12 Информационная безопасность
Luxms BI обладает расширенным функционалом по информационной безопасности (ИБ). Данный раздел описывает рабочее место офицера ИБ, журналы ИБ и возможности их настройки в Luxms BI.
Действия, описанные в разделе “Информационная безопасность” доступны только пользователям с лицензионной ролью Admin.
Рабочее место Офицера ИБ
Атлас “Аудит событий безопасности” (ds_infosec) является целевым атласом и основным рабочим местом для пользователя с сайтовой ролью Infosec (в различных компаниях обычно соответствует роли “Офицер ИБ”/“Администратор ИБ”) в Luxms BI.
Список дэшбордов атласа:
1) “События”. В нём отображается журнал ИБ. Информацию в нём можно просмотреть, отфильтровать и выгрузить в формате Excel.
2) “Сессии”. В этом дэше можно наблюдать сессии с валидным cookie и удалять их.
3) “События администраторов”. Этот дэш заполняется при включении настройки luxmsbi.audit.eventlog.targetTable в разделе “Администрирование”, экран “Конфигурация системы”. В активированном дэше отображается журнал ИБ администраторов системы.
4) “Процессы Data Boring”. В этот дэш попадают записи обо всех активных процессах Data Boring. В случае необходимости текущий процесс можно закрыть, нажав на кнопку Завершить процесс.
Дэшборд “События”
Для корректной работы дэшбордов “События” и “События администраторов” необходимы дополнительные настройки. Подробно процесс описан в “Руководстве Системного администратора”.
На рисунке ниже приведен пример дэшборда “События”.
Управляющий дэш (панель скрыта справа) позволяет фильтровать журнал ИБ. Например, оставлять в отчёте только один или несколько избранных типов событий. Фильтрация возможна по большинству столбцов таблицы. На рисунке ниже приведен пример отображения управляющего дэша, в котором отобраны только успешные удаления объектов.
Чтобы выгрузить журнал в формат Excel, откройте меню дэша и кликните на пункт контекстного меню “Скачать как”.
Для завершения скачивания отчёта, кликните по пункту “Скачать как xlsx”.
Регистрация событий безопасности
В целевом виде события ИБ приложения направляются на сервер коннекторов системы мониторинга и управления информационной безопасностью в формате CEF по протоколу syslog.
Регистрация событий безопасности выполняется средствами Системы. Хранение зарегистрированных событий осуществляется в журнале событий. В журнале событий регистрируются следующие операции (типы событий):
- Дата и время входа пользователя/выхода пользователя, попытки входа пользователя;
- Изменение полномочий пользователей;
- Изменение настроек;
- Выгрузка файлов;
- Блокировка и разблокировка пользователей;
- Действия администраторов;
- Действия пользователей.
На уровне приложения общий вид журнальной записи, совместимый с форматом CEF и содержащий обязательные и дополнительные поля, выглядит следующим образом:
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
|---|---|---|---|---|---|---|
| CEF:0 | vendor | product | version | eventClassId | message | severity |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
|---|---|---|---|---|---|---|
| src | dst | shost | suid | suser | msg | end |
Атрибуты (кроме 1, 2, 3) отделены друг от друга символом вертикальной черты “|”, а атрибуты с 10 и далее в виде пар “ключ=значение” – символом пробела ” ” или перевода строки. Поля 1 и 2 всегда содержат пробел ” ” в конце поля.
Пример строки: 1 2 3|4|5|6|7|8|9|10 ключ = 10 значение 11 ключ = 11 значение 12 ключ = 12 значение
Список полей журнальной записи приложения (отображаются на дэшборде):
| Порядок | Атрибут | Полное имя | Пример |
|---|---|---|---|
| 1 | created | Дата и время события | 2022-12-15 16:34:20.774791 |
| 2 | event_name | Наименование события | View dataset |
| 3 | event_severity | Важность события | 3 |
| 4 | event_type | Тип события | view |
| 5 | info | User - куки | d94a079b-1c05-4657-9db9-c4f41bd9858c |
| 6 | msg | Описание события | Открыт dashboard ds_et1.1 |
| 7 | outcome | Результат доступа | success |
| 8 | product | Объект доступа | Luxms BI[dev-bi-mi] |
| 9 | product_version | Версия | 8.10.2 |
| 10 | service_host | IP/Host адрес сервера, на котором запущен сервис | |
| 11 | user_ident | Идентификатор пользователя | adm |
| 12 | user_ip | IP-адрес пользователя | 213.221.41.40 |
| 13 | vendor | Имя компании-разработчика | YASP |
Каждая запись в журнал должна иметь определённый уровень важности. Таким образом, уровень важности становится средством категоризации записей в журнале и в интерфейсе системы мониторинга и управления информационной безопасностью. Значения Severity не являются нормативными и могут быть настроены в зависимости от информационной системы, в частности, такие события, как view и calculate.
| Уровень | Код | deviceEventClassId | name | msg (пример) |
|---|---|---|---|---|
| Low | 0-2 | |||
| Low | 3 | view | View {objects} list | Получен перечень {объектов} |
| Low | 3 | view | View {object} | Открыт {объект} {имя_объекта} |
| Low | 3 | create | Create {object} | Создан {объект} {имя_объекта} |
| Low | 3 | edit | Edit {object} | Изменен параметр {имяпараметра} в {объект} {имяобъекта} |
| Low | 3 | calc | Calculate {object} | Запущен расчет {имяпараметра} {имяобъекта} |
| Low | 3 | logout | System logout | Выполнен выход из системы |
| Medium | 4-5 | |||
| Medium | 6 | login | System login | Выполнен вход в систему |
| Medium | 6 | file_upload | Upload file to {object} | В параметр {имяпараметра} в {объект} {имяобъекта} загружен файл {имя_файла} |
| Medium | 6 | calc | Calculate {object} | Запущен расчет {имяпараметра} {имяобъекта} |
| Medium | 6 | file_download | Download {object} | Выгружен файл {имяфайла} [с результатами расчетa] {объекта}{имяобъекта} |
| High | 7 | |||
| High | 8 | delete | Delete {object} | Удален {объект} {имя_объекта} |
| High | 8 | login | System login | Неудачная попытка входа в систему |
| Very-High | 9-10 |
Параметры журнала ИБ
Параметры журнала ИБ настраиваются в разделе “Администрирование”, экран “Конфигурация системы” (соответствует таблице adm.configs в БД). Изменения параметров журнала ИБ фиксируются на дэшборде “События” либо “События администраторов” в зависимости от настройки, куда пишутся действия администраторов.
Журналирование действий администраторов
По умолчанию действия администраторов фиксируются на дэшборде “События” (таблица audit.events в БД). В Luxms BI существует возможность записывать действия администраторов в отдельный журнал – на дэшборде “События администраторов” (таблица audit.admin_events в БД).
В разделе “Администрирование”, экран “Конфигурация системы” найдите параметр luxmsbi.audit.eventlog.targetTable. По умолчанию его значение “events”. Поменяйте значение на “admin_events”, и действия администраторов будут фиксироваться на дэшборде “События администраторов”.
Глубина хранения журнала ИБ
За интервал хранения записей в журнале ИБ отвечает параметр luxmsbi.audit.eventlog.maxAge.
Поменяйте значение параметра, чтобы изменить глубину хранения записей в журнале ИБ.
Количество записей в журнале ИБ
За количество записей в журнале ИБ отвечает параметр luxmsbi.audit.eventlog.maxRecords.
По умолчанию максимальное количество записей – 100 000. Поменяйте значение параметра, чтобы сменить это число.
Если достигается максимальное количество записей, то записи старше установленного в параметре luxmsbi.audit.eventlog.maxAge значения отправляются на файловую систему, а лишнее удаляется.
Разрешённый процент заполнения журнала ИБ
Разрешённый процент заполнения журнала ИБ хранится в параметре luxmsbi.audit.eventlog.alertRatio.
Когда достигается значение этого параметра, на дэшборде “События” либо “События администраторов” появляется сообщение о переполнении журнала. Если на сервере настроен почтовый клиент, то администратор увидит в почте подобное сообщение: “Уважаемый администратор! Журнал событий заполнен на 85%. Возможно переполнение 2023-06-25. Робот службы поддержки Luxms BI”.
Очистка журнала ИБ
Очистка журнала ИБ выполняется автоматически в зависимости от настроек параметров luxmsbi.audit.eventlog.maxAge, luxmsbi.audit.eventlog.maxRecords, luxmsbi.audit.eventlog.alertRatio.
Также в БД Luxms BI существует таблица tm.tasks, где настраивается расписание задач AUDIT.CHECK и AUDIT.EXPIRED:
AUDIT.CHECK– задача проверяет процент заполненности журнала ИБ.AUDIT.EXPIRED– задача удаляет записи в журнале ИБ, если журнал заполнен на 100%.
Расписание задач устанавливается через выражения Spring Cron.
На скриншоте ниже приведён пример настройки этих 2 задач. AUDIT.CHECK выставлен на запуск каждые 5 минут в 00 секунд, AUDIT.EXPIRED выставлен на запуск каждые 10 минут в 00 секунд.
Очистка журнала ИБ фиксируется на дэшборде “События” либо “События администраторов”. Если на сервере настроен почтовый клиент, то администратор увидит в почте подобное сообщение: “Уважаемый администратор! Журнал событий заполнен на 100%. Выполнено удаление 676 записей старше 2023-06-02 06:01. Удаленные записи сохранены в /var/lib/pgpro/std-13/data/log/deleted_events_2023-06-02_08:01.csv. Робот службы поддержки Luxms BI”.
Управление сессиями
Удаление сессий
Все активные сессии можно увидеть на дэшборде “Сессии”.
На дэшборд выводится следующая информация о сессиях:
1) Пользователь (логин). 2) Сайтовая роль (в Luxms BI). 3) IP адрес. 4) Дата создания сессии. 5) Действия с сессией.
Администратор может удалить сессию, кликнув на кнопку “Удалить сессию” в нужной строке. После этого пользователь с удалённой сессией при первой же попытке совершить действие в системе попадёт на страницу авторизации Luxms BI.
Удаление сессии фиксируется на дэшборде “События” либо “События администраторов” в зависимости от настройки того, куда пишутся действия администраторов.
Параметры сессий
В разделе “Администрирование” на экране “Конфигурация системы” администратор может изменить следующие параметры управления пользовательскими сессиями:
1) HTTP.userSession.strictlyOne – при установке значения параметра на true будет запрещён вход в систему для двух и более пользователей с одним набором логин/пароль.
2) HTTP.userSession.cookie.expires – устанавливает время жизни печеньки (cookie) для всех сеансов.
3) HTTP.userSession.storage – отвечает за место хранения печеньки (cookie).
Все изменения в параметрах управления сессиями журналируются на дэшборде “События” либо “События администраторов” в зависимости настройки того, в какую таблицу пишутся действия администраторов.