- назначение Изделия;
- описание Изделия;
- описание взаимодействия Изделия с другим ПО;
- описание подсистем Изделия.
ИБ — информационная безопасность
ОС — операционная система
ИНС — искусственная нейронная сеть
ПО — программное обеспечение
ПЭВМ — персональная электронно-вычислительная машина
СУБД — система управления базами данных
УЗ — учётная запись
Изделие — ПО «Makves DCAP Enterprise»
API — Application Programming Interface или программный интерфейс приложения — код, позволяющий двум приложениям обмениваться данными
REST API — способ создания API с помощью протокола HTTP. В русскоязычных документах используется термин «передача состояния представления»
SWAG-GER — инструмент, помогающий при создании, документировании и проверке API (набор правил и протоколов, позволяющий осуществлять обмен информацией между различными системами).
Полное наименование Изделия: «Система контроля неструктурированных данных «Makves DCAP Enterprise».
1.2 Назначение Изделия
Изделие представляет собой инструмент для сбора и анализа информации об объектах и событиях корпоративной ИТ-инфраструктуры Заказчика. Изделие разработано в целях обеспечения своевременного реагирования на возможные события и состояния корпоративной ИТ-инфраструктуры, классифицируемые как несоответствия, аномалии или угрозы информационной безопасности
(далее — ИБ) вычислительной инфраструктуры Заказчика. В рамках своевременного реагирования внутренние алгоритмы Изделия обеспечивают:
— отображение несоответствий и событий, классифицируемых как подозрительные, обнаруженных угроз ИБ в графическом интерфейсе Изделия;
— оповещение ответственных сотрудников посредством рассылки уведомлений на адреса электронной почты и в корпоративные чаты некоторых мессенджеров;
— хранение архива рассылаемых оповещений в сетевой папке;
— запуск действий, предустановленных в Изделии, и настраиваемых администратором для случаев, требующих оперативного вмешательства, без ожидания реакции персонала;
— взаимодействие с сопряжёнными программными продуктами.
Архитектура Изделия реализована по модульной схеме, где каждый модуль (подсистема) реализовывает заданный ему функционал и/или обеспечивает поддержку определенной платформы неструктурированных данных.
Архитектура Изделия обеспечивает горизонтальное масштабирование, ориентированное на перспективу будущего увеличения инспектируемых ресурсов.
Независимо от объёмов инспектируемых ресурсов, в архитектуре Изделия реализовано централизованное управление, дающее ряд преимуществ — единую БД, единые правила и политики и пр.
Процесс установки обновления Изделия не предполагает наличия специальных знаний и навыков у персонала, а также не требует дополнительных настроек по его завершении.
Изделие может поставляться в различных конфигурациях:
— в базовой конфигурации (DCAP);
— в комплекте с системой управления УЗ и мониторинга прав доступа (IAM);
— в комплекте с системой регистрации и учета инцидентов (IRP).
2.2 Структура Изделия
Принципиальная схема Изделия представлена на рисунке 2.1.
В состав Изделия входят программные модули, перечисленные в настоящем подразделе.
2.3.1 Программный модуль «Makves-agent».
Модуль предназначен для сбора информации (мониторинга) о состояниях и событиях в инспектируемой ИТ-инфраструктуре. Инсталляционные пакеты выпускаются для ОС Microsoft Windows и Linux. Модуль может функционировать на серверах инспектируемой ИТ-инфраструктуры и АРМ конечных пользователей при использовании агентской схемы сбора данных, либо на специально выделенных серверах-коллекторах при использовании безагентской схемы сбора данных.
В процессе инсталляции модуля создаётся служба (сервис, юнит) с названием «Makves-agent», которая запускается автоматически при загрузке ОС. Сбор данных осуществляется посредством выполнения модулем шаблонного набора задач в соответствии с заданным расписанием. В графическом интерфейсе Изделия предусмотрена динамическая форма ввода настроек модуля, позволяющая конкретизировать сбор данных посредством указания определённых пользователей или групп, определённых системных журналов, файловых хранилищ в общем доступе. Модуль «Makves agent» пересылает файлы с полученными результатами серверу управления или в БД Системы.
2.3.2 Программный модуль «Makves-server».
Модуль предназначен для обеспечения основных функций Изделия — работы внутренних алгоритмов, работы графического интерфейса, взаимодействия с сопряжёнными программными продуктами, ввода, изменения и хранения настроечных параметров Изделия, обмена информацией с БД и пр.
В процессе инсталляции модуля создаётся служба с названием «Makves-server», которая запускается автоматически при загрузке ОС.
2.3.3 Программный модуль «Makvesnn_image»
Модуль ИНС для дополнительной классификации файлов на основе машинного обучения. Устанавливается в операционные системы Microsoft Windows, Astra Linux и Ubuntu. Сервер управления направляет модулю «Makvesnn_image» графический файл на предмет выявления информации, регламентируемой 152 Федеральным законом «О персональных данных». Модуль «Makvesnn_image» анализирует полученные данные, определяет наличие копий паспортов, ИНН, СНИЛС, водительских удостоверений, свидетельств на право собственности, договоров, доверенностей и прочих документов, содержащих конфиденциальную информацию (личную, финансовую, коммерческую и пр.). Сведения, полученные в результате анализа, направляются обратно серверу управления.
2.3.4 Программный модуль «Makvesnn_text»
Модуль ИНС для дополнительной классификации файлов на основе машинного обучения. Устанавливается в операционные системы Microsoft Windows, Astra Linux и Ubuntu. Сервер управления направляет модулю «Makvesnn_text» текстовый файл на предмет выявления устойчивых фраз, выражений, терминов и определений, свойственных информации, регламентируемой 152 Федеральным законом «О персональных данных». Модуль «Makvesnn_text» анализирует полученные данные, определяет наличие конфиденциальной информации. Сведения, полученные в результате анализа, направляются обратно серверу управления.
В главном меню графическом интерфейсе Изделия, в разделе «Настройки» размещены подразделы «Экспорт» и «Импорт», содержащие интегрированные формы для сохранения и восстановления настроек Изделия. Данные формы обеспечивают администратору простые механизмы для миграции или восстановлении с использованием файлов формата JSON.
Подраздел «Экспорт» позволяет администратору либо сохранить в файле все настройки Изделия, либо сохранить только выбранные настройки.
В подразделе «Импорт» интегрирован механизм, позволяющий перетащить нужный файл в окно импорта или вызвать проводник операционной системы, чтобы указать расположение нужного файла.
Количество ПЭВМ, необходимых для корректной работы Изделия, определяется на стадии разработки конкретного проекта, исходя из объёмов инспектируемых ресурсов. Минимальное количество ПЭВМ, необходимых для работы Изделия — три. Установка Изделия на одной ПЭВМ допускается в исключительных случаях, например, в демонстрационных целях или при минимальном объёме инспектируемых ресурсов.
ПЭВМ, задействованные при внедрении Изделия, относятся к одному из трёх типов:
— сервер БД;
— сервер управления;
— сервер-коллектор;
— сервер ИНС.
Сервер БД служит для хранения данных, полученных в ходе мониторинга инспектируемой ИТ-инфраструктуры, хранения оповещений, а также хранения настроек Изделия.
Сервер управления обеспечивает:
— работу графического интерфейса — вэб-консоли управления;
— работу алгоритмов, производящих аналитические расчёты и оценку рисков;
— выполнение предварительно настроенных действий;
— рассылку оповещений при возникновении определённых событий или состояний;
Сервер-коллектор проводит сбор данных и их перенаправление в БД Изделия в соответствии с настройками.
Сервер ИНС производит анализ текстовых и графических файлов на предмет содержания в них конфиденциальной информации.
Сбор данных может осуществляться двумя способами – с применением агентской или безагентской схемы.
В случае применения агентской схемы приложение «Makves-agent» устанавливается непосредственно на ПЭВМ инспектируемой ИТ-инфраструктуры и настраивается на пересылку полученных данных либо на сервер-коллектор, либо непосредственно на сервер управления. Пример агентской схемы приведён на рисунке 2.2.
Для выполнения функций, реализуемых Изделием, задействованы различные типы входных и выходных данных.
Корректная работа Изделия обеспечивается независимо от используемого в сети Интернет-протокола. Поддерживаются протоколы IPv4 и IPv6.
Связь между составными частями Изделия и другими элементами, входящими в инфраструктуру, представлена в таблице 2.1.
№ | Взаимодействие | Протокол | Порт | Назначение |
1 | Сервер управления – консоль управления | HTTP | 8000 | Веб-интерфейс |
2 | 8443 | |||
3 | Сервер управления – сервер БД | TCP | 5432 | Хранение данных |
4 | Сервер управления – почтовые уведомления | SMTP | 25, 465 | Отправка уведомлений по электронной почте |
5 | Сервер управления – LDAP авторизация | TCP | 389 | Авторизация доменных пользователей в веб-интерфейсе |
6 | Модуль «Makves-agent» – Active Directory (RSAT) | TCP | 9389 | Сбор данных из Active Directory |
7 | Модуль «Makves-agent» – файловые хранилища (SMB) | TCP | 445 | Сбор данных о директориях и файлах |
9 | Модуль «Makves-agent» – Eventlog | TCP | 135 | Сбор событий с контроллеров домена и файловых серверов |
10 | Сервер управления – сервер ИНС | HTTP | 8003, 8004 | Анализ файлов |
2.9.1 Алгоритм работы Изделия
Данные, полученные в результате работы модулей сбора информации, загружаются в БД Изделия.
Доступ к данным, хранящимся в БД, осуществляется через графический интерфейс Изделия, реализованный в виде консоли, запускаемой в адресной строке браузера.
Также посредством консоли осуществляются настройки Изделия.
На основе автоматического анализа загруженных данных в графическом интерфейсе Изделия отображается информация о рисках, угрозах и несоответствиях, обнаруженных в информационной инфраструктуре. Способ применения операционного воздействия, направленного на снижение или ликвидацию рисков и угроз,
выбирается Администратором Изделия и фиксируется в настройках Изделия, применимо к каждому типу риска или угрозы. Изделием может быть направлено уведомление ответственному лицу или выполнена предустановленная процедура.
Доступ к графическому интерфейсу Изделия возможен только после прохождения пользователем процедур идентификации и аутентификации. Набор прав, доступных для пользователя Изделия, определяется ролью, присвоенной его УЗ Администратором при создании.
2.9.2 Вызов и загрузка Изделия
Изделие устанавливается на ПЭВМ в соответствии с руководством по установке и настраивается в соответствии с руководством администратора.
Модули Изделия функционируют в виде сервисов ОС и участия пользователя не требуют.
Для загрузки консоли администрирования пользователю необходимо ввести в адресной строке браузера: http://localhost:8000/ и нажать кнопку «Ввод» на клавиатуре.
После этого появится окно с полями для ввода логина и пароля.
Настройки Изделия, управление Изделием и работа с Изделием возможна только с использованием графического интерфейса.
2.9.3 Аутентификация пользователя Изделия
Входные данные:
- учетное имя пользователя (логин);
- пароль.
Выходные данные:
- при положительном результате – числовой идентификатор учетной записи пользователя;
- при отрицательном результате – 0.
Отрицательный результат присутствует в следующих случаях:
- указан несуществующий логин пользователя Изделия;
- учетная запись пользователя Изделия заблокирована;
- указан неправильный пароль пользователя Изделия.
2.9.4 Контроль доступа пользователя к ресурсам
Входные данные: числовой идентификатор УЗ пользователя.
Выходные данные: список прав доступа УЗ найденного пользователя.
В зависимости от набора прав, предоставляемых УЗ пользователя Изделия, ему доступны определённые пункты меню. Раздел меню «Настройки» доступен УЗ пользователей, которым определена роль «Администратор». УЗ пользователей, которым определена роль «Пользователь», раздел меню «Настройки» не отображается.
2.9.5 Сбор, регистрация и хранение записей о событиях и состоянии объектов информационной инфраструктуры
Входные данные:
- записи системных журналов ПЭВМ, размещённых в локальной сети;
- записи о добавлении (исключении, внесении изменений) в домен УЗ пользователей и ПЭВМ;
- записи об изменениях в директориях общего доступа – создание, удаление и изменение файлов и папок.
Выходные данные:
- визуальное отображение и вывод на печатающее устройство отчётов Изделия, представленных в виде таблиц, графиков и диаграмм.
2.9.6 Регистрация и хранение записей о действиях пользователей Изделия
Входные данные:
- учетное имя пользователя Изделия;
- пароль пользователя Изделия;
- информация, вводимая пользователем Изделия с помощью клавиатуры.
Выходные данные:
- визуальное отображение и вывод на печатающее устройство записей журнала внутреннего аудита.
- инспекцию файлов, размещённых в облачных хранилищах;
- инспекцию баз данных формата SQL;
- отправку записей о событиях на сервер SYSLOG;
- взаимодействие с PCAP-сниффером;
- взаимодействие с сервером FPolicy;
- взаимодействие со службой Windows Event Collector;
- взаимодействие с системой аудита событий Linux Audit Daemon;
- взаимодействие с другими программными продуктами посредством REST API.
Данный тип сбора данных предназначен для инспекции содержимого файлов, размещённых в облачных хранилищах. Изделием поддерживаются хранилища следующих типов:
— FTP;
— Microsoft SharePoint;
— Amazon S3;
— R7 Office;
— Nextcloud.
Задача по сбору данных создаётся с помощью формы, предустановленной в Изделии. Администратору необходимо указать URL-адрес, имя пользователя и пароль.
3.2 Инспекция баз данных формата SQL
Изделие поддерживает, мониторинг баз данных формата SQL, реализованных на базе программных продуктов PostgreSQL, Microsoft SQL или MySQL. Задача по сбору данных также создаётся с помощью формы, предустановленной в Изделии.
При необходимости ест возможность задействовать внешние (размещённые в глобальной сети) классификаторы текстов и изображений, а также проверять информацию на наличие конфиденциальной информации, попадающей под регулирование различными стандартами.
3.3 Отправка записей о событиях на сервер SYSLOG
Данный тип сбора данных применяется в том случае, если для приёма файлов системных журналов в локальной сети развёрнут SYSLOG-сервер, на базе одного из программных решений для Unix-систем.
3.4 Взаимодействие с PCAP-сниффером
Данный тип сбора данных применяется в том случае, если в локальной сети организован перехват и анализ сетевого траффика (снифферинг) с использованием библиотеки PCAP (например, средствами ПО WireShark). Из всего сетевого трафика необходимо выбрать трафик, идущий по протоколу SMB или протоколу NFS.
Используя данную функцию, можно организовать получение данных от источников типа EMC Common Event Enabler (CEE).
3.5 Взаимодействие с сервером FPolicy
Данный тип сбора данных применяется, если в корпоративной сети заказчика используются системы хранения данных NetApp, оснащённые инфраструктурным компонентом операционной системы для хранения данных Data ONTAP, имеющим название FPolicy-сервер и применяемым для установки и отслеживания прав доступа к файлам.
3.6 Взаимодействие со службой Windows Event Collector
Данный тип сбора данных применяется, если в корпоративной сети настроен сервер с ролью коллектора логов (Windows Event Collector, или WEC).
3.7 Взаимодействие с системой аудита событий Linux Audit Daemon
Данный тип сбора данных применяется, если в корпоративной сети настроено ПО Linux Audit Daemon — среда, позволяющая проводить аудит событий в системе Linux и отслеживать многие типы событий для мониторинга и проверки системы, например:
— доступ к файлам;
— изменение прав доступа к файлам;
— просмотр пользователей, внёсших изменения файл;
— обнаружение несанкционированных изменений;
— мониторинг системных вызовов и функций;
— обнаружение аномалий, таких как сбои;
— мониторинг набора команд.
3.8 Взаимодействие с другими программными продуктами
В Изделии реализован инструмент SWAGGER, позволяющий использовать интерфейс REST API для обмена данными со сторонними программными продуктами. Доступ к инструменту разрешён только УЗ администраторов Изделия.
Для удобства использования в графическом интерфейсе Изделия реализован механизм поиска API по тегу.
Все подсистемы, входящие в Изделие, представлены в таблице 4.1.
Подсистема | Назначение |
П.ИАП – подсистема идентификации и аутентификации пользователей Изделия | Распознавание УЗ пользователя Изделия по его личному идентификатору – логину и проверки его подлинности с помощью пароля. |
П.РДП – подсистема ролевого доступа | Предоставление пользователю Изделия набора прав доступа на основе роли или ролей, присвоенных его УЗ администратором Изделия. Набором прав доступа определяется, какие пункты меню и функции доступны пользователю Изделия. |
П.ФМП – подсистема формирования меню в графическом интерфейсе Изделия | Формирование пунктов меню и кнопок функций в графическом интерфейсе Изделия на основании набора прав, присвоенных УЗ пользователя Изделия. Пункты меню, недоступные для пользователя Изделия, в графическом интерфейсе не отображаются. Функции Изделия, запуск которых выполняется нажатием на иконку с изображением, при отсутствии нужного набора прав либо не отображаются, либо видны пользователю, но неактивны. |
П.УБД – подсистема взаимодействия с СУБД | Регистрация и упорядоченное хранение информации о событиях и состояниях информационной инфраструктуры. Доступ к подсистеме взаимодействия с СУБД осуществляется через ГИ. |
П.УПР – подсистема управления | Подсистемой управления служит ГИ. Предназначена для администрирования, контроля и функционирования Изделия. |
П.СДИ – подсистема сбора данных | Сбор информации о событиях и объектах информационной инфраструктуры. Подсистема функционирует в режиме постоянного мониторинга. Реализована в форме исполняемого файла (агента), запускаемого с заданными параметрами по расписанию на ПЭВМ с установленным Изделием. Настройка агента сбора данных осуществляется с помощью подсистемы управления. |
П.СКД – подсистема автоматизированного анализа параметров УЗ пользователей, компьютеров, и групп пользователей домена | Анализ информации о событиях и объектах информационной инфраструктуры – УЗ пользователей, компьютеров, и групп пользователей домена, с применением внутренних алгоритмов Изделия. Результаты анализа отображаются в подсистеме управления с целью выявления возможных несоответствий. |
П.ППЯ – подсистема автоматизированного анализа почтовых ящиков на сервере Microsoft Exchange | Анализ прав доступа к почтовым ящикам на сервере Microsoft Exchange, размещённом в информационной инфраструктуре, с целью выявления почтовых ящиков, имеющих совместный доступ нескольких доменных пользователей или групп, и могущих служить источником рассылки нежелательного контента (спама). |
П.ААЖ – подсистема автоматизированного анализа журналов системных событий | Анализ записей журналов системных событий, полученных из подсистемы сбора данных. Выявляет события, требующие оперативного вмешательства лиц, ответственных за обеспечение ИБ. |
П.ААФ – подсистема автоматизированного анализа файлов в общем доступе | Анализ информации о файлах, размещённых в файлах общего доступа – владельцах файлов, правах доступа к файлам, дате и времени создания, дате и времени последнего изменения, дате и времени последнего открытия. |
П.ААК – подсистема автоматизированного анализа компьютеров и установленных лицензий, приложений и профилей пользователей | Анализ компьютеров, размещённых в информационной инфраструктуре, с целью получения информации о приложениях, установленных на компьютерах, профилях пользователей, выявления нелицензионного ПО. |
П.АКС – подсистема автоматизированного анализа данных из кадровых систем | Анализ данных, загруженных из кадровых систем в БД. Цель функционирования подсистемы – своевременное получение и отображение в графическом интерфейсе Изделия информации о кадровых событиях – приёме, увольнении, изменении должностных обязанностей, влияющих на изменение спектра полномочий УЗ пользователей домена. |
П.АОР – подсистема автоматизированной оценки рисков | Выявление событий и объектов информационной инфраструктуры, предположительно представляющих опасность ИБ и требующих оценки лицом, отвечающим за обеспечение ИБ. |
П.ААД – подсистема автоматизированного анализа документов | Выявление в текстовых, графических и иных документах, возможного содержания персональных данных, конфиденциальной, финансовой или коммерческой информации. Реализуется в виде поиска информации с использованием специальных фраз и выражений. |
П.ФОУ – подсистема формирования и отправки уведомлений по электронной почте | Отправка уведомлений на адреса электронной почты. События и объекты, требующие отправки уведомлений, а также адреса электронной почты, на которые необходимо направить уведомления, задаются администратором Изделия в его настройках. |
П.АПР – подсистема автоматизированного подбора рекомендаций по устранению угроз и снижению рисков | Автоматизированный подбор рекомендаций по устранению обнаруженных угроз и снижению выявленных рисков пользователями Изделия, в ручном режиме, без применения предустановленных процедур. |
П.АУР – подсистема автоматического устранения рисков и угроз | Автоматическое устранение обнаруженных угроз и рисков без участия пользователей Изделия, с применением предустановленных процедур. |
П.БЗУ – подсистема базы знаний | Создание пользователями Изделия базы данных, содержащей информацию о потенциальных и обнаруженных рисках и угрозах – компьютерных вирусах, программах-вымогателях, действиях злоумышленников. |
П.АПП – подсистема анализа поведения пользователей и сущностей | Мониторинг и выявление УЗ и групп пользователей, имеющих уникальные или привилегированные наборы прав или иные отклонения от политик безопасности домена. |
П.ИНС – подсистема искусственной нейронной сети | Анализ изображений и текстов на предмет содержания в них конфиденциальной информации, регулируемой стандартами защиты данных |
П.ЭОП – подсистема визуального отображения данных, экспорта в файл и вывода на печать | 1. Отображение на экране подсистемы управления информации, обрабатываемой Изделием, в информативной и удобной форме – в виде таблиц, графиков и диаграмм; 2. Экспорта отображаемой информации в файлы форматов PNG, CSV, XLSX, JSON и HTML; 3. Вывода на печать отчётных форм Изделия. |
Взаимодействие подсистем Изделия показано на рисунке 4.1
Связь «П.ИАП — П. РДП» определяет процесс определения роли (или ролей), предоставленной УЗ пользователя Изделия. На основании информации об УЗ пользователя, полученной из подсистемы идентификации и аутентификации, определяется набор прав УЗ пользователя.
Связь «П.РДП — П. ФМП» определяет процесс формирования пунктов меню в графическом интерфейсе Изделия. В соответствии с разрешениями и запретами, назначенными каждой из ролей, определяется, какие из пунктов меню будут отображены, а какие скрыты.
Информация об отображаемых и скрытых пунктах меню передаётся в ГИ посредством связи «П.ФМП — П. УПР».
Связь «П.СДИ — П. УБД» определяет процесс загрузки данных, загруженных в результате работы агента по сбору данных, в БД. Загрузка данных происходит с периодичностью, заданной в настройках Изделия.
Связь «П.УПР — П. УБД» служит для процессов:
— отправки запросов к БД;
— получения информации из БД.
Также с помощью П. УПР администратор Изделия может произвести следующие действия;
— выборочное удаление записей из БД;
— импорт данных в БД из файла;
— экспорт данных из БД в файл.
Связь «П.ЭОП — П. УПР» определяет процесс формирования отчётных форм Изделия, отображаемых в графическом интерфейсе Изделия, экспортируемых в файлы различных форматов и выводимых на печатающее устройство.
Процессы запуска встроенных процедур Изделия, направленных на предотвращение угроз и снижение рисков определяются связью подсистем анализа с П.АУР.
Связь подсистем анализа с П. ФОУ определяет процесс формирования и отправки уведомлений в формате писем электронной почты.
Связь «П.БЗУ — П. ЭОП» определяет процессы отображения в графическом интерфейсе Изделия и экспорта в файл формата JSON информации из базы знаний.
Связь «П.УПР — П. ИНС» служит для отправки с целью проведения анализа и получения результатов текстовых и графических файлов.
Связь П. УПР с подсистемами анализа определяет процессы формирования отчётных форм Изделия и отображения их в графическом интерфейсе Изделия.
Связи между информационной инфраструктурой и подсистемами Изделия отражены в таблице 4.2.
Таблица 4.2
Взаимодействие | Протокол | Порт | Назначение |
Отправка почтовых уведомлений П.ФОУ | SMTP | 25, 465 | Отправка уведомлений по электронной почте |
Получение данных из Active Directory П.СДИ | TCP | 9389 | Сбор данных о доменных УЗ пользователей и группах из Active Directory |
Получение данных о папках и файлах, размещённых в общем доступе П.СДИ | TCP | 445 | Сбор данных (владелец, права доступа, время создания, время открытия, время внесения изменений) о директориях и файлах, размещённых в общем доступе локальной сети |
Получение данных из журналов системных событий П.СДИ | TCP | 135 | Сбор записей из журналов системных событий серверов и клиентских ПЭВМ |
Отправка и получение информации об анализе файлов в П.ИНС | HTTP | 8003, 8004 | Выявление изображений и текста, содержащих конфиденциальную информацию |
Принадлежность интерфейсов и функций к подсистемам Изделия указана в таблице 4.3.
Таблица 4.3
Подсистема | Интерфейс | Функции |
П.СДИ | Программный интерфейс сбора данных | — сбор и анализ информации об объектах и событиях информационной инфраструктуры по расписанию или в ручном режиме; — мониторинг системных журналов контроллеров домена и клиентских компьютеров; — сбор информации об УЗ пользователей домена, с выявлением отключенных, неактивных и заблокированных, использующих пароль без срока действия или необходимой авторизации, использующихся сервисных и административных УЗ, групп без пользователей и пр.; — поиск и выявление файлов с определёнными характеристиками в папках общего доступа; — поиск почтовых ящиков пользователей почтового сервера MS Exchange, к которым имеют доступ несколько УЗ или групп |
П.УБД | Программный интерфейс хранения данных | — регистрация и хранение в БД записей об объектах и событиях информационной инфраструктуры; — регистрация и упорядоченное хранение событий ИБ в БД. |
Подсистемы анализа: П.СКД; П. ППЯ; П.ААЖ; П.ААФ; П.ААК; П.АКС; П.АОР; П.ААД; П.ААП; П.АПР; П.ИНС | Программный интерфейс анализа данных | — оценка рисков информационных активов; — запуск встроенных настраиваемых процедур защиты, обеспечивающих выполнение ряда функций; — аудит файлов и папок, размещённых в общем доступе, и прав доступа к ним — выявление файлов и папок с открытым доступом, фиксация нарушения правил и политик организации доступа, утверждённых политиками безопасности и пр. — обнаружение атипичной активности — одновременное создание большого числа УЗ, создание УЗ с уникальными правами и пр. — выявление конфиденциальной информации, нахождение которой на ресурсах общего доступа недопустимо |
П.ФОУ | Программный интерфейс для отправки уведомлений | — оповещение по электронной почте сотрудников, ответственных за обеспечение ИБ
|
П.ЭОП | Графический пользовательский интерфейс работы для работы с отчётами по собранным данным | — отображение на экране и вывод на печатающее устройство отчётных форм, представленных в виде таблиц, графиков и диаграмм; — экспорт в файлы отчётов Изделия
|
П.ИАП | Графический пользовательский интерфейс для работы с Изделием | — идентификация/аутентификация пользователей Изделия
|
П.РДП | — разграничение доступа к информации, обрабатываемой Изделием | |
П.ФМП |