Запись действий и расследование инцидентов

Name: Запись действий и расследование инцидентов
Brand: Индид
Availability: InStock
Rating: 5 (10 reviews)

Решение на основе Indeed PAM фиксирует действия привилегированных пользователей для расследования инцидентов

Indeed PAM: фиксация и контроль действий в привилегированных сессиях

Привилегированные сессии — это не просто подключения к критичным ресурсам. Каждая сессия несет в себе действия, которые могут повлиять на работоспособность инфраструктуры, сохранность данных и безопасность организации. Без фиксации того, что именно происходило во время сессии, компания лишается возможности расследовать инциденты, контролировать подрядчиков и восстанавливать системы после сбоев.

Indeed PAM обеспечивает полный цикл работы с артефактами привилегированных сессий: от автоматической записи действий в различных форматах до централизованного хранения и оперативного доступа к материалам через консоль администратора.

Зачем фиксировать действия в привилегированных сессиях

Контроль привилегированного доступа не заканчивается на этапе выдачи разрешения. Критично понимать, что именно происходило после того, как пользователь получил доступ к ресурсу: какие команды выполнялись, какие файлы передавались, какие окна открывались и что вводилось с клавиатуры.Без записи действий организация не может ответить на ключевые вопросы: кто внес изменение, приведшее к сбою, выполнил ли подрядчик только согласованные работы, какие действия предшествовали инциденту безопасности. Артефакты сессий превращают привилегированный доступ из «черного ящика» в прозрачный и проверяемый процесс.Indeed PAM автоматически фиксирует действия пользователей в привилегированных сессиях и сохраняет артефакты для последующего анализа. Это позволяет расследовать инциденты на основе фактических данных, контролировать выполнение задач подрядчиками и восстанавливать контекст действий при устранении последствий сбоев.

Примеры использования:

После сбоя на сервере баз данных команда эксплуатации анализирует артефакты сессий и определяет, какие именно команды привели к проблеме и кем они были выполнены.
Подрядчик выполнял работы на Linux-сервере. По завершении заказчик проверяет текстовый лог и видеозапись сессии, чтобы убедиться, что работы соответствовали согласованному плану.
При расследовании инцидента безопасности служба ИБ поднимает запись сессии и восстанавливает полную картину действий привилегированного пользователя.

Поддержка различных форматов фиксации действий

Разные типы сессий и разные задачи контроля требуют различных форматов записи. Видеозапись позволяет увидеть полную картину происходящего на экране, текстовый лог дает возможность быстро найти конкретную команду, перехват файлов фиксирует передачу данных, а текстовое логирование на основе PAM Agent регистрирует клавиатурный ввод и запускаемые процессы.Indeed PAM поддерживает несколько форматов фиксации действий в привилегированных сессиях:

Видеозапись сессии — запись потокового видео с возможностью последующего просмотра и анализа.
Текстовый лог — фиксация действий пользователя, выполняемых команд и других событий в рамках сессии.
Перехват переданных файлов — сохранение файлов, передаваемых в ходе сессии.
Снимки экрана — периодическая фиксация визуального состояния сессии для дополнительного контроля.

Набор сохраняемых артефактов определяется политиками: администратор гибко настраивает, какие форматы записи активны для конкретных пользователей, учетных записей или ресурсов.

Примеры использования:

Для сессий подрядчиков включены все форматы записи: видео, текстовый лог, перехват файлов и снимки экрана, чтобы обеспечить максимально полную фиксацию действий.
Для SSH-сессий администраторов Linux сохраняется текстовый лог с полным вводом/выводом, что позволяет быстро найти выполненную команду по ключевому слову.
Для RDP-сессий к Windows-серверам ведется видеозапись и перехват файлов, чтобы контролировать не только действия на экране, но и передачу данных.

Централизованное хранилище артефактов сессий

Артефакты привилегированных сессий — видеозаписи, снимки экрана, текстовые логи и перехваченные файлы — необходимо надежно хранить и обеспечивать к ним оперативный доступ. Данные должны быть доступны для анализа вне зависимости от того, через какой сервер доступа была открыта сессия.Indeed PAM сохраняет медиаданные сессий в централизованном хранилище, к которому обращаются компоненты системы. Система поддерживает несколько типов хранилищ, позволяя организации выбрать подходящий вариант в зависимости от инфраструктуры и требований:

SMB-хранилище — сетевое файловое хранилище на основе протокола SMB.
NFS-хранилище — сетевое файловое хранилище на основе протокола NFS.
S3-хранилище — объектное хранилище на основе протокола S3 с поддержкой MinIO.

Артефакты сохраняются автоматически, а для управления объемом хранилища поддерживается автоматическая ротация: видеозаписи, снимки экрана и переданные файлы удаляются по истечении заданного срока хранения.
Примеры использования:

Организация с Linux-инфраструктурой использует NFS-хранилище для централизованного сбора артефактов со всех серверов доступа.
Компания с Windows-инфраструктурой настраивает SMB-хранилище для хранения видеозаписей и снимков экрана с автоматической ротацией через 90 дней.
Для долгосрочного хранения артефактов используется S3-совместимое объектное хранилище на базе MinIO.

Работа с артефактами в консоли администратора

Собранные артефакты бесполезны, если к ним невозможно быстро получить доступ. При расследовании инцидента или проверке действий подрядчика администратору нужно оперативно найти нужную сессию, просмотреть видеозапись, изучить текстовый лог или скачать перехваченные файлы.Indeed PAM предоставляет инструменты для работы с артефактами прямо в консоли администратора. Система позволяет найти нужную сессию по пользователю, ресурсу, учетной записи, типу подключения или причине. Для каждой сессии доступны все сохраненные артефакты:

Видео — просмотр и скачивание записи потокового видео сессии.
Текстовый лог — просмотр и скачивание текстового лога сессии.
Снимки экрана — просмотр и скачивание снимков экрана сессии.
Переданные файлы — скачивание файлов, которые были переданы на ресурс или получены с ресурса во время сессии.

Журнал сессий можно выгрузить в файл формата CSV или XLSX для анализа в сторонних системах. В выгрузку попадают сведения о пользователе, учетной записи, ресурсе, длительности, типе подключения, времени начала и завершения сессии.

Примеры использования:

Администратор безопасности находит нужную сессию, просматривает видеозапись и текстовый лог, чтобы восстановить последовательность действий.
После обнаружения проблемы на сервере инженер скачивает текстовый лог за нужный период и определяет, какая команда привела к сбою.
Руководитель проекта выгружает журнал сессий подрядчика в XLSX и передает его в составе отчета о выполненных работах.

Политики ограничений и автоматический разрыв сессии

Запись действий — важная, но реактивная мера. Для снижения рисков в реальном времени необходимо ограничивать потенциально опасные действия и автоматически прерывать сессии при нарушении установленных правил.Indeed PAM позволяет настраивать политики, которые не только фиксируют, но и ограничивают действия в привилегированных сессиях:

Максимальная длительность сессии — сессия принудительно завершается по истечении заданного времени, исключая ситуации, когда привилегированное подключение остается активным на неопределенный срок.
Прерывание при отсутствии активности — если пользователь не взаимодействует с сессией в течение заданного времени, она автоматически разрывается.
Контроль SSH-команд — администратор составляет списки разрешенных или запрещенных команд. При вводе запрещенной команды выполняется отмена или принудительное завершение сессии.
Контроль передачи файлов — можно ограничить или запретить передачу файлов по протоколам SCP и SFTP, а также контролировать передачу файлов в сценариях RDP.
Контроль периферийных устройств — для RDP-сессий настраивается доступ к перенаправлению буфера обмена, дисков, принтеров, портов и смарт-карт.

Примеры использования:

Для подрядчиков установлена максимальная длительность сессии 2 часа. По истечении этого времени сессия завершается автоматически, даже если подрядчик не закрыл подключение.
При отсутствии активности пользователя более 30 минут сессия автоматически разрывается, предотвращая ситуации с «забытым» привилегированным подключением.
В SSH-сессиях запрещены команды удаления данных. При попытке выполнить запрещенную команду сессия принудительно завершается, а событие фиксируется в журнале.

Контроль активной сессии и принудительное прерывание

В ряде ситуаций недостаточно анализировать артефакты только после завершения сессии. Администратору безопасности важно видеть активные подключения, оперативно получать актуальные данные по ним и при необходимости немедленно вмешиваться.Indeed PAM предоставляет раздел со всеми активными сессиями, где отображаются текущие подключения с информацией о пользователе, ресурсе, учетной записи, длительности и типе подключения. Для активной сессии администратор может перейти в ее профиль, получить актуальные данные по доступным артефактам, просматривать стрим сессии в реальном времени и оценивать ход работ без ожидания завершения подключения.Если действия пользователя вызывают подозрения или представляют угрозу, администратор может принудительно прервать сессию из консоли, не дожидаясь ее завершения. Это позволяет оперативно остановить потенциально опасные действия на критичных ресурсах.

Примеры использования:

Администратор безопасности отслеживает список активных подключений подрядчиков и при необходимости переходит в профиль конкретной сессии для оперативной проверки.

При получении оповещения о подозрительной активности сотрудник ИБ открывает активную сессию в консоли администратора, просматривает доступные данные и при необходимости прерывает сессию.
Во время плановых работ на инфраструктуре руководитель контролирует ход выполнения задач по списку активных сессий и состоянию текущих подключений.

Демонстрация работы решения

Посмотрите короткий ролик о контроле и записи действий привилегированных пользователей или запланируйте демонстрацию

Технические характеристики Indeed PAM

Поддерживаемые платформы для развертывания

Типы ресурсов, поддерживающие сервисное подключение

Доступные типы пользовательских подключений

Поддерживаемые типы учетных данных

Поиск привилегированных учетных записей и управление паролями

СУБД

Поддерживаемые каталоги пользователей

Технологии двухфакторной аутентификации

Поддерживаемые типы записи сессий

Интеграция с компонентами инфраструктуры

Перейти на продуктовую страницу Indeed PAM

Другие решения Indeed PAM

Защита цепочки поставок
Защита паролей привилегированных учетных записей

Indeed ITDR

Комплексная защита инфраструктуры айдентити

Indeed AM

Управление доступом к цифровым активам компании с возможностью многофакторной аутентификации (MFA)

Indeed CM

Централизованное управление жизненным циклом ключевых носителей и сертификатов

Octopus IdM

Централизованное управление привилегиями и доступом к цифровым активам компании

BearPass

Безопасное хранение и администрирование корпоративных паролей и других секретов

Indeed MFA

Усиленная защита корпоративных данных с использованием технологий многофакторной аутентификации

Российские компании уже пользуются
Indeed PAM

Мы выбирали систему PAM среди российских решений и остановили свой выбор на решении Indeed PAM от компании «Индид», как на самом оптимальном варианте в плане эффективности, удобства и бюджета. У этого вендора было самое лучшее предложение.

Indeed PAM уже помог нам создать дополнительный уровень защиты внутри сети и за ее пределами. Это важный шаг для укрепления безопасности инфраструктуры и сбережения ценных активов. Indeed PAM – надежный инструмент, позволяющий эффективно контролировать доступ и отслеживать действия привилегированных пользователей в критичных системах.

С помощью экосистемы продуктов компании «Индид» мы усилили безопасность нашей компании, исключив использование уязвимых паролей нашими сотрудниками. Вместо привычных паролей, которые не всегда соответствовали требованиям безопасности и были сложны для запоминания, сегодня используется двухфакторная система аутентификации.

«Мы оценивали качество работы специалистов вендора в части настройки продукта для пилотного тестирования и в части реализации сложных технических задач по интеграции с компонентами нашей ИТ-инфраструктуры. Надо сказать, мы не разочаровались в выборе. В поддержку обращаемся часто, помогают оперативно. Компания «Индид» уделяет большое внимание развитию своих продуктов и регулярно выпускает новые версии. И главное – разработчики прислушиваются к нашим пожеланиям по развитию продукта.»

Связаться с нами

Оставьте свои контактные данные, и наши эксперты расскажут, как предотвратить угрозы для кибербезопасности с помощью специализированных решений команды Индид