Проверка отчетов, полученных при аудите

Для просмотра журналов событий и их сохранения в виде файлов журналов можно использовать дополнительную программу “Просмотр событий”. Записи в журнале сохраняются в виде текстовых файлов, в которых в качестве разделителей могут применяться табуляторы или запятые. Кроме журнала безопасности, можно работать с журналами приложений и системными журналами, а также дополнительными журналами, созданными службами и приложениями. Вывод журналов на экран производится динамически, то есть во время просмотра журнала в него поступают новые записи о событиях. Журналы можно сохранять на диске, чтобы фиксировать их состояние на момент сохранения или архивировать, прежде чем освободить журнал от записи.

Например, журнал можно сохранить в виде файла с разделителями, роль которых выполняет запятая. Далее файл можно импортировать в Microsoft Access и в другие приложения для работы с базой данных. Файл журнала можно также экспортировать в текстовый редактор для создания отсчета.

4.3. Управление аудитом

Аудит позволяет отслеживать события, влияющие на безопасность информационной системы. С помощью аудита можно фиксировать действия определенных пользователей и групп, а также попытки неавторизованного доступа к системе, ее ресурсам и т.д. Можно выполнить аудит каждого события, но реализовать это непрактично, так как на систему ложится чрезмерная нагрузка. Кроме того, это приводит к появлению громадного файла журнала и необходимости его частого архивирования. Рассмотрим несколько типичных случаев проведения аудита.

1. Включение всего аудита. Вариант полного аудита может вводиться в том случае, если требования к безопасности достаточно высоки или необходима сертификация на уровне С2. Однако не стоит забывать, что в этом случае в журнал безопасности будет внесено громадное число записей. Альтернативой данному методу может быть фиксация только неудачных (неуспешных) событий, а успешные события не фиксируются.

2. Отключение аудита. Полное отключение аудита используется, если не предъявляется никаких требований к безопасности системы. Отключение аудита уменьшает накладные расходы и помогает упростить управление журналами. Но в большинстве случаев все-таки приходится заботиться о безопасности, поэтому вариант отключения аудита используется крайне редко.

3. Аудит проблемных пользователей. Некоторые пользователи по той или иной причине становятся сильной головной болью администратора. Иногда это происходит не столько из-за недостатков самого пользователя, сколько из-за проблем с его профилем, учетной записью и т.д. В других случаях это происходит именно из-за самого пользователя. Например, он часто неправильно вводит пароль или учетную запись, пытается зарегистрироваться в то время, когда не имеет на это права, хочет получить доступ к ресурсам, к которым не имеет доступа. В таких случаях требуется отслеживать события, связанные с этим пользователем. Также необходимо фиксировать информацию, необходимую для реализации отмены или срочного завершения его действий. Доступ к объектам следует отслеживать, чтобы определить, когда пользователь или группа пытается получить доступ к определённому ресурсу, файлу или папке.

4. Аудит администратора. Данный вид аудита используется не только для отслеживания действий администратора, но и для обнаружения неавторизованных использований административных полномочий.

Аудит важных файлов и папок. Данный аудит является наиболее распространенным. Кроме отслеживания простого доступа, как правило, отслеживается то, когда пользователи делают или пытаются предпринять определенные действия по отношению к объекту, такие как изменение разрешений или его присвоение. Это позволит отслеживать изменение файлов и папок и повысить их безопасность.