Ctrl+K
Ctrl+K
PDF
Ctrl+K
PDF

Версии

Руководство администратора безопасности ПВ

Руководство администратора безопасности ПВ#

Данный раздел предназначен для пользователей, для которых назначена роль в ПВ - администратор безопасности.

Регистрация событий безопасности в ПВ#

В ПВ регистрация событий безопасности выполняется с учетом требований ГОСТ Р 59548-2022 «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации».

Регистрация событий безопасности реализуется использованием службы auditd и подсистемы регистрации событий из состава ОС СН. Служба auditd выполняет регистрацию событий объектов файловой системы (аудит файлов) и пользователей (аудит процессов) согласно заданным правилам. Регистрация событий осуществляется в журнал аудита.

Настройка регистрации событий безопасности#

Для настройки регистрации событий безопасности используется программа fly-adminevents из состава ОС СН, с помощью которой доступно выполнять регистрацию событий запуска и остановки службы auditd, регистрацию событий добавления и удаления правил auditd, регистрацию действий с журналом аудита. Дополнительно утилита позволяет добавлять правила аудита.

Кроме того, для управления правилами аудита используются следующие инструменты командной строки из состава ОС СН:

  • getfaud — служит для получения списков правил регистрации событий над файловыми объектами;

  • setfaud — устанавливает на файлы списки правил регистрации событий;

  • useraud — позволяет просматривать и изменять правила регистрации событий для пользователей;

  • рsaud — позволяет изменить или считать правила регистрации событий заданного процесса;

  • ausearch — предназначен для просмотра файлов журнала регистрации событий ядра, а также событий пользователя.

Журнал событий#

Служба syslog-ng выполняет регистрацию событий в журнал /parsec/log/astra/events. В журнале событий регистрируются попытки запуска неподписанных файлов, успешная и неуспешная авторизация, данные о пользовательских сессиях и другие события безопасности, регистрация которых настроена.

Для просмотра журнала событий может использоваться:

  • программа fly-event-viewer («Журнал системных событий»);

  • инструмент командной строки astra-event-viewer, порядок использования инструмента приведен на странице помощи, вызываемой командой:

    astra-event-viewer -h

Действия с журналом событий (удаление, переименование, перемещение, ротация файла журнала событий) регистрируются подсистемой регистрации событий и указываются первой записью в журнале событий:

  • удаление журнала событий регистрируется событием «Журнал событий удален»;

  • переименование или перемещение журнала событий регистрируется событием «Журнал событий переименован или перемещен»;

  • ротация журнала событий регистрируется событием «Журнал событий ротирован»;

  • действия с журналом событий недоверенными процессами (всеми процессами, кроме процессов syslog-ng и logrotate) регистрируются событием «Журнал событий изменен недоверенным процессом».

Кроме того, программа fly-event-viewer позволяет выполнить выгрузку (экспорт) данных из журнала событий безопасности в файл формата CSV или JSON.

Содержание