Описание механизма аудита
Выявление неправомерных действий
Для выявления неправомерных действий в системе необходимо использовать инструмент логирования событий. Журнал событий безопасности по умолчанию располагается: C:\ProgramData\Infomaximum\logs\security.log. (локальный диск может отличаться). Более подробная информация указана в журналах аудита.
Для выявления неправомерных действий необходимо использовать журнал аудита и описание процесса выявления неправомерных действий.
Неправомерные действия с описанием
Входы в систему с разными ID пользователя с одной рабочей станции в короткие интервалы времени (интервал устанавливается экспертами)
- Вход 1 (действие 1):
- тип события: logon;
- доп. параметр типа события: success;
- объект: id;
- адрес рабочей станции: remote_address;
- поле: Время события.
- Вход 2 (действие 2):
- тип события: logon;
- доп. параметр типа события: success;
- объект: id;
- адрес рабочей станции: remote_address;
- поле: Время события.
Если параметры ID объекта отличаются, а remote_address имеют одинаковое значение, то Время события 1 – Время события 2 = интервал входа с одной рабочей станции (интервал сравнивается с установленным параметром).
Вход с одним и тем же ID пользователя с разных рабочих станций в короткие интервалы времени (интервал устанавливается экспертами)
- Вход 1 (действие 1):
- тип события: logon;
- доп. Параметр типа события: success;
- объект: id;
- адрес рабочей станции: remote_address;
- поле: Время события.
- Вход 2 (действие 2):
- тип события: logon;
- доп. параметр типа события: success;
- объект: id;
- адрес рабочей станции: remote_address;
- поле: Время события.
Если ID имеют одинаковое значение, а значения remote_address отличаются, то Время события 1 – Время события 2 = интервал входа с одной рабочей станции (интервал сравнивается с установленным параметром).
Большое количество неудачных входов в систему с одним ID c разных терминалов
- Тип события: logon;
- Доп. параметр типа события: invalid_logon;
- Объект: id;
- Адрес рабочей станции: remote_address.
Или
- Тип события: logon;
- Доп. Параметр типа события: invalid_logon_and_max_logon_attempts_exceed;
- Объект: id;
- Адрес рабочей станции: remote_address,
где remote_address имеют разные значения в каждой попытке входа.
Большое количество неудачных входов в систему с разными ID c одного терминала
- Тип события: logon;
- Доп. параметр типа события: invalid_logon;
- Объект: id;
- Адрес рабочей станции: remote_address. Или
- Тип события: logon;
- Доп. параметр типа события: invalid_logon_and_max_logon_attempts_exceed;
- Объект: id;
- Адрес рабочей станции: remote_address,
где remote_address имеют одинаковое значение в каждой попытке входа.
Попытка входа в систему с заблокированной учётной записью
- Тип события: logon;
- Доп. Параметр типа события: disabled_logon;
- Объект: id.
Отключение логирования
Для конфигурирования логов используется файл C:\ProgramData\Infomaximum\logback.xml. Также есть вариант с подменой конфигурации через механизм инициализации системы логирования.
Подробный порядок и загрузки файла конфигурации описан: https://logback.qos.ch/manual/configuration.html.
Рекомендации:
- Необходимо отслеживать изменение в каталоге: C:\ProgramData\Infomaximum;
- Необходимо отслеживать изменение в каталоге: C:\Program Files\Infomaximum;
- Необходимо отслеживать изменения службы.
Удаление/очистка логов
Удаление и очистка логов не может осуществляться через веб-интерфейс. Логирование данного неправомерного действия не осуществляется.
Доступ к удалению/очистке логов регламентируется на уровне файловой системы в рамках политики Windows.
Добавление нового ID пользователя в систему и его удаление (блокировка) в короткий промежуток времени (короткий промежуток времени устанавливается экспертами)
Субъект (тот, кто производит действие):
- объект: id;
- адрес рабочей станции: remote_address;
- сотрудник: employee_id;
- действие 1(тип события): create (создание);
- действие 2 (тип события): remove (удаление);
- действие 3 (тип события): change_enabled_logon;
- доп. параметр действия 3: - false (отключение разрешения на авторизацию, блокировка);
- поле: Время события (для каждого действия).
Объект (над кем производят действие):
- объект: id;
- объект: employee.
Если ID объекта (добавляемого сотрудника) имеет одинаковое значение при всех действиях:
- Время события действия remove – Время события действия create = интервал времени между созданием и удалением сотрудника;
Или:
- Время события действия change_enabled_logon (доп. параметр: - false) – Время события действия create = интервал времени между созданием и блокировкой сотрудника.
Назначение новых прав/членства в группе пользователю и их последующая отмена в короткий интервал времени (интервал устанавливается экспертами)
Субъект (тот, кто производит действие):
- объект: id;
- адрес рабочей станции: remote_address;
- сотрудник: employee_id;
- действие 1 (Тип объекта): adding_access_role (добавление сотруднику РД);
- действие 2 (Тип объекта): removing_access_role (удаление у сотрудника РД в группе «Административные» роли);
- доп параметр у всех типов объектов (всех действий):
- access_role_id (id роли доступа);
- access_role_name (имя роли доступа);
- поле: Время события (для каждого действия).
Объект (над кем производят действие):
- объект: id, employee, login.
Если ID и Login объекта (над кем производят действие) имеет одинаковое значение при всех действиях и назначаемая и отменяемая РД имеет одинаковое значение access_role_id, то Время события действия removing_access_role – Время события действия adding_access_role = интервал времени между назначением новых прав и их последующая отмена.
Изменение парольной политики АС
Любое изменение из 6 типов событий (действий) является изменением парольной политики АС для объекта.
- Действие 1 (Тип объекта): change_complex_password. Включение/выключение контроля сложности пароля.
- Действие 2 (Тип объекта): change_min_password_length. Изменение минимальной длины пароля.
- Действие 3 (Тип объекта): password_expiration_date. Включение/выключение срока действия пароля.
- Действие 4 (Тип объекта): change_password_expiration_time. Изменение срока действия пароля.
- Действие 5 (Тип объекта): limit_login_attempts. Включение/выключение ограничить попытки входа.
- Действие 6 (Тип объекта): change_max_invalid_logon_count. Изменение лимита на неуспешные попытки входа.
Отслеживаемые параметры объекта:
- объект: id;
- адрес рабочей станции: remote_address;
- сотрудник: employee_id, login.