Обнаружение устройств и базовая инвентаризация

Службам ИТ и ИБ необходимо иметь полную картину устройств, подключенных к корпоративной сети, и обеспечивать управляемость устройств.

МиУ выполняет сетевое сканирование, обнаружение объектов в корпоративных службах каталога таких как ALD Pro, SAMBA и Active Directory.

МиУ также обеспечивает базовую инвентаризацию устройств с установленным агентом МиУ, давая администраторам ИТ и ИБ полную картину о присутствующих в сети хостах и устройствах, предоставляемых ими службах, операционных системах и сертификатах SSL/TLS. Используя эту информацию, администраторы могу обеспечить управляемость всего парка АРМ и серверов.

Расширенная инвентаризация оборудования, ОС и ПО

Администраторам ИТ и ИБ необходимо контролировать настройки аппаратного и программного обеспечения АРМ и серверов, делегировать управление различными группами компьютеров тем или иным подразделениям компании.

Агенты МиУ выполняют сбор информации о широком наборе параметров аппаратной и программной конфигурации АРМ, включая, но не ограничиваясь:

• Данные BIOS
• ОЗУ, ЦПУ, система хранения и сетевые карты
• Установленное ПО, системные компоненты и обновления
• Диски, службы, процессы, пользователи и группы, настройки TCP/IP
• Контекстный поиск файлов и папок, поиск в содержимом файлов
• Sudo-привилегии
• События входа пользователей
• События журналов auditd
• Перезагрузки и uptime
• Ключи реестра
• Файлы в файловых системах
• Статистика активности процессов

Все данные инвентаризации могут использоваться для создания динамических групп (коллекций) компьютеров на основе логических правил. Например, новые АРМ сотрудников регионального подразделения будут автоматически попадать в динамическую коллекцию подразделения с назначенными на коллекции заданиями дополнительной конфигурации, установки ПО и т. д.

Анализ аномалий конфигурации

В процессе эксплуатации АРМ и серверов в их конфигурацию могут вноситься изменения, не согласующиеся с политиками и правилами ИТ/ИБ. Администраторам необходимо выявлять такие изменения и приводить компьютеры в соответствие эталонным конфигурациям.

Администраторы могут контролировать состояние инвентаризуемых данных (системные службы, sudo-привилегии, запущенные процессы и пр.) с помощью следующих функций:

• Белые списки. Описывают полный набор параметров из данных инвентаризации (например, список служб), которые должны обязательно присутствовать на управляемом компьютере. Обнаружение элементов вне белого списка или отсутствие элементов из белого списка считается аномалией
• Эталонные конфигурации (baseline). Описывают частичный набор параметров, которые должны обязательно присутствовать на управляемом компьютере. Аномалией считается отсутствие на компьютере параметров или несоответствие эталонной конфигурации.

Для контроля соответствия конфигурации АРМ и серверов эталонам администраторы создают отчеты, выполняемые по расписанию для коллекций компьютеров и анализирующие соответствие данных инвентаризации требуемому состоянию. В случае обнаружения настроек вне белого списка или настроек, отличающихся от эталонной конфигурации, формируются отчеты об аномалиях конфигурации.

Обнаружение уязвимых версий ПО

Постоянное обнаружение новых уязвимостей ПО и их оперативное исправление разработчиками — реалии современной отрасли ИТ/ИБ. Администраторам необходимо иметь полную картину о текущем состоянии установленного ПО на АРМ и серверах, наличия и методов уязвимых версий и методах временного исправления ошибок до выпуска исправленных версий.

Данные инвентаризации установленного ПО анализируются с помощью базы уязвимостей, хранимой на серверах МиУ и обновляемой на основе публичных баз уязвимостей ПО (таких как CVE). В результате анализа строятся отчеты о том, на каких компьютерах есть установленное ПО с потенциальными уязвимостями.

Управление конфигурацией

Управление конфигурациями АРМ и серверов — основная задача администраторов ИТ.

МиУ предоставляет функции как интерактивного, так и автоматизированного управления АРМ и серверами:

• Интерактивное выполнение команд. Администраторы через графический интерфейс МиУ могут выполнять удаленно команды или группы команд (скрипты) на языках, поддерживаемых операционной системой управляемого компьютера: PowerShell, bash, python, команды и утилиты агента, и др.
• Режим обслуживания. Агент и все его модули могут быть переведены в состояние минимальной активности при выполнении запланированных технических работ на серверах и в информационных системах.
• Сценарии (workflow). Многошаговые последовательности команд, выполняемые по запросу. Возможности workflow:

1. Последовательность скриптов. Выполнение множества команд в рамках одного сценария.
2. Глобальные условия перехода между шагами последовательности (флаги, семафоры), контролирующие переход между скриптами в рамках последовательности сценария

• Удаленная поддержка и управление рабочим столом. Обеспечивает возможности управления сессией пользователя (клавиатура и мышь) и передачу буфера обмена с компьютера Оператора МиУ в сессию пользователя и обратно.

Контроль съемных носителей и устройств

Администраторам ИБ необходимо контролировать канал утечки корпоративной информации и пресекать попытки несанкционированного получения и выноса информации за пределы компании, а также внесение вредоносной информации в доверенные контуры компании.

Модуль Контроля Съемных Устройств для ОС Linux и Windows (КСУ) позволяет управлять доступом к широкому диапазону периферийных устройств:

• USB-накопители
• видеокамеры и микрофоны
• токены авторизации, включая Rutoken;
• сетевые карты;
• мобильные телефоны;
• принтеры и сканеры;
• устройства Bluetooth;
• устройства, подключаемые к шинам ATA, PCI и PCI-E.

Администраторы создают шаблоны устройств и назначают правила доступа к данным устройствам для компьютеров, коллекций, пользователей и групп. Администраторы могут централизованно наблюдать за событиями подключения, разрешения и запрета устройств в интерфейсе МиУ.