Smart Monitor & Splunk Cases

Аудит изменений конфигурации сетевого оборудования

Мониторинг действий администраторов сетевого оборудования. Анализ влияния изменений конфигурации на работу сети. Детектирование ввода команд из контрольного списка.

 Задача

Контроль действий сетевых администраторов при изменении конфигурации оборудования. Выявление возможных причин нарушения работоспособности сети в результате некорректных настроек. Выявление попыток корпоративного мошенничества.

 Информационные источники

Network, Active Directory

 Решение

Сетевые администраторы обладают расширенными правами по настройке оборудования. Порой их действия приводят к нежелательным последствиям: нарушением доступности сегментов сети, открытием новых брешей в периметре или же, наоборот, отключением нужных для работы портов, протоколов, адресов и пр.

Для решения задачи анализа действий администраторов мы используем получение изменений конфигураций сетевого оборудования в режиме online. Настроенные фильтры позволяют выделить конкретное устройство или их логическую группу, администратора и интервал времени, в котором надо проводить анализ его действий.

В интерфейсе программы можно настроить списки команд, которые являются критичными, и при вводе этих команд формировать предупреждение.

Решение позволяет построить корреляцию между различными источниками, к примеру:

  • конфигурации сетевого оборудования;
  • контрольные списки команд различной критичности;
  • справочники разрешенных технологических перерывов, в которые администраторам разрешено совершать действия;
  • события с других сетевых устройств, коррелирующие с параметрами введенных команд для формирования инцидентов;
  • события контроллера домена, связанные с действиями сетевых администраторов (например, заведение временной учетной записи, под которой вносятся изменения в настройки оборудования).

На выходе получается гибкий инструмент, позволяющий не только анализировать изменения настроек оборудования, но и проводить расследования инцидентов в ИТ-инфраструктуре.

 Визуальные представления

Консоль анализа конфигураций

Консоль анализа конфигураций

Система фильтров позволяет проанализировать изменения, проводимые на конкретном устройстве, конкретным пользователем в конкретное время.
Обнаружение команд из контрольного списка

Обнаружение команд из контрольного списка

Все изменения, в которых были найдены команды из контрольного списка, будут подсвечены в журнале изменений. На каждое срабатывание можно настроить оповещение или активное действие (например, откат конфигурации на резервную копию, или блокировка учетной записи администратора).

 Дополнительная информация

Разделы:

Мониторинг
5.0/5 rating 1 vote