O-STA

ObserveIT agenti - Jump Server Agent, Published App Agent

2.2.2016
Observe IT, vodilni dobavitelj izdelkov za napredno spremljanje in snemanje uporabniške aktivnosti na ključnih strežniških sistemih, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,

predstavljata agente, s katerimi lahko iz enega mesta nadziramo delo več uporabnikov z enim ali več sistemi. ObserveIT nam služi za snemanje aktivnosti v uporabniških sejah, predvsem za nadzor privilegiranih uporabnikov (administratorji) na ključnih strežnikih. ObserveIT mora biti prisoten na nadziranem sistemu. Včasih pa imamo množico strežnikov in nanje ali ne želimo ali ne smemo neposredno nameščati drugih rešitev. V takem primeru lahko uporabimo...

... ObserveIT Jump Server Agent


Če imamo strežnike in delovne postaje, s katerih se do strežnikov dostopa, postavljene tako, da lahko te administratorske povezave oz. dostope "speljemo" preko neke centralne točke - jump server - potem lahko na ta centralni strežnik namestimo Jump Server Agent. Ta bo spremljal vse preko njega speljane seje tipa SSH, Remote Desktop, SQL itd. do množice različnih strežnikov. Na eni točki lahko spremljamo kaj vse delajo administratorji, ki se povezujejo preko SSH, Remote Desktop, ali kot DBA-ji, in podobnih administratorskih protokolov, ki so namenjeni za dostop do in za upravljanje strežnikov ali SQL. Baz. Te storitve uporabljajo večinoma administratorji, zato rečemo, da je ta rešitev namenjena spremljanju administratorskih ali privilegiranih uporabnikov na ključnih sistemih.

[SLIKA 1 spodaj]

Pred arhitekturo z agenti nameščenimi na vsak strežnik ima Jump Server Agent prednost v enostavnosti in v tem da ostane strežnik nedotaknjen. Slabost je pa seveda v tem, da lahko posledično nadzira samo seje, ki gredo preko centralne točke, kaj pa počnejo administratorji, ki se priključijo neposredno na strežnik, ali pa ki uspejo do njega priti po kaki drugi povezavi omrežja, tega pa seveda ne vidi. Tudi vpogled v administratorske aktivnosti potem seveda ni popoln, Agent vidi samo podatke, ki se prenašajo po uporabniški seji, ne vidi pa dogajanja znotraj samega sistema - naknadno pognane knjižnice ali skripte, vpliv pognanih ukazov na sistem in datoteke itd.

V zadnjih letih postajajo, predvsem zaradi tajnosti podatkov, vse bolj zanimivi tudi poslovni uporabniki. V prenekaterem podjetju že nameščajo ali razmišljajo o namestitvi rešitev za spremljanje vseh dostopov do poslovnih aplikacij, tako od privilegiranih kot tudi od običajnih poslovnih uporabnikov. V tem primeru potrebujemo drug tip rešitve, kot je na primer...

... ObserveIT Published App Agent

Jump Server Agent spremlja povezave do več končnih strežnikov, Published App Agent pa lahko spremlja povezave do več aplikacij, a samo en server, to je tisti na katerem je nameščen. Published App Agent ne nadzira sistemskih sej, temveč aplikacijske seje, torej kaj delajo uporabniki z aplikacijami, ki so nameščene oz. objavljene na nadziranem strežniku. Nadzirani strežniki so na primer Citrix ali Microsoft S Forefront. Razlika je torej velika, Published App Agent spremlja uporabniško-aplikacijske seje, torej običajne uporabnike.

[SLIKA 2 spodaj]

Avtor / prevod: Robert Lubej

Povezava do izvorne novice:

http://blog.observeit.com/2013/07/02/observeits-new-release-coming

### ### ###

O Observe IT

Observe IT je dobavitelj programskih rešitev za napredno spremljanje in beleženje tj. snemanje uporabniških aktivnosti na ključnih strežniških sistemih. Brez ovir se seveda lahko uporablja tudi za spremljanje dela na delovnih postajah, a primarni interes so strežniki, na katerih tudi ni težav o poseganju v zasebno sfero zaposlene osebe, saj se na strežnikih nikoli ne počnejo zasebne stvari. Podjetje je bilo ustanovljeno leta 2006, njegova vodilna motivacija je 'poenostavitev življenja' IT vodjem in varnostnim strokovnjakom. Naloge rešitve Observe IT so:

· snemanje uporabniške aktivnosti na strežniku;
· ustvarjanje tekstovnih dnevniških zapisov o aktivnosti vseh aplikacij znotraj uporabniške seje;
· identifikacija deljenih uporabniških računov ('admin', 'root') in zaznavanje kraje identitet;
· enostaven dostop do vseh shranjenih podatkov, dnevnikov in posnetkov, za podporo forenzičnim preiskavam;
· enostavna integracija s SIEM rešitvami;
· popolno pokritje - vsi uporabniki, aplikacije, protokoli in vsa delovna okolja, vse vrste uporabniških sej.

Več o podjetju, katerega sedež je v Izraelu, najdete na spletnih straneh: http://www.observeit-sys.com

Dodatne informacije:

Matic Knuplež, inženir IT varnosti
matic.knuplez@real-sec.com

REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74
http://www.real-sec.com
info@real-sec.com