Quantcast
Channel: iThome
Viewing all articles
Browse latest Browse all 31404

內部威脅偵測:ObserveIT 突顯高風險用戶與行為

$
0
0

在協助企業監控使用者行為的領域,ObserveIT ( OIT ) 相當著名,這款軟體在去年底發表的6.0版中,加入了使用者風險儀表板,提供管理者應該首先關注並進行調查的對象。

這款軟體目前最新為6.6版,在使用者風險儀表板的部分也有些許改進,主要是在針對每個高風險使用者的行為,以及相關執行的應用程式資訊揭示上,從預設的3個項目,提供能顯示完整清單的按鈕,對於管理者而言,可以減少與管理主控臺切換的頻率。

值得一提的是,ObserveIT是本次受測產品中,唯一具有中文介面者,而且中文化相當完整,用語也符合臺灣的使用習慣,因此對於沒有IT背景的管理人員,上手的門檻也相對較低。

就建置架構上,這套系統經由端點電腦的代理程式(Agent)執行監控,而對於無法安裝代理程式的電腦,也能採用跳板架構監控。

儀表板提供異常使用者與高風險行為的整體資訊

ObserveIT的使用者風險儀表板上,主要彙整了最近1個月之內企業內部的用戶異常操作行為。在網頁介面的上半部主要呈現企業整體的摘要資訊,下半部則是列出系統認為風險較高的使用者,以及他們執行了那些具有較高風險的行為。

在企業的摘要資訊中,我們可以看到系統評比具有異常操作行為的使用者人數,包含近期才出現這類行為的新用戶數量。而且,ObserveIT將風險分為低、中、高與極高共4個等級,對應到使用者的分數指標依序為0至25分、25分至50分、50分至75分,以及75分至100分。

另一個部分的摘要內容,在於陳列企業內部發生較頻繁的前5種異常行為,以及使用者採用的應用程式,因此,對於IT人員而言,可藉此了解內部員工經常執行的高風險行為。不過,由於是採取風險貢獻率的加權計算模式排行,所以我們也看到風險較低、使用者發生次數較多的行為,排列順序上,卻在某些較高風險的事件之前的情況。

針對這類重大,卻極少發生的異常事件,還是能藉由儀表板下方列出的使用者名單,從中找到蛛絲馬跡。這裡的高風險使用者清單,就不像儀表板上方的企業整體風險概況,只能列出特定數量的資訊,而是能涵蓋所有需要管理人員特別留意的使用者帳號──ObserveIT提供完整的清單,這些使用者執行疑似危險的行為,以及運用的特定應用程式,就能從這裡追蹤。

管理者可以針對這些使用者,按下調查按鈕進行深入追蹤,或者,對於單一事件進行檢視。接下來的追查過程,就會由管理主控臺(Management Console)接手,提供條件式的檢索功能。

只是比起其他本次測試的產品,大多數的儀表板都能夠瀏覽較早之前時間點的情況,藉此回顧更多資訊,ObserveIT的使用者風險儀表板預設為提供最近1個月的情報分析,只是無法直接調整時間的區段,較為不便。

代理商漢領國際表示,ObserveIT使用者風險儀表板的用途,主要提供管理人員監看即時的資安風險情報,因此以快速瀏覽為設計宗旨,而對於需要深入追查的事件,管理者仍然可以切換至管理主控臺,設定相關的條件進行調查。此外,由於這個儀表板的角色日益重要,原廠也計畫在未來的版本中,加入對於企業整體風險趨勢圖等內容,提供更豐富的資訊。

透過使用者風險儀表板,ObserveIT能指出具有較高危險性的帳號,同時也列舉近期發生最為嚴重的行為,以及執行的應用程式。管理者可依據使用者風險指數、高風險行為類型,甚至是已經違反公司資安政策的用戶,進行條件過濾以便集中檢視。

具有側錄畫面與中繼資料整合能力,支援以關鍵字搜尋事件紀錄

ObserveIT最主要的功能之一,莫過於發現可疑行為時,經由螢幕側錄,記錄下使用者所有的行為。該產品的代理商漢領國際表示,ObserveIT經由灰階的螢幕擷取,以及Metadata中繼資料擷取的方式,因此能以較不占硬體資源的方式,進行側錄工作。

而對於側錄下來的資料,ObserveIT也支援透過關鍵字搜尋,並且提供重大異常事件發生點的索引,因此管理者在觀看影片時,可直接從系統提供對應的時間點檢視,比起許多以影片記錄的監控解決方案來說,相對而言也便利許多。此外,在側錄Linux與Unix主機上的行為時,由於指令的內容是直接從系統的中繼資料取得,因此對於像是透過批次檔執行的內容,即使螢幕上沒有顯示任何訊息,在ObserveIT中仍然能取得相關的資料。

 

 ObserveIT特色總覽 

藉由異常行為的監控與側錄,ObserveIT能夠在事件發生時,為管理者提供較為豐富且詳細的資訊,做為調查的依據。此外,透過建立相關政策,這套系統也能阻擋違規行為,並要求使用者對此說明。

針對系統警示的異常事件,提供檢索功能

ObserveIT管理者可依據指定的條件,找尋異常行為的記錄。每個事件皆可展開顯示摘要,也能進一步觀看畫面側錄。此外,搜尋結果也能切換為兩欄檢視模式──左側為事件清單,右半部顯示單一事件摘要的同時,也提供側錄畫面縮圖,做為快速瀏覽之用。

能依據政策設置阻擋對話框

IT人員可針對特定行為設置阻擋功能,甚至要求使用者說明。圖中使用者違反公司政策,想要將資料上傳到Dropbox時,ObserveIT便顯示警示訊息,並要求填寫原因。

可側錄Unix作業系統的執行指令

這套系統提供對於Windows、Linux與Unix作業系統異常行為的側錄功能。漢領國際表示,由於ObserveIT在錄下Linux與Unix畫面的同時,也會記錄所有執行的指令,因此,對於未於畫面中出現,在背景執行的語法(例如透過批次檔執行),系統也能提供對應的記錄查證。

 

 產品資訊 

●      代理商:漢領國際

●      電話:(02) 8228-6983

●      建議售價:52萬元起(未稅)

●      版本:6.6

●      建置方式:實體伺服器或VM

●      架構:應用伺服器、資料庫與主控臺主機

●      硬體需求:4個核心處理器、8GB記憶體、100GB硬碟空間

●      作業系統需求:Windows Server 2008

●      資料庫軟體:SQL Server 2008

●      設備監控:安裝代理程式或採用跳板

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

【相關報導請參考「內部存取行為監控系統」採購大特輯】


Viewing all articles
Browse latest Browse all 31404

Trending Articles