Zecurion Reports — аналитический модуль DLP-системы российской компании Zecurion, который позволяет формировать и просматривать в удобной форме отчеты об инцидентах информационной безопасности и подозрительной активности сотрудников. Модуль может использоваться совместно со всеми решениями Zecurion: Traffic Control, Device Control, Discovery, SWG (Secure Web Gateway) и PAM (Privileged Access Management).
- Введение
- Как работать с Zecurion Reports
- 2.1. Анализ состояния системы
- 2.2. Анализ сведений о сотрудниках
- 2.3. Поведенческий анализ (UBA)
- 2.4. Управление метками
- 2.5. Построение отчетов
- Выводы
Введение
В продуктах многих российских вендоров результат функционирования подсистемы регистрации событий зачастую сводится к ведению журнала с огромным количеством записей, в отдельности пусть и информативных, но сложных для комплексного восприятия и анализа. Получается так, что чем больше регистрируется событий ИБ, тем меньше желание администратора информационной безопасности иметь с ними дело. Возможности анализа несколько упрощаются, если в СЗИ реализованы функции выборки событий по заданным условиям — например, фильтрация событий. Однако при обработке информации об инцидентах в масштабе большой расширяющейся системы требуется качественно иной подход.
В этом отношении показателен опыт российской компании Zecurion, одного из лидеров российского рынка DLP-систем. В Zecurion DLP функции анализа накопленных данных и отчетности не так давно были выделены в отдельный модуль — Zecurion Reports (актуальная версия 3.0). Помимо предоставления возможности подготовки и просмотра отчетов об инцидентах информационной безопасности и подозрительной активности сотрудников, Zecurion Reports дает возможность создавать новые и подключать существующие базы данных, содержащие информацию об инцидентах; регулировать права доступа к серверу Zecurion Reports; настраивать регулярную отправку отчетов по электронной почте; вести журналирование системных событий и др.
Рассмотрим основные возможности Zecurion Reports 3.0 с практической точки зрения.
Как работать с Zecurion Reports
Анализ состояния системы
Управление модулем производится через веб-интерфейс. Первое, что видит администратор при загрузке модуля, — сводный отчет событий Zecurion Reports на вкладке «Сводка» боковой панели управления. Как правило, для понимания общей картины состояния ИБ в компании достаточно оперативного доступа к сводным данным системы. Сводка удобна и для представления краткого доклада руководству организации, поскольку содержит самые необходимые сведения в компактной форме.
Как показано на рисунке 1, рабочая область «Сводки» состоит из набора виджетов (информационных модулей), предназначенных для оперативного просмотра информации по инцидентам. Количество, расположение и внешний вид виджетов, равно как и объем отображаемых на них данных, могут быть изменены в соответствии с особенностями информационной системы или личными предпочтениями ответственного сотрудника. Иными словами, администратор информационной безопасности может привести окно сводки к тому виду, который позволяет наиболее эффективно решать поставленные задачи применительно к целевой информационной системе.
Мы еще не один раз сможем убедиться, что гибкая настройка всей предоставляемой функциональности — один из основополагающих принципов, которого придерживались разработчики продукта. Из реализованного набора элементов можно формировать отчетную среду под любые потребности.
Рисунок 1. Сводка событий в Zecurion Reports
Из рисунка видно, что для добавления доступны по умолчанию виджеты «Таблица» («Топ нарушителей за неделю»), «График» («Активность за 24 часа»), «Показатель» («Непросмотренные инциденты») с группировкой событий по различным параметрам. На любом из графиков можно просмотреть точное значение параметра, выраженное соответствующим элементом. Для этого достаточно навести на него курсор мыши. Можно просмотреть расширенную информацию о параметре по щелчку мыши на интересующем элементе виджета. Словом, всегда можно получить как общее представление о состоянии системы, так и в случае необходимости извлечь более детальную информацию о той или иной интересующей статистической характеристике.
При необходимости анализа состояния системы стоит учитывать, что его следует проводить только спустя некоторое время после начала эксплуатации Zecurion DLP, когда будет зарегистрировано достаточное количество событий. Например, Zecurion Reports позволяет уже через неделю после начала функционирования DLP-системы получить представление о состоянии информационной безопасности, определить наиболее характерные для данной системы каналы утечки данных, выявить пользователей, активность которых требует пристального внимания.
Анализ сведений о сотрудниках
Вкладка «Сотрудники» предназначена для отображения сведений об инцидентах, связанных с зарегистрированными пользователями. Количественная интуитивно понятная оценка тех или иных параметров отвечает современным взглядам и подходам к управлению информационной безопасностью.
Рисунок 2. Сведения об инцидентах, связанных с зарегистрированными пользователями, в Zecurion Reports
Так, на вкладке «Сотрудники» можно просмотреть вычисленный для каждого пользователя индекс изменения поведения от 1 до 10. Индекс изменения поведения — это интегральный показатель, отражающий степень отклонения текущих характеристик поведения пользователя от среднестатистических значений. Пользователи с индексом, превышающим значение 2, согласно рекомендациям Zecurion, требуют пристального внимания.
Поведенческий анализ пользователей (UBA)
Сведения о регистрируемой активности каждого отдельного пользователя для удобства последующего использования собираются в так называемую карточку пользователя, которая по сути представляет собой профиль его поведения. К карточке пользователя можно перейти с вкладки «Сотрудники» по щелчку на поле интересующего сотрудника или с виджета, содержащего имя пользователя.
Рисунок 3. Карточка поведения пользователя в Zecurion Reports
Zecurion Reports 3.0 содержит собственный модуль поведенческого анализа (User Behavior Analytics, UBA), результаты работы которого можно просмотреть в карточке пользователя. Индексы изменения параметров поведения, отображаемые в нижней части страницы, представляют собой среднестатистические показатели, пересчитываемые каждую неделю на основании накопленных данных. Текущие параметры сотрудников сопоставляются с их среднестатистическим значением. Резкое отклонение параметров от поведенческого профиля может сигнализировать о потенциальной угрозе информационной безопасности со стороны данного сотрудника или свидетельствовать о компрометации его учетных данных. График изменения поведения размещается в верхней части окна.
Информация в карточках пользователей может быть полезна для проверки предположений об участии пользователя в сговоре с внешними нарушителями, планируемой утечке конфиденциальной информации или другой аномальной активности. Из карточки также можно получить информацию о действующих в отношении пользователя политиках информационной безопасности.
С точки зрения анализа событий особый интерес представляет диаграмма связей, в которой можно просмотреть все контакты пользователя — как внешние, так и внутренние. Для контактов, среди прочего, описываются каналы взаимодействия (информация об учетных записях электронной почты, социальных сетей, мессенджеров).
Рисунок 4. Диаграмма связей в Zecurion Reports
Для всех связанных пользователей можно увидеть количество инцидентов с их участием, отображаемое в верхней части поля с основной информацией о контакте. Достаточно одного нажатия кнопки мыши на выбранном контакте пользователя для получения информации о переданных ему данных.
Диаграмма может быть расширена контактами связанных пользователей. Благодаря реализации этой возможности статистика перестает быть обезличенным массивом данных, пригодным только лишь для машинной обработки. Вместо этого данные персонализируются, а между персоналиями устанавливаются взаимные связи — именно этой функции зачастую не хватает для принятия взвешенных принципиальных решений.
Управление метками
Для дополнительного выделения, сортировки и отбора инцидентов в процессе работы можно использовать метки. Метки являются дополнительными атрибутами, которые присваиваются не в момент регистрации инцидента, а впоследствии, при обработке инцидентов с помощью веб-интерфейса сервера Zecurion Reports.
Рисунок 5. Доступные метки в Zecurion Reports
Конечно, в полном соответствии с выбранным разработчиками подходом можно изменять как состав перечня меток, так и их названия.
Построение отчетов
Один из центральных и наиболее востребованных элементов пользовательского интерфейса Zecurion Reports — вкладка «Отчеты». С ее помощью можно просматривать как типовые отчеты, так и сформированные администратором вручную.
Для любого из них возможна сортировка и поиск по ключевому слову — это может быть имя пользователя, слова из зарегистрированных сообщений, вводимых пользователем в переписке, и пр. В Zecurion Reports предусмотрены три основных типа отчетов, отличающихся форматом представления данных, функциональностью и внешним видом:
- архивные;
- графические (диаграммы);
- аналитические (табличные).
Архивные отчеты представляют собой списки инцидентов, сформированные по определенным правилам, с учетом настраиваемых параметров, фильтров и условий.
Во многих ситуациях, связанных с использованием средств формирования отчетов, выполнение какого-либо анализа становится попросту невозможным из-за чрезмерного времени завершения обработки запроса к базе. Иногда подобная обработка сопровождается «зависаниями» из-за нехватки вычислительных ресурсов. Складывается парадоксальная ситуация, когда статистика собрана, но возможность работы с данными фактически отсутствует.
В этом отношении у Zecurion Reports 3.0 есть важные отличия от многих других аналогичных средств: возможность группировки отчетов и специальные механизмы для обеспечения возможности комфортного просмотра большого количества записей (50000 инцидентов и выше).
Для получения возможности просмотра большого количества записей необходимо в настройках отчета поставить флаг «Упрощенный вид». После установки флага записи в отчете будут выглядеть более компактно и быстрее подгружаться.
Рисунок 6. Записи отчета в упрощенном виде в Zecurion Reports
Графические отчеты визуализируются в виде столбчатых, круговых или линейных диаграмм, показывающих соотношение или динамику изменения следующих обобщенных численных показателей:
- количество инцидентов;
- количество инцидентных файлов;
- общий объем инцидентов.
Можно использовать включенные в начальную конфигурацию настройки графических отчетов, отредактировать их с учетом собственных нужд или создать новый отчет.
Рисунок 7. Редактирование графического отчета в Zecurion Reports
Как и в случае с другими предусмотренными типами отчетов, аналитические (табличные) отчеты Zecurion Reports могут использоваться в том виде, в котором они содержатся в начальной конфигурации, либо могут быть отредактированы. Возможно и создание аналитических отчетов новых типов.
Рисунок 8. Табличные отчеты в Zecurion Reports
Рисунок 9. Настройка параметров табличного отчета
Кроме возможности просмотра сведений о защищаемой системе в веб-консоли, администратор имеет возможность экспорта представленных данных в различных форматах. В Zecurion Reports версии 3.0 поддерживаются форматы PDF, XLSX, CSV.
Очевидно, доступ к базе данных инцидентов должен быть предоставлен ограниченному кругу лиц. Zecurion Reports 3.0 позволяет настроить права на просмотр и изменение всей базы данных инцидентов или на просмотр базы данных с известными ограничениями.
Рисунок 10. Изменение прав доступа к базе данных в Zecurion Reports
Выводы
Пример компании Zecurion показывает, что средство для работы с данными DLP-системы можно сделать удобным для выполнения задач по мониторингу состояния системы. Эта цель может быть достигнута путем предоставления разнообразных инструментов для самостоятельной настройки формы и объема отображаемых результатов работы.
Множество доступных параметров отчетов позволяет формировать различные срезы данных в наиболее удобной для просмотра и анализа форме.
Zecurion Reports обладает современным интерфейсом и богатым набором возможностей, достаточным для того, чтобы построить полноценную систему анализа зарегистрированных DLP-системой событий безопасности. Хорошее впечатление оставляет направленность на представление гибкого инструмента с минимальным количеством ограничений, без попыток принять решение за пользователя за счет навязывания «лучших» практик. В этом отношении проделана большая работа, обращают на себя внимание лишь мелкие шероховатости. Например, несколько надуманным выглядит ограничение на общее количество используемых в системе одновременно меток для инцидентов, которое в текущей версии продукта не может превышать двенадцати. Разумеется, для подавляющего большинства систем этого значения хватит с запасом, но на фоне общей гибкости и настраиваемости механизмов для построения отчетов ограничение все же смотрится инородно.
Кроме того, представляется желательной поддержка Linux и macOS на контролируемых клиентских рабочих местах. По нашим сведениям, соответствующая реализация планируется в ближайшем будущем.
В целом, очевидно, что при использовании и корректной настройке средств, подобных Zecurion Reports, процедуры по предотвращению нарушения состояния защищенности системы и проведение расследований могут дать быстрый и эффективный результат.