<strong>как избежать недостатков выполнения как администратор на проверке</strong>

Платформа

Библиотека отчетов Enterprise Reporter для Active Directory

Отчет о лицензиях Enterprise Reporter Azure

Получите видимость в вашу среду Exchange/Exchange Online, включая информацию о том, кто имеет доступ к каким почтовым ящикам, группам, разрешениям и многое другое — будь то в локальной среде или в облаке. Готовьте вашу организацию к внутренним и внешним аудитам с предопределенными и настраиваемыми отчетами.

Enterprise Reporter для Exchange

Решения Enterprise Security Reporter

• Решение для файлового сервера
• Решение для сервера SQL

Большинство клиентов обращаются к Netwrix в ожидании выхода на публичный рынок либо для подготовки к аудиту после IPO. Однако в последнее время все больше публичных компаний приобретают наши продукты после провала аудита или получения предупреждения о существенных недостатках. Хорошая новость заключается в том, что во всех случаях основные проблемы можно полностью избежать без большого объема работы.

Однако, если вы просто хотите увидеть элегантный способ решения этой проблемы, перейдите в конце статьи для демонстрации возможностей Netwrix Strongpoint.

Почему ваши аудиторы обеспокоены? Почему им следует?

“Мы не беспокоимся о том, что вы знаете. Мы беспокоимся о том, чего вы не знаете.”

Вторая, и наиболее значительная, причина — потенциал нарушения принципа разделения обязанностей. Разделение обязанностей (SoD) является критическим контролем для SOX, 21 CFR Part 11 и других регуляторных режимов. Он предполагает, что один и тот же человек не должен иметь возможности выполнять несколько частей одной и той же цепи транзакции. Это в первую очередь контроль на мошенничество, чтобы предотвратить возможность закрытия следов. Например, человек, принимающий платежи или составляющий чеки, не должен иметь возможности сверять банковский счет, так как он может скрыть мошеннический платеж.

Этот последний пример не является теоретическим. Манипуляции с датами транзакций легли в основу крупных аудиторских скандалов, и за исключением Enron и WorldCom, являются одной из главных забот в рамках SOX и различных стандартов бухгалтерского учета, таких как ASC 606. Так что да, ваши аудиторы будут и должны ожидать, что вы сможете с этим справиться.

Управление рисками, в два простых шага

Если у вас нет Netwrix Strongpoint, вам потребуется рассмотреть код в каждом скрипте, чтобы понять, что он делает. Однако, если у вас есть Netwrix Strongpoint, вы можете выполнить этот обзор всего одним простым поиском, описанным ниже.

Поиск административных скриптов

Вы захотите исключить скрипты, не представляющие риска мошенничества/SoD, такие как:

В нашем производственном аккаунте эти два фильтра устранили 90% скриптов.

Очистка сценариев

Netwrix Strongpoint EAAS Search объединяет всю необходимую информацию в одном представлении:

Мы сейчас воспользуемся документацией Netwrix Strongpoint для анализа оставшихся сценариев. Однако, вам может потребоваться просмотреть логику сценария, чтобы полностью определить проблему.

Проверка даты последнего использования

Первое, на что вы захотите посмотреть, это дата последнего использования. Если сценарий не запускается, то возможно, вы сможете устранить проблему отключением его.

Примечание: Дата последнего использования основана на данных журнала выполнения и требует запуска сценария в режиме отладки или аудита, как показано в журнале развертывания.

Если сценарий запущен или если вы не уверены, вы сможете увидеть все поля, которые касаются сценария, в столбце Источники данных. Это часто позволяет разрешить проблему, поскольку во многих случаях будет ясно, что сценарий не затрагивает какие-либо конфиденциальные поля (то есть те, которые имеют прямое или косвенное влияние на ГЛ). Возможно, вам придется просмотреть логику кода, чтобы установить, не создает ли код или не изменяет транзакции таким образом, что нарушается разделение обязанностей.

Как насчет рабочих процессов?

Регистрация событий приложения и операционных событий — это важная задача в I.T. операциях, используемая при аудитах и проверках угроз безопасности, контролирующая транзакционную активность в системах. Однако, проблема с традиционными процессами регистрации заключается в том, что обычно они зависят от тех же учетных записей и систем, которые могут быть скомпрометированы, влияя на ценность данных в отзывах по безопасности и аудитах от третьих сторон.

Мы придумали способ регистрации транзакций, который разделяет важные механизмы отслеживания, обеспечивая некоторую проверку и баланс в контроле над операционной регистрацией. Часто это делается дополнительно к традиционной I.T. регистрации и отслеживанию, предоставляя параллельный источник данных для операционных событий и действий для дополнительного понимания.

Что делает это решение по регистрации

Теперь мы можем просматривать внешний хранилище для всех событий со всех конечных точек, которые запустили сценарий. Logic Apps — это облачные ресурсы Microsoft, которые стоит недорого запускать и использовать, поэтому не требуется специальной инфраструктуры для настройки или управления, это просто облачная служба, которая работает на заднем плане для организации.

URI Logic App для получения журналов событий.

Отметка времени как unix epoch в тактах. Это комбинируется с именем хоста для создания ключа строки в таблице, уровень журнала.

PSCustomObject для хранения события

logPartition = Script1

logRowKey = $env:COMPUTERNAME + – + $timestamp

logLevel = $level

logEvent = $Message

для преобразования в JSON и отправки в Logic App

И затем фактическое вызов функции выглядит так, скажем, у нас есть информационное событие, которое завершается без ошибки или просто общее сообщение о состоянии:

New-ScriptLogEvent -LogLevel 0 -Message Информационные данные, которые вы хотите зарегистрировать

Чтобы разобраться в функции, она вычисляет быструю метку времени, преобразует уровень журнала обратно в текстовое поле, чтобы минимизировать ошибки с опечатками, и создает JSON для отправки. Метка времени необходима, потому что ключ строки в таблице хранения Azure должен быть уникальным, и в данном случае мы хотим, чтобы ключ строки был связан с именем узла. Особо следует отметить logPartition внутри пользовательского объекта. Это снова появится, когда мы дойдем до учетной записи хранения, но, фактически, вы можете использовать это как флаг в таблице для того скрипта, из которого пришли логи. В этом случае вам не нужно создавать новые таблицы для каждого скрипта, и один и тот же поток логического приложения можно использовать для нескольких скриптов, не добавляя новые приложения или таблицы.

JSON-данные, которые создает функция, выглядят следующим образом:

logEvent: Информационный вывод

4 значения, которые генерирует скрипт, помещаются в соответствующие места, и при его запуске будет добавлена строка в таблицу.

Последний кусок – учетная запись хранения, куда данные в конечном итоге поступают, когда скрипт выполняется и происходит событие, которое я хотел бы зарегистрировать.

Поскольку мы просто храним текстовые данные в строке, а лимит размера таблицы составляет 1 МБ на строку, мы можем хранить много данных в наших событиях. Обратите внимание, что мы не включили метку времени в функцию, таблица добавляет ее, когда строка добавляется.

Интересный факт о таблицах хранения Azure – у них нет схемы. Вы можете добавлять строки с разными столбцами, и они примут их прекрасно. Если у строки нет данных для определенного столбца, он просто будет пустым для этой строки. Поэтому, если нам нужно записать больше значений в другом скрипте, мы просто можем отредактировать функцию регистрации, чтобы записать эти дополнительные значения, и отредактировать логическое приложение с новой схемой, и оно примет дополнительные данные.

Что касается просмотра данных, Azure Storage Explorer может экспортировать таблицу в общий формат файлов CSV, который можно открыть в Microsoft Excel и выполнить всю необходимую фильтрацию. Мы также можем подключить это к Power Query и работать с данными там.

В целом, есть несколько способов выполнить регистрацию такого типа, как отправка этого типа данных в Лог-аналитику через REST API. Однако суть заключается в том, что есть способы проводить централизованную регистрацию, отдельную от традиционных механизмов регистрации, которые могут помочь аудиторам и экспертам по безопасности разобраться в событиях во время какой-то ситуации, где, надеюсь, отдельный журнал может заполнить пробелы в том, что произошло во время события.

Интеграция ваших внутренних систем

Transcend предлагает четыре метода для помощи в интеграции ваших внутренних информационных систем:

В зависимости от вашей текущей инфраструктуры и конкретных систем, с которыми вы хотели бы соединиться, вы можете выбрать разные методы. Эта страница поможет вам определить оптимальный подход для каждой системы.

Создание серверного webhookа – это простой процесс, и у нас есть пример кода, чтобы помочь вам по пути. Как только вы реализовали один webhook, любой дополнительный webhook будет выглядеть похоже, отличаясь в основном логикой пользовательского сценария.

## Пример скрипта на Python

Пример того, как будет выглядеть этот скрипт, можно найти [здесь](). Важно отметить, что с интеграцией cron job вам не потребуется запускать сервер для получения уведомлений от Transcend, поскольку скрипт будет извлекать ожидающие запросы.

## Ускорение процесса

Для дальнейшего ускорения этого процесса мы создали страницу, которая позволяет внутреннему персоналу просматривать и решать столько же ожидающих DSR, сколько им нужно, все в одном месте. Таким образом, AVC позволяет пакетную обработку ручных рабочих процессов, минимизируя необходимость повторения ручных процессов без нужды.

## Защита данных

В связи с чувствительным характером разглашения внутренней базы данных внешней системе, такой как Transcend, рекомендуется самостоятельно хостить наш шифровальный шлюз . Этот шлюз полностью изолирует Transcend от вашей базы данных, предотвращая действия, такие как запуск произвольных SQL-запросов. Transcend стремится к полностью нулевой архитектуре доверия, поэтому мы тщательно спроектировали этот решение, чтобы убедиться, что ваши данные находятся полностью вне нашего доступа.