylogger" - ObserveIT tvori popolne tekstovne zabeležke celotne uporabniške aktivnosti, s čimer nam je omogočen hiter pregled seje in enostavno iskanje določene podrobnosti po ključnih besedah:
- imena zagnanih programov,
- naslovi odprtih oken;
- imena odprtih datotek;
- obiskani URL naslovi;
- imena pritisnjenih gumbkov in drugih elementov uporabniškega vmesnika;
- celotna kopija vpisanega / urejanega / kopiranega besedila;
- seznam pognanih sistemskih ukazov.

Kombinacija tekstovnih zabeležk in tvorjenega video posnetka uporabniške seje omogoča enostaven in takojšen preskok od v zabeležki najdenega teksta do zaslonske slike iz tistega trenutka, in obratno.

Avtor / prevod: Robert Lubej

Povezava do izvorne novice:

http://www.observeit.com/Products/GatewayAuditor

### ### ###

O Observe IT

Observe IT je dobavitelj programskih rešitev za napredno spremljanje in beleženje tj. snemanje uporabniških aktivnosti na ključnih strežniških sistemih. Brez ovir se seveda lahko uporablja tudi za spremljanje dela na delovnih postajah, a primarni interes so strežniki, na katerih tudi ni težav o poseganju v zasebno sfero zaposlene osebe, saj se na strežnikih nikoli ne počnejo zasebne stvari. Podjetje je bilo ustanovljeno leta 2006, njegova vodilna motivacija je 'poenostavitev življenja' IT vodjem in varnostnim strokovnjakom. Naloge rešitve Observe IT so:

· snemanje uporabniške aktivnosti na strežniku;
· ustvarjanje tekstovnih dnevniških zapisov o aktivnosti vseh aplikacij znotraj uporabniške seje;
· identifikacija deljenih uporabniških računov ('admin', 'root') in zaznavanje kraje identitet;
· enostaven dostop do vseh shranjenih podatkov, dnevnikov in posnetkov, za podporo forenzičnim preiskavam;
· enostavna integracija s SIEM rešitvami;
· popolno pokritje - vsi uporabniki, aplikacije, protokoli in vsa delovna okolja, vse vrste uporabniških sej.

Več o podjetju, katerega sedež je v Izraelu, najdete na spletnih straneh: http://www.observeit-sys.com


Dodatne informacije:

Matic Knuplež, inženir IT varnosti
matic.knuplez@real-sec.com

REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74
http://www.real-sec.com
info@real-sec.com