Практическое использование DLP-системы DeviceLock в корпоративной среде банка

Часть 4. Работа с журналами аудита и теневого копирования

Илья Кузьминов

Виды журналов аудита в DeviceLock

Ограничение размера логов агентов на сервере DeviceLock

Особенности работы с логом через интерфейс консоли DeviceLock

Особенности работы с теневым хранилищем

Правила фильтрации по содержимому. Использование возможностей модуля ContentLock

 

Программный комплекс DeviceLock Endpoint DLP Suite разработки российской компании «Смарт Лайн Инк» предназначен для управления доступом пользователей ОС семейства Windows к периферийным устройствам хранения и обработки данных, каналам сетевых коммуникаций, а также для контроля действий пользователей с устройствами и сетевыми протоколами (чтение, запись файлов, форматирование) и контроля содержимого переданных файлов и данных.
Возможности продукта и механизмы управления им подробно описаны на сайте разработчика и в руководстве пользователя. Данный цикл статей посвящен рассмотрению неочевидных нюансов, с которыми мы столкнулись в практике использования DeviceLock Endpoint DLP Suite в банковской корпоративной среде и которые необходимо учитывать при развертывании и эксплуатации программы в достаточно большом домене.
В четвертой статье цикла речь идет о некоторых нюансах работы с журналами аудита и теневого копирования в DeviceLock Endpoint DLP Suite.

Виды журналов аудита в DeviceLock

Агенты DeviceLock фиксируют операции с теми или иными внешними устройствами, в том числе несостоявшиеся по причине запрета доступа операции. К ним относятся операции подключения и извлечения внешних устройств, чтения и записи файлов с них/на них, создания и удаления файлов, операции отправки документов на печать (в том числе на виртуальные принтеры), операции прожига дисков (в том числе записи образов дисков). В отношении синхронизированных с рабочей станцией смартфонов возможно более детальное логирование, где раздельно отображаются такие операции, как работа с записями календаря, контактов, заметок и т.д. Автор не рекомендует включать два вида логирования: операций с жестким диском и операций с буфером обмена. Первые настолько многочисленны, что их логирование замедляет работу целевой рабочей станции, вызывает стремительный рост размера базы данных с записями лога на сервере и неконтролируемое разрастание transaction log SQL-сервера, к которому подключен сервер DeviceLock.

Агенты могут вести два вида логов: Event Log и DeviceLock Log (настраивается в Service Options —> Auditing&Shadowing —> Audit log type). Их различие заключается в том, что первый хранится локально на машине и доступен для просмотра любому пользователю, а второй может быть отправлен на сервер при отключенной на агенте Default Security, а пока хранится локально — доступен для просмотра только учетным записям в списке DeviceLock Administrators. Поэтому не удивляйтесь, когда в списке записей в логе агента вы обнаружите строки, которые не исчезают из списка и не появляются в списке на сервере, сколько бы вы ни нажимали кнопку Send Data To Server.

Агенты DeviceLock также ведут теневое копирование файлов, записываемых на различные устройства. Подлежат теневому копированию в первую очередь запись на Removable, CD/DVD, Floppy, а также отправка документов на печать. В режиме теневого копирования файл, записываемый на внешнее устройство, одновременно записывается в промежуточное хранилище агента DeviceLock на локальной машине. Агент, в зависимости от настроек, может переправлять файлы на сервер и удалять их из локального хранилища. Сервер может хранить сами файлы как в директории на жестком диске, так и в базе данных SQL. Последнее не рекомендуется, поскольку это будет вызывать разрастание базы данных за счет неиндексируемых массивов данных. Более предпочтителен первый вариант, когда сами файлы хранятся в директории на жестком диске, а индекс для быстрого доступа к файлам — в базе данных SQL.

Работа с агентами DeviceLock без сервера возможна. Можно настроить лимит размера локального хранилища логов и теневых файлов и порядок действий при достижении лимита (прекращение логирования; блокировка возможности дальнейшей записи на внешние устройства; удаление старых записей в хранилище). Можно подключаться к каждому агенту по очереди с помощью DeviceLock Management Console и просматривать логи и файлы теневого хранилища. Однако такая модель неудобна, поэтому в дальнейшем речь идет только о работе с логами с подключением к серверу DeviceLock.

Сервер DeviceLock хранит три вида записей: уже описанные логи и теневые копии файлов, а также Server Log — записи о событиях, связанных с самим сервером. Последние состоят из сообщений о получении запросов от агентов на сбор с них логов, о начале копирования логов с агентов и успешном завершении копирования. В оптимальных условиях передача идет на шестом уровне аутентификации RPC и в логе нет сообщений о понижении уровня аутентификации до первого или другого. В случае ошибок при сборе данных в записях логов присутствуют стандартные коды ошибок Windows, по которым легче установить причину неполадок.

Ограничение размера логов агентов на сервере DeviceLock

При работе с логом, особенно не очень большого размера (до 2-3 млн записей) и на мощном сервере (на примере сервера с 22 Гбайт оперативной памяти), не возникает никаких затруднений. Пролистывание страниц, сортировка по полям, выдача результатов фильтрации происходят мгновенно. При работе с логом в 10-15 млн записей на менее мощном сервере (первые гигабайты оперативной памяти, не такие быстрые жесткие диски) время ожидания при пролистывании страниц и применении фильтров составляет минуты, а сортировка по полю вызовет, скорее всего, зависание консоли. В связи с этим, если нет возможности ограничить поступающий поток логов (например, отключить логирование чтения с устройств и оставить только логирование записи) и развернуть мощный сервер, остается три пути:

  • настроить автоматическое удаление старых записей лога на сервере по достижении определенного количества записей в логе. Недостаток метода — вы не сможете хранить записи о действиях пользователей годами, что бывает полезно и даже необходимо по требованию регуляторов в крупной компании, особенно в финансовом секторе;
  • регулярно обрезать старую (например, старше месяца) часть таблицы [DeviceLock DB].[dbo].[DLAuditLog], сохраняя ее копию в отдельную базу данных;
  • изредка обрезать старую часть таблицы и вообще не работать с логом через интерфейс консоли DeviceLock, а выполнять все те же операции — фильтрация логов по содержимому полей, вывод записей в порядке возрастания/убывания значений в полях — командами transact-SQL, подключаясь к SQL-серверу через SQL Management Studio.

Заметьте — среди них нет выборочного удаления записей лога. Дело в том, что в логе аудита невозможно удалить отдельные записи, его можно только целиком очистить, что принципиально отличает его от лога теневого копирования. Для удаления всего лога нужно щелкнуть правой кнопкой мыши на строке Audit log и нажать Clear Log. К слову, пункт Clear Log не будет доступен для нажатия, если щелкнуть правой кнопкой на Audit Log, не выбрав прежде этот пункт левой кнопкой и не дождавшись, когда лог загрузится в окне консоли. Таким образом, если лог слишком большой, очистить его через интерфейс консоли будет просто невозможно. До загрузки лога очистить его нельзя, а его загрузка в окно консоли вызовет ее зависание. Таким образом, в случае необходимости полностью удалить очень большой лог следует прибегнуть к SQL-запросу: use DeviceLock DB exec DLClearAuditLog null (указано имя базы данных по умолчанию — DeviceLock DB).

Особенности работы с логом через интерфейс консоли DeviceLock

Если все­таки работать с логом, хранящимся на сервере, через интерфейс консоли DeviceLock (строка Audit Log Viewer), необходимо помнить о некоторых тонкостях, в противном случае вы столкнетесь с неприятными неожиданностями:

пока лог не пролистан, его нельзя экспортировать. В текстовый файл будет экспортировано столько, сколько пролистано на экране. А листать длинный лог очень долго. Поэтому функция экспорта логов лишь ограниченно полезна: она применима, когда нужно выгрузить несколько сотен записей (например, список, отфильтрованный по учетной записи, или по компьютеру, или по типу устройства за несколько дней);

при фильтрации лога можно включить фильт­рацию одновременно и на включение, и на исключение — на двух разных вкладках окна, при этом предусмотрена возможность включать/исключать несколько типов событий: достаточно указать несколько критериев, разделяя их точкой с запятой (;) без пробелов, например так: «Set Permissions; Direct Access»;

при фильтрации по имени учетной записи пользователя/компьютера нужно писать учетную запись в полной нотации с указанием домена либо использовать астериски (*).

Особенности работы с теневым хранилищем

Существуют свои особенности и при работе с теневым хранилищем.

Не удивляйтесь, если некоторые файлы с нормальным расширением не будут открываться при наличии программ для их чтения. Дело в том, что агенты DeviceLock делают теневые копии всех данных, которые пишутся непосредственно на носитель. Если файл *.doc запускается, например, с флэш­карты и затем редактируется, то в теневое хранилище в виде отдельных файлов *.doc будут сохранены изменения, сделанные в файле. Такие файлы, если они главным образом содержат текст, как правило, очень хорошо сжимаются. Если открыть такую теневую копию любым Hex-редактором (например, WinHex), можно увидеть, что до определенного смещения в файлах есть данные, а потом идут нули — этим объясняется хорошая сжимаемость файлов. Открыть файлы предназначенной для них программой не удается потому, что ей не хватает данных в файле для его обработки.

При записи большого файла на внешний носитель, например при прожиге DVD, его теневая копия даже не появляется в локальном теневом хранилище агента, но в теневом хранилище на сервере DeviceLock появляется тоже не сразу. Это нормально. Компонентам нужно время на передачу данных по сети, а затем серверу нужно время, чтобы «собрать» и проверить теневую копию на предмет ее корректности. Это справедливо и для небольших файлов, просто для них задержки по времени не очень существенны и порой незаметны.

Нет приоритета передачи маленьких файлов теневого копирования на сервер по отношению к большим. В очередь для передачи данных на сервер встают агенты DeviceLock, а файлы передаются на сервер в порядке времени их создания в локальном теневом хранилище агента: сначала старые, потом новые. Таким образом, передача большого файла вызовет отсрочку передачи маленьких файлов, созданных непосредственно после создания большого. При этом соответствующие теневым копиям записи логов передаются асинхронно, то есть теоретически возможны ситуации, когда на сервере уже видны записи лога (например, о записи на DVD), но еще недоступны сами файлы.

Также нужно знать, что для сокращения используемого места сервер DeviceLock не дублирует одинаковые файлы в хранилище. Если контрольные суммы нового пришедшего на сервер файла совпадают с контрольными суммами ранее созданного, в логе теневого копирования (Shadow Log Viewer) появляется отдельная запись, при обращении к которой подкладывается старый, а не новый файл. Таким образом, возможна ситуация, когда вы удалили строку в логе теневого копирования (что обычно ведет к удалению соответствующего файла) с целью уменьшить размер теневого хранилища, но размер не уменьшился. Это значит, что с целевым файлом связана еще одна или более записей в логе теневого копирования.

Завершим разговор о теневом хранилище неприятной темой — недоступностью для просмотра некоторых теневых копий документов, отправленных на печать. Формат теневых копий может не поддерживаться модулем сервера DeviceLock — DL PrinterViewer. В таком случае нужно будет выяснить, какой язык принтера используется в подобных теневых копиях, и поискать для него отдельный вьюер. DLPrinterViewer поддерживает следующие форматы спулера: PostScript, PCL5, PCL6 (PCL XL), HP-Gl/2, GDI printing (ZjStream) и EMF Spooled Files. Таким образом, в некоторых случаях, столкнувшись с проблемным принтером, можно потребовать от ИТ-специалистов, чтобы они изменили язык печати такого принтера на поддерживаемый DeviceLock. Если в экстренном порядке необходимо получить данные о том, что распечатывал пользователь, и при этом допустимо позаимствовать принтер подразделения, где работает сотрудник, или принтер сотрудника (например, если дело дошло до открытого расследования инцидента информационной безопасности), то можно отправить созданную DeviceLock теневую копию на печать на тот же принтер командой:

copy /b <имя_файла> <имя_принтера>

Однако есть форматы, которые не поддерживаются и никогда не будут поддерживаться DLPrinterViewer, поскольку это закрытые форматы. Грешит их применением, например, Hewlett-Packard. Одним из таких форматов является ZIMF. Единственная возможность просмотреть подобные теневые копии — отправить их на печать на принтер с поддержкой ZIMF.

Правила фильтрации по содержимому. Использование возможностей модуля ContentLock

В заключение раздела несколько слов о правилах фильтрации по содержимому (Content Aware Rules — контентные правила). Контентные правила позволяют изменять разрешение на доступ или настройки логирования для разных типов файлов, причем типы определяются не по расширениям, а по сигнатурам — по структуре содержимого. Поэтому список файлов, для которых можно выставлять настройки, ограничен, хотя и велик. Впрочем, с каждой новой версией программы список растет. Контентные правила очень удобно использовать, чтобы ограничить поток файлов в теневое хранилище сервера. Ограничения можно ввести для предзаданных групп типов файлов, например Images, Cad, and Drawing, а можно — для самостоятельно скомпонованной группы файлов.

Возможности модуля ContentLock позволяют задавать гораздо более сложные контентные правила, нежели только по типам файлов. Так, можно задавать правила на основе выявления ключевых слов, анализа регулярных выражений, параметров файлов и документов, слов и выражений из различных промышленных словарей. Ну и, конечно же, предусмотрено создание сложносоставных контентных правил. В результате можно добиться попадания в теневое хранилище сервера только тех файлов и документов, которые значимы для криминалистического анализа переданных или скопированных данных.

 

В следующей, заключительной статье цикла мы рассмотрим некоторые вопросы интеграции DeviceLock Endpoint DLP Suite с групповыми политиками домена Active Directory.

 

В начало В начало

КомпьютерПресс 06'2012