Обзор Secret Net Studio 8.1. Часть 2 — механизмы централизованного управления и мониторинга


Обзор Secret Net Studio 8.1. Часть 2 — механизмы централизованного управления и мониторинга

Продолжение подробного обзора Secret Net Studio 8.1, продукта компании «Код Безопасности» для защиты рабочих станций и файловых серверов от внешних и внутренних атак. Во второй части описаны механизмы централизованного управления и мониторинга, реализованные в рассматриваемом решении.

Сертификат AM Test Lab

Номер сертификата: 168

Дата выдачи: 02.08.2016

Срок действия: 02.08.2021

Реестр сертифицированных продуктов »

 

 

1. Введение

2. Механизмы централизованного управления системой

2.1. Централизованное развертывание и настройка Secret Net Studio

2.1.1. Управление дистрибутивами в репозитории Secret Net Studio

2.1.2. Централизованная установка Secret Net Studio

2.1.3. Контроль задач и процессов в Secret Net Studio

2.2. Централизованное управление

2.2.1. Структура управления в Secret Net Studio

2.2.2. Типы управления в Secret Net Studio

2.2.3. Управление групповыми политиками в Secret Net Studio

2.3. Централизованный мониторинг в Secret Net Studio

2.3.1. Общее состояние системы

2.3.2. События тревоги

2.3.3. Централизованные журналы событий в Secret Net Studio

2.3.4. Формирование отчетов в Secret Net Studio

3. Выводы

 

 

Введение

Чтобы защитить одну или несколько рабочих станций, можно использовать автономные средства защиты информации (далее — СЗИ), которые предусматривают только локальное управление. Когда же необходимо защитить множество серверов и рабочих станций, объединенных в одну локальную вычислительную сеть (или территориально распределенную сеть), использование и администрирование автономных СЗИ становится проблематичным, а в большинстве случаев — невозможным. Поэтому одной из важных функций СЗИ является возможность организации централизованного управления системой.

Помимо основных защитных функций в первой части обзора Secret Net Studio 8.1 были упомянуты также механизмы централизованного управления, которые будут рассмотрены ниже.

 

Механизмы централизованного управления системой

Единый интерфейс управления и мониторинга Secret Net Studio 8.1 существенно упрощает администрирование системы. При этом работа СЗИ незаметна пользователю, и администраторам не нужно производить локальные настройки.

В системе Secret Net Studio централизованное управление компьютерами и синхронизация параметров защиты базируются на концепции доменов безопасности. Домены безопасности формируются из объектов, включенных в определенные контейнеры Active Directory.

Для реализации централизованного управления при использовании СЗИ Secret Net Studio должен быть установлен сервер безопасности и подчиненные ему сетевые клиенты на всех защищаемых компьютерах (более подробная информация об архитектуре сетевого варианта Secret Net Studio приводилась в первой части обзора).

Сервер безопасности является основным элементом в сетевой структуре системы Secret Net Studio и обладает следующими функциями:

  • получение информации от агентов на защищаемых компьютерах о текущем состоянии рабочих станций и сессиях работы пользователей;
  • оперативное получение и передача сведений о событиях тревоги на защищаемых компьютерах;
  • отправка команд управления на защищаемые компьютеры;
  • получение информации о состоянии защитных подсистем на компьютерах;
  • отправка команд на изменение состояния защитных подсистем;
  • получение и передача на защищаемые компьютеры параметров групповых политик, заданных в программе управления системы Secret Net Studio;
  • получение локальных журналов с защищаемых компьютеров и передача содержимого журналов в базу данных сервера безопасности;
  • контроль действия лицензий на использование компонентов системы Secret Net Studio;
  • обработка запросов к базе данных сервера безопасности;
  • архивирование содержимого централизованных журналов и восстановление архивов в базе данных сервера безопасности;
  • протоколирование обращений к серверу.

Таким образом, сервер безопасности контролирует работу подчиненных ему компьютеров. Кроме того, может быть создано несколько серверов безопасности с подчинением по иерархическому принципу.

Компьютеры, на которые может быть установлено СЗИ Secret Net Studio 8.1 и которые могут контролироваться сервером безопасности, должны быть включены в домен Active Directory и иметь следующие операционные системы:

  • Windows 10;
  • Windows 8/8.1;
  • Windows 7 SP1;
  • Windows Vista SP2;
  • Windows Server 2012/Server 2012 R2;
  • Windows Server 2008 SP2/Server 2008 R2 SP1.

Для осуществления централизованного управления необходимо использовать компонент «Центр управления», с помощью которого производится подключение к серверу безопасности. В указанном компоненте администратору безопасности доступны следующие возможности:

  • централизованное развертывание системы;
  • настройка параметров защиты и управление компьютерами;
  • мониторинг состояния системы;
  • конфигурирование сетевой структуры системы Secret Net Studio;
  • работа с централизованными журналами;
  • создание отчетов.

Ниже более подробно рассмотрим механизмы централизованного управления, которые позволяют выполнять централизованное развертывание, управление и мониторинг, а также создание отчетов.

Центраизованное развертывание и настройка Secret Net Studio

При развертывании Secret Net Studio через «Центр управления» автоматически выполняются заданные действия по установке или удалению на рабочих станциях клиентской программы, ее компонентов или обновлений.

 

Управление дистрибутивами в репозитории Secret Net Studio

Для централизованного развертывания СЗИ Secret Net Studio необходимо добавить в список централизованно устанавливаемого ПО комплект (комплекты) установочных файлов. Комплект может быть создан на основе установочного диска системы Secret Net Studio или специального набора файлов с обновлениями.

 

Рисунок 1. Управление дистрибутивами в репозитории в СЗИ Secret Net Studio

Управление дистрибутивами в репозитории в СЗИ Secret Net Studio

 

Централизованная установка Secret Net Studio

Управление централизованным развертыванием СЗИ Secret Net Studio осуществляется в единой консоли, где представлена информация о структуре управления и приведен список компьютеров со сведениями о наличии ПО и его статусе.

 

Рисунок 2. Централизованное развертывание СЗИ Secret Net Studio

Централизованное развертывание СЗИ Secret Net Studio

 

С помощью данного функционала можно формировать задания на установку, обновление или удаление СЗИ на компьютерах. При этом предоставляется возможность детальной настройки параметров задания (версия устанавливаемого ПО, папка для установки ПО, лицензии на использование компонентов, список устанавливаемых компонентов, учетные данные локального администратора).

 

Рисунок 3. Настройка задания на установку СЗИ Secret Net Studio

Настройка задания на установку СЗИ Secret Net Studio

 

Задания определяют списки компьютеров, на которых в автоматическом режиме будут выполняться требуемые действия.

 

Контроль задач и процессов в Secret Net Studio

Для контроля процесса развертывания СЗИ администратор безопасности может просматривать список заданий, где выводятся сведения о времени и статусе их выполнения, и управлять этими заданиями (отменять или удалять).

 

Рисунок 4. Управление заданиями по развертыванию СЗИ Secret Net Studio

Управление заданиями по развертыванию СЗИ Secret Net Studio

Централизованное управление

СЗИ Secret Net Studio дает возможность управлять компьютерами из одной консоли. Администратору безопасности предоставляется диаграмма сети в виде структуры подчинения серверов и рабочих станций, которые доступны для управления из единой консоли.

 

Рисунок 5. Диаграмма управления в СЗИ Secret Net Studio

Диаграмма управления в СЗИ Secret Net Studio

 

Структура управления в Secret Net Studio

СЗИ Secret Net Studio поддерживает интеграцию с Active Directory и иерархию серверов безопасности. Средства централизованного управления позволяют применять политики безопасности в масштабах всей организации, в том числе в организациях с большим количеством филиалов. Для удобства управления компьютеры в сети делятся на группы по их принадлежности к организационным подразделениям в Active Directory. Отдельным компьютерам может быть установлен приоритет, который влияет на уровень угрозы событий тревоги, происходящих на этом компьютере.

Кроме того, компьютеры можно объединить в группы наблюдения, после чего они будут отображаться на экране «Начало» (см. рисунок 10), и администратор безопасности сможет контролировать возникновение тревог на выбранных компьютерах.

Структура на диаграмме управления выводится в виде схемы элементов, соответствующих доменам, организационным подразделениям, серверам безопасности и защищаемым компьютерам. Схема базируется на структуре доменов и организационных подразделений в Active Directory.

Для централизованного управления в составе структуры СЗИ Secret Net Studio должны присутствовать серверы безопасности и защищаемые компьютеры. Операции добавления объектов в структуру управления и исключения из нее могут выполняться автоматически при установке или удалении СЗИ Secret Net Studio на компьютерах, а также вручную в программе управления путем добавления и удаления объектов в структуре.

 

Рисунок 6. Редактирование структуры управления в СЗИ Secret Net Studio

Редактирование структуры управления в СЗИ Secret Net Studio

 

Типы управления в Secret Net Studio

В СЗИ Secret Net Studio предусмотрено два типа управления:

  • управление настройками параметров безопасности;
  • оперативное управление.

При выборе конкретного компьютера администратору доступно управление его параметрами безопасности, в рамках которого могут быть настроены различные защитные механизмы. При выборе сервера безопасности (организационного подразделения или всего домена) администратору доступно управление групповыми политиками безопасности системы защиты.

 

Рисунок 7. Управление настройками параметров безопасности в СЗИ Secret Net Studio

Управление настройками параметров безопасности в СЗИ Secret Net Studio

 

Кроме того, администратору безопасности здесь доступны функции просмотра сведений о состоянии контролируемых компьютеров.

 

Рисунок 8. Управление механизмами защиты на компьютерах в СЗИ Secret Net Studio

Управление механизмами защиты на компьютерах в СЗИ Secret Net Studio

 

Оперативное управление позволяет:

  • блокировать и разблокировать компьютеры;
  • перезагружать и выключать компьютеры;
  • обновлять групповые политики на компьютерах;
  • утверждать изменения аппаратной конфигурации;
  • управлять функционированием механизмов защиты на компьютерах.

 

Рисунок 9. Оперативное управление в СЗИ Secret Net Studio

Оперативное управление в СЗИ Secret Net Studio

 

Управление групповыми политиками в Secret Net Studio

Для централизованной настройки и применения параметров безопасности на защищаемых компьютерах с установленным клиентом Secret Net Studio используются групповые политики.

По умолчанию параметры заданы только в локальной политике, которая имеет наименьший приоритет. В дополнение к параметрам локальной политики могут быть заданы параметры в политиках доменов, организационных подразделений и серверов безопасности.

Перечисленные политики применяются в следующей последовательности:

  • локальная политика;
  • политика домена;
  • политика организационного подразделения — применяется на всех компьютерах, входящих в него;
  • политика, заданная для сервера безопасности — применяется на всех компьютерах, подчиненных этому серверу безопасности.

Гранулярная настройка групповых политик позволяет применять на компьютерах различных подразделений как общие параметры, так и специфичные для данной группы.

Централизованный мониторинг в Secret Net Studio

СЗИ Secret Net Studio централизованно собирает сведения об атаках и их источниках, а также позволяет наблюдать за общим состоянием системы и работать с различными журналами, собранными с защищаемых компьютеров в базу данных серверов безопасности (журналы Secret Net Studio, журналы приложений, журналы безопасности и системы).

Кроме того, в системе предусмотрены отдельные привилегии оперативного управления. Например, аудитору можно предоставить привилегию на просмотр журналов и архивов, проведение аудита политик безопасности и прав доступа без возможности их изменения. Таким образом, расследование инцидентов могут осуществлять независимые специалисты.

 

Общее состояние системы

Представленная в СЗИ Secret Net Studio графическая панель, отображающая состояние системы, позволяет осуществлять общий мониторинг защищенности системы.

Сведения об общем состоянии системы содержат информацию о количестве событий тревоги в системе, а также о состоянии групп наблюдений.

 

Рисунок 10. Общее состояние СЗИ Secret Net Studio и панель событий системы

Общее состояние СЗИ Secret Net Studio и панель событий системы

 

События тревоги

Для событий безопасности особой важности в СЗИ Secret Net Studio предусмотрен отдельный тип сообщений — тревоги, они регистрируются в специальном журнале. События тревоги различаются по уровню угрозы, который определяется степенью значимости самого события и уровнем важности того компьютера, на котором они произошли. Сервер безопасности накапливает сведения о событиях тревоги в отдельном журнале, который формируется из уведомлений, направляемых серверу от защищаемых компьютеров. Состав отслеживаемых событий может редактироваться посредством создания правил фильтрации на основе уведомлений о событиях тревоги.

Администратор безопасности оповещается о тревогах с помощью уведомлений в панели мониторинга или по e-mail. Также для оповещения могут использоваться звуковые сигналы.

Для обработки полученных оповещений администратору безопасности доступна функция квитирования событий, которая позволяет подтверждать получение информации с описанием принятых мер.

 

Рисунок 11. Журнал событий тревоги в СЗИ Secret Net Studio

Журнал событий тревоги в СЗИ Secret Net Studio

 

Для выборочного просмотра журнала тревог возможно создать запрос и в нем при помощи конструктора определить параметры фильтрации.

 

Рисунок 12. Создание запроса для журнала событий тревоги в СЗИ Secret Net Studio

Создание запроса для журнала событий тревоги в СЗИ Secret Net Studio

 

Централизованные журналы событий в Secret Net Studio

На сервере безопасности осуществляется централизованное хранение журналов событий. В базе данных сервера безопасности накапливаются следующие журналы:

  • журнал событий тревоги, объединяющий все записи о событиях тревоги со всех управляемых компьютеров;
  • журнал событий, объединяющий журнал Secret Net Studio и штатные журналы ОС Windows со всех управляемых компьютеров;
  • журнал сервера безопасности.

Информацию из этих журналов можно загружать частично или полностью через механизм создания запросов.

 

Рисунок 13. Журнал событий в СЗИ Secret Net Studio

Журнал событий в СЗИ Secret Net Studio

 

Расширенная система регистрации событий и возможность построения удобных и подробных отчетов позволяют собрать обширные данные для расследования инцидентов безопасности: отследить атаки и каналы распространения вредоносных программ, действия инсайдеров.

 

Формирование отчетов в Secret Net Studio

В Secret Net Studio 8.1 реализована возможность создания отчетов, содержащих учетную информацию о компьютере и установленном на нем ПО, а также сведения о ресурсах, объектах и параметрах компьютеров. Отчеты сохраняются в отдельные файлы.

 

Рисунок 14. Отчет «Паспорт ПО» в СЗИ Secret Net Studio

Отчет «Паспорт ПО» в СЗИ Secret Net Studio

 

Рисунок 15. Отчет «Ресурсы АРМ» в СЗИ Secret Net Studio

Отчет «Ресурсы АРМ» в СЗИ Secret Net Studio

 

Выводы

Комплексное СЗИ Secret Net Studio 8.1 способно обеспечить безопасность рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования. При этом продукт защищает не только от внешних атак, но и от внутренних, в частности от несанкционированного доступа к данным (НСД).

Secret Net Studio 8.1 обладает следующими ключевыми преимуществами:

  • управление 20 защитными механизмами в едином интерфейсе;
  • риск-ориентированный подход к безопасности;
  • встроенная система корреляции и приоритизации событий ИБ;
  • единый агент безопасности с интуитивно понятным интерфейсом;
  • снижение нагрузки на защищаемые компьютеры;
  • сокращение издержек на администрирование СЗИ и обучение персонала;
  • высокая масштабируемость, поддержка распределенных инфраструктур;
  • единая точка обращения для расследования инцидентов.

Из явных недостатков в настоящее время можно выделить следующее:

  • поддерживается работа только с компьютерами под операционной системой Microsoft Windows (не поддерживаются Linux и MacOS).

Secret Net Studio 8.1 можно рассматривать как полноценную защиту класса Endpoint Security — решение способно конкурировать с известными зарубежными и российскими аналогами, в том числе и на уровне централизованного администрирования.

По сравнению с другими решениями класса Endpoint Security СЗИ Secret Net Studio выделяется за счет специфичных для российского рынка функций, необходимых для соблюдения требований регуляторов. По этой причине рассматриваемое решение можно сравнивать с двумя типами СЗИ, обладающими подобным функционалом:

  • комплексные антивирусные решения (которые помимо антивирусной защиты могут включать в себя функционал межсетевого экранирования, системы обнаружения/предотвращения вторжений, контроль подключаемых устройств и т. д.);
  • системы защиты информации от несанкционированного доступа (СЗИ от НСД).

В отличие от других комплексных антивирусных решений СЗИ Secret Net Studio обладает обширным функционалом СЗИ от НСД. Если же продукт сравнивать с другими СЗИ от НСД, то главным отличием является модуль антивирусного решения по технологии ESET NOD 32, который также входит в состав Secret Net Studio.

Кроме того, наличие сертификата ФСТЭК дает возможность использовать продукт для защиты государственных информационных систем до К1 включительно, информационных систем персональных данных до УЗ1 включительно и автоматизированных систем до класса 1Б включительно, что означает возможность применения Secret Net Studio для защиты государственной тайны с пометкой «совершенно секретно».

В целом создание такого комплексного решения является логичным развитием рынка СЗИ класса Endpoint Security. Secret Net Studio имеет сбалансированный набор защитных механизмов, которые обеспечивают безопасность информации на рабочих станциях и серверах как от внешних, так и от внутренних угроз. Механизмы централизованного развертывания, управления и мониторинга СЗИ Secret Net Studio упрощают работу с системой и позволяют применять продукт для защиты компьютеров в государственных и коммерческих организациях федерального масштаба.

О защитных механизмах вы можете почитать в первой части обзора

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Выбор редакции: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.