В процессе эксплуатации WNAM системный администратор / администратор ИБ может столкнуться с попытками несанкционированного доступа к системе и серверу. Ниже приведены основные источники информации, которые следует проанализировать, и типовые сценарии минимизации риска несанкционированного доступа / устранения его последствий.
Анализ syslog
В зависимости от типа операционной системы лог системных событий находится в файле /var/log/messages, /var/log/daemon.log, /var/log/syslog и т.п.
Путем ручного или автоматизированного анализа этих файлов могут быть выявлены события, которые классифицируются как события ИБ, например логин на сервер по протоколу SSH. Также возможна настройка отправки системных логов ОС на внешний сервер (посредством rsyslog).
Анализ wnam.log
В основном файле логгирования, /home/wnam/logs/wnam.log отображаются все прикладные события, связанные как с авторизацией пользователей сети, с авторизацией и действиями администраторов, служебные сообщения.
Дополнительный файл логгирования, /home/wnam/logs/console.log, отображает важные (критические системные события), а также выброшенные программным кодом исключения (Exception).
Анализ журнала аудита
Через административный веб-интерфейс WNAM, в разделе «Диагностика-Аудит», доступны записи о событиях администрирования (вход в интерфейс, создание/удаление/модификация различных конфигурационных объектов.
Анализ журнала SIEM системы (Нотификации)
Посредством механизма отправки уведомлений во внешние системы возможно по протоколам Syslog, SNMP получать сведения о событиях, связанных как с авторизацией пользователей сети, так и работой администраторов системы.
При анализе сообщений ИБ необходимо принять решение:
- Происходит ли авторизация легитимного пользователя
- Происходит ли авторизация с легитимного источника подключения
- Производится ли легитимное действие
В случае обнаружения несоответствия запроса/действия установленным политикам безопасности, типовой сценарий решения инцидента включает в себя одно из двух, или оба действия:
Блокировка учетной записи пользователя, от имени которого совершается действие. Контакт с владельцем учетной записи, установка нового пароля. Усиление парольной политики.
Блокировка IP-адреса источника запроса/сети источника/всех адресов путем установки правил в межсетевой экран, конфигурационный файл nginx.