В документе представлены 10 из более чем 200 (!) отчетов, входящих в состав пакета программ NetWrix Change Reporter Suite. С их помощью администраторы и специалисты по информационной безопасности могут просто и эффективно осуществлять контроль над изменениями в ИТ-инфраструктуре компании.
Как выбрать решение для аудита файловых серверов [White Paper]
10 отчетов для контроля Вашей ИТ-инфраструктуры
1. 10 отчетов для контроля
Вашей ИТ-инфраструктуры
ООО «Нетрикс Европа», Санкт-Петербург, Торфяная дорога, д.7 лит.Ф netwrix.ru
2. NetWrix: #1 for Change Auditing and Compliance
Как обеспечить контроль
Вашей ИТ-инфраструктуры
Штатная система аудита, представленная журналами событий, как известно, не обеспечивает надежного уровня
контроля ИТ-инфраструктуры. Работа с журналами событий отнимает много времени, необходимого для поиска и
разрешения проблемы. К тому же они хранятся достаточно недолго, что может привести к потере информации.
Поэтому говорить о надежном контроле Вашей ИТ-инфраструктуры, осуществляемом исключительно штатными
инструментами аудита, не приходится.
Здесь на помощь специалистам, отвечающим за управление ИТ-инфраструктурой, приходят специализированные
решения для аудита изменений, которые значительно упрощают процесс осуществления контроля. И одним из
передовых решений, обеспечивающих самый широкий охват компонентов ИТ-инфраструктуры, является пакет
программ NetWrix Change Reporter Suite.
C NetWrix Change Reporter Suite Вам больше не придется работать с зашифрованными и фактически нечитаемыми
данными журналов событий, разбросанных по всей ИТ-инфраструктуре. Запатентованная технология
AuditIntelligence™ обеспечивает перевод неструктурированных данных аудита в простую и понятную информацию,
опираясь на которую Вы можете легко отслеживать изменения в Вашей ИТ-инфраструктуре. Такая информация
представлена в отчетах, в которых показано, Кто, Что, Где и Когда изменил. Более того, отчеты формируются
автоматически, так что Вы не пропустите ни одного важного изменения. А с помощью уведомлений, отправляемых
в режиме реального времени, Вы сможете оперативно отреагировать на критические события и не допустить сбоев
в работе организации.
Программы автоматически архивируют данные аудита, поэтому они могут храниться годами, так что Вы можете
получить полную информацию об изменениях в Вашей ИТ-инфраструктуре (например, в Active Directory или
групповых политиках) за любой период времени. Архивирование данных аудита Active Directory позволяет
организациям анализировать любые нарушения политики безопасности в прошлом, что гарантирует выполнение
требований нормативов по информационной безопасности.
В работе программ NetWrix используется запатентованная технология AuditAssurance™, которая обеспечивает
получение данных из различных источников. Благодаря ей Вы можете быть уверены, что все события будут
зафиксированы и ни одно из них не будет потеряно.
В этом документе рассмотрены 10 отчетов NetWrix, которые обеспечат Вам надежный контроль
ИТ-инфраструктуры.
2
3. NetWrix: #1 for Change Auditing and Compliance
Содержание
1. Active Directory
Удаленные подразделения (Organizational Units Removed)
2. Active Directory (продолжение)
Изменение членства в административных группах
(Administrative Group Membership Changes)
3. Групповые политики
Все изменения политики паролей (All Password Policy Changes)
4. Exchange Server
Созданные почтовые ящики (Mailboxes Created)
5. Exchange Server (продолжение)
Ежедневные изменения доступа пользователей к чужим почтовым ящикам
(Non-Owner Mailbox Access Daily Changes)
6. Windows Server
Изменения локальных пользователей и групп (Local User and Group Changes)
7. Файловый сервер
Все изменения на файловом сервере по дате (All File Server Changes by Date)
8. SQL Server
Изменения ролей и логинов (Role Changes & Login Changes)
9. VMware
Ежедневный отчет по изменению VMware (VMware Change Reporter Daily Report)
10. User Logon/Logoffs
Ежедневный отчет по входам в систему (Logon Reporter Daily Report)
3
4. NetWrix: #1 for Change Auditing and Compliance Active Directory
1. Active Directory
Удаленные подразделения (Organizational Units Removed)
Отчет отображает список всех удаленных подразделений за указанное время. Например, он может использоваться
для своевременного обнаружения случайно удаленных подразделений (OU). Также такой отчет может на
регулярной основе отправляться ИТ-менеджерам для осуществления контроля. Быстрое и полное восстановление
удаленного подразделения и вложенных объектов осуществляет NetWrix Active Directory Object Restore Wizard.
Active Directory Change Reporter автоматически создает отчеты по изменениям Active Directory, в которых показано,
кто, что, где и когда изменил для всех типов изменений; отчеты представлены в удобном формате, отсутствует
необходимость работать с идентификаторами событий.
Filter Value
Date/Time From: 4/1/2012 5:02:20 AM
Date/Time To: 8/28/2012 5:15:20 PM
Domain name: netwrix-test.local
Where removed: %
Who removed: %
What changed: %
Sort by: What Removed
Who removed: NETWRIX-TESTadministrator
What Removed Where Removed When Removed
localnetwrix-testAccounting dc1.netwrix-test.local 8/28/2012 5:00:08 AM
localnetwrix-testDevelopmentou1 dc1.netwrix-test.local 4/13/2012 8:51:02 AM
localnetwrix-testKey User Group dc1.netwrix-test.local 8/28/2012 5:01:00 AM
localnetwrix-testMarketing dc1.netwrix-test.local 8/28/2012 4:59:53 AM
localnetwrix-testNY dc1.netwrix-test.local 8/28/2012 5:00:28 AM
Больше отчетов в NetWrix Active Directory Change Reporter
4
5. NetWrix: #1 for Change Auditing and Compliance Active Directory (продолжение)
2. Active Directory (продолжение)
Изменение членства в административных группах
(Administrative Group Membership Changes)
Административные группы, такие как Domain Admins или Enterprise Admins должны быть четко определены.
Изменения членства в этих группах должно четко отслеживаться. В отчете отображается, кто добавил, удалил или
изменил определенных пользователей в административную группу, а также когда и в какую именно.
Filter Value
Date/Time From: 8/15/2012 2:15:55 PM
Date/Time To: 8/15/2012 2:40:55 PM
Domain name: netwrixdemo.local
Where changed: %
Who changed: %
Exclude who changed:
Sort by: Member
Group name: Domain Admins, Enterprise Admins
Group name: localNetWrixDemoUsersDomain Admins
Action Member Who Changed Where Changed When Changed
NetWrixDemo.local/ 8/15/2012
Added NETWRIXDEMOTMoore WINRNE4GDCO683.NetWrix Demo.local
OU for deletion/AG1 2:18:33 PM
NetWrixDemo.local/ 8/15/2012
Removed NETWRIXDEMOTMoore WINRNE4GDCO683.NetWrix Demo.local
OU for deletion/AG4 2:18:54 PM
NetWrixDemo.local/ 8/15/2012
Removed NETWRIXDEMOTGarvin WINRNE4GDCO683.NetWrix Demo.local
OU for deletion/AG5 2:19:55 PM
Group name: localNetWrixDemoUsersEnterprise Admins
Action Member Who Changed Where Changed When Changed
NetWrixDemo.local/ 8/15/2012
Added NETWRIXDEMOJMelnik WINRNE4GDCO683.NetWrix Demo.local
OU for deletion/AG3 2:21:09 PM
Больше отчетов в NetWrix Active Directory Change Reporter
5
6. NetWrix: #1 for Change Auditing and Compliance Групповые политики
3. Групповые политики
Все изменения политики паролей (All Password Policy Changes)
Политика паролей включает в себя историю пароля, дату истечения срока действия, сложность и другие настройки,
которые влияют на безопасность пароля, как это задано политикой организации. В стандартных инструментах
управления групповыми политиками отсутствует возможность отслеживать изменения и создавать отчеты, и с их
помощью Вы не можете отслеживать, что именно изменилось. NetWrix Group Policy Change Reporter преодолевает
недостатки штатной системы аудита (в отчетах показываются значения “до” и “после” по каждому изменению) и
обеспечивает надежный и своевременный контроль изменений групповых политик.
Filter Value
Date/Time From: 8/14/2012 2:02:21 PM
Date/Time To: 8/15/2012 2:02:21 PM
Domain name: netwrixdemo.local
Where changed: %
Who changed: %
What changed: %
Sort by: What Changed
Action Who Changed What Changed Where Changed When Changed
WINRNE4GDCO683.NetWrix 8/15/2012
Modified NETWRIXDEMOTMoore Default Domain Controllers Policy
Demo.local 1:57:11 PM
Action Path
Computer Configuration (Enabled)/Policies/Windows Settings/Security Settings/Account Policies/
Added
Password Policy
Policy: Maximum password age; Setting: 42 days;
Policy: Minimum password age; Setting: 30 days;
WINRNE4GDCO683.NetWrix 8/15/2012
Modified NETWRIXDEMOJMelnik Netwrix for Test
Demo.local 2:00:06 PM
Action Path
Computer Configuration (Enabled)/Policies/Windows Settings/Security Settings/Account Policies/
Modified
Password Policy
Policy: Enforce password history; Setting: 2 passwords remembered -> 1 passwords remembered;
Policy: Maximum password age; Setting: 42 days -> 50 days;
Policy: Minimum password length; Setting: 9 characters -> 5 characters;
Больше отчетов в NetWrix Group Policy Change Reporter
6
7. NetWrix: #1 for Change Auditing and Compliance Exchange Server
4. Exchange Server
Созданные почтовые ящики (Mailboxes Created)
Microsoft Exchange является одним из наиболее важных компонентов ИТ-инфраструктуры организации. Даже час
простоя в его работе может обернуться миллионными убытками и потерей репутации. Поэтому аудит изменений
настроек конфигурации критически важен. Приведенный ниже отчет показывает, кто создал определенные
почтовые ящики, а также когда и где. Создание новых почтовых ящиков должно отслеживаться на предмет
обнаружения подозрительной активности.
Filter Value
Date/Time From: 3/1/2012 6:32:37 PM
Date/Time To: 8/20/2012 6:32:37 PM
Domain name: wks166.local
Where changed: %
Who changed: %
What changed: %
Sort by: Object Type
Who created: WKS166Administrator
Object Type What Changed Where Created When Changed
User localwks166Users4567890 DC01.wks166.local 8/3/2012 7:16:54 PM
Exchange Proxy Addresses set to 'SMTP:4567890@wks166.local'
Mailbox Created
Mailbox Database set to 'localwks166ConfigurationServicesMicrosoft ExchangeWKS166Administrative GroupsExchange Administrative Group
(FYDIBOHF23SPDLT)ServersEXCH07-WKS166InformationStoreFirst Storage GroupMailbox Database'
User localwks166Usersall DC01.wks166.local 6/25/2012 11:07:54 PM
Exchange Proxy Addresses set to 'SMTP:all@wks166.local'
Mailbox Created
Mailbox Database set to 'localwks166ConfigurationServicesMicrosoft ExchangeWKS166Administrative GroupsExchange Administrative Group
(FYDIBOHF23SPDLT)ServersEXCH07-WKS166InformationStoreFirst Storage GroupMailbox Database'
localwks166UsersDiscoverySearchMailbox {D919BA05-46A6-
User DC01.wks166.local 7/6/2012 5:37:16 PM
415f-80AD-7E09334BB852}
Exchange Proxy Addresses set to 'SMTP:DiscoverySearchMailbox{D919BA05-46A6-415f-80AD-7E09334BB852}@wks166.local'
Mailbox Created
Mailbox Database set to 'localwks166ConfigurationServicesMicrosoft ExchangeWKS166Administrative GroupsExchange Administrative Group
(FYDIBOHF23SPDLT)DatabasesMailbox Database 0957855029'
Больше отчетов в NetWrix Exchange Server Change Reporter
7
8. NetWrix: #1 for Change Auditing and Compliance Exchange Server (продолжение)
5. Exchange Server (продолжение)
Ежедневные изменения доступа пользователей к чужим почтовым
ящикам (Non-Owner Mailbox Access Daily Changes)
Отчет показывает, кто и к каким почтовым ящикам получал доступ, какие элементы в них были просмотрены,
отредактированы или удалены (например, письма, встречи, задачи и т.п.). Это позволяет определить любые
несанкционированные действия пользователей, которые могут пытаться получить доступ к конфиденциальной
информации из почтовых ящиков, принадлежащих другим пользователям.
Filter Value
Date/Time From: 6/26/2012 12:00:00 AM
Date/Time To: 6/26/2012 11:59:00 PM
Domain name: wks166.local
Who changed: %
What changed: %
Where changed: %
When changed: %
Date: 8/15/2012
Sort by: Who Accessed
Who created: WKS166 Administrator
Who Accessed When Accessed Mailbox Server Access Type Details
WKS166 6/26/2012
all@wks166.local exch07-wks166 Folder opened Folder / was opened.
Administrator 3:44:04 PM
6/26/2012
all@wks166.local exch07-wks166 Folder opened Folder /Inbox was opened.
3:44:04 PM
6/26/2012 The message located in /Inbox
all@wks166.local exch07-wks166 Message opened
3:44:04 PM with the subject sdf was opened.
6/26/2012
all@wks166.local exch07-wks166 Folder opened Folder /Drafts was opened.
3:44:18 PM
6/26/2012 Message created A message was created in /Drafts
all@wks166.local exch07-wks166
3:44:18 PM and saved with the subject a.
6/26/2012 Changes were saved in the message
all@wks166.local exch07-wks166 Message saved
3:44:27 PM located in /Drafts with the subject a.
6/26/2012 The message located in /Inbox
all@wks166.local exch07-wks166 Message opened
3:44:27 PM with the subject sdf was opened.
WKS166 6/26/2012
all@wks166.local exch07-wks166 Folder opened Folder /Inbox was opened.
JSmith 3:49:42 PM
6/26/2012 The message located in /Inbox with
all@wks166.local exch07-wks166 Message opened
3:49:43 PM the subject sdf was opened.
Больше отчетов в NetWrix Non-owner Mailbox Access Reporter for Exchange
8
9. NetWrix: #1 for Change Auditing and Compliance Windows Server
6. Windows Server
Изменения локальных пользователей и групп
(Local User and Group Changes)
Отчет показывает, Кто, Когда и Какие изменения произвел в локальной группе/пользователе. Найдите, кто добавил,
изменил или удалил пользователя из группы и посмотрите новые атрибуты объекта после изменения (например,
статус, члены, описание и другое). В отчете зафиксированы все изменения конфигурации серверов, которые могут
сказаться на работе всей компании.
Filter Value
Date/Time From: 8/2/2012 12:00:00 AM
Date/Time To: 8/2/2012 11:59:00 PM
Domain name: vfs2.vdomain.local
Who changed: %
What changed: %
Where changed: %
When changed: %
Date: 8/15/2012
Sort by: Change Type
Who created: VDOMAINSuper Administrator
Change When Object
Who Changed Server Resource Path Details
Type Changed Type
VDOMAIN 8/2/2012 Local System InformationLocal Groups Object attributes before deletion:
Removed VFS1
Administrator 3:17:52 PM Group SomeTestGroup Status: "OK"
Members: "VFS1SomeTest"
Description: "TestGroup"
Name: "SomeTestGroup"
VDOMAIN 8/2/2012 Local
Modified VFS1 System InformationLocal Users An account's password was reset.
Administrator 3:03:01 PM User
VDOMAIN 8/2/2012 Local System InformationLocal Users Object attributes after addition:
Added VFS1
Administrator 3:05:47 PM User SomeTest Password Expires: "Yes"
Password can be changed: "No"
Status: "OK"
Password Required: "Yes"
Name: "SomeTest"
Disabled: "No"
Description: "TestUser"
Lockout: "No"
Full Name: "TestUser"
Больше отчетов в NetWrix Server Configuration Change Reporter
9
10. NetWrix: #1 for Change Auditing and Compliance Файловый сервер
7. Файловый сервер
Все изменения файлового сервера по дате
(All File Server Changes by Date)
Неавторизованные или случайные изменения файлов и структуры папок, разрешений и других объектов могут
серьезно сказаться на работе пользователей и функционировании ИТ-инфраструктуры. Такие изменения могут
позволить получить доступ к конфиденциальной информации. Стандартным инструментам аудита файловой
системы не хватает множества важных функций в части построения отчетов и контроля. Эта проблема может быть
решена с помощью отчета, приведенного ниже. В нем показываются все созданные, удаленные и измененные файлы,
папки и разрешения, сгруппированные по дате изменения.
Filter Value
Date/Time From: 7/28/2009 6:19:53 PM
Date/Time To: 7/29/2009 6:19:53 PM
Who changed: %
Sort by: Where
UNC Path: %
Action Where Object Type Who Changed What Changed When Changed
7/28/2009
Modified nyw35 Share WIDGETSadministrator finance
9:20:48 PM
Root Folder Permissions added: 'Permissions: Users (Deny: Delete Subdirectories And Files, Delete, Write Extended Attributes, Read Attributes, Take
Ownership, Traverse Folder/Execute File, Read Extended Attributes, Read Permissions, Create Folder/Append Data, Write Attributes, Create
Files/Write Data, List Folder/Read Data, Change Permissions); Finance (Allow: Delete, Write Extended Attributes, Read Attributes, Traverse Folder/Ex-
ecute File, Read Extended Attributes, Read Permissions, Create Folder/Append Data, Write Attributes, Create Files/Write Data, List Folder/Read Data)'
7/28/2009
Modified nyw35 File WIDGETSJSmith financeCurrentResponsibilities.doc
9:20:41 PM
Permissions added: 'Permissions: Users (Allow: Delete, Write Extended Attributes, Read Attributes, Traverse Folder/Execute File, Read Extended
Attributes, Read Permissions, Create Folder/Append Data, Write Attributes, Create Files/Write Data, List Folder/Read Data)'
Size changed from '0' to '170'
7/28/2009
Added nyw35 File WIDGETSPJohnson financeFinancial Report 2008-1.pdf
9:18:45 PM
7/28/2009
Removed nyw35 File WIDGETSJSmith financePrivileged Access.xls
9:16:22 PM
7/28/2009
Added nyw35 File WIDGETSMCrown financeQuote Template.doc
9:18:45 PM
Больше отчетов в NetWrix File Server Change Reporter
10
11. NetWrix: #1 for Change Auditing and Compliance SQL Server
8. SQL Server
Изменения логинов и серверных ролей
(Login Changes & Server Role Changes)
Этот отчет содержит информацию об изменениях, внесённых в серверные роли и логины. Этот и другие отчеты
помогают администраторам баз данных своевременно отслеживать все неавторизованные и нежелательные
изменения, которые могут привести к простоям в работе SQL сервера или отсутствию доступа к базам данных.
Filter Value
Date/Time From: 8/27/2012 7:31:03 PM
Date/Time To: 8/28/2012 7:31:03 PM
Object type: %
What changed: %
Where: %
Who changed: %
Sort by: Where
Action Where Object Type Who Changed What Changed When Changed Workstation
SecurityLogins 8/28/2012
Added sirius Login ANDROMEDAadm sirius
[Tes] 7:27:41 PM
SecurityLogins 8/28/2012
Added sirius Login ANDROMEDAadm sirius
[Tester] 7:02:07 PM
SecurityLogins 8/28/2012
Removed sirius Login ANDROMEDAadm sirius
[Tester] 7:27:32 PM
SecurityServer 8/28/2012
Modified sirius Server Role ANDROMEDAadm sirius
Rolessetupadmin 7:02:27 PM
Role Members: 'Tester'
SecurityServer 8/28/2012
Modified sirius Server Role ANDROMEDAadm sirius
Rolessetupadmin 7:27:21 PM
Больше отчетов в NetWrix SQL Server Change Reporter
11
12. NetWrix: #1 for Change Auditing and Compliance VMware
9. VMware
Ежедневный отчет по изменению VMware
(All VMware Infrastructure Changes)
В отчете отображается, кто и какие изменения произвел в объектах и настройках VMware, включая хосты,
контейнеры, пулы ресурсов, виртуальные машины. Незафиксированные изменения виртуальной
ИТ-инфраструктуры могут негативно сказаться на ее функционировании. Данные в отчете отфильтрованы по
объекту, который был изменен (“Что изменилось”). Именно поэтому для VMware администраторов важно постоянно
быть в курсе подобных изменений.
Filter Value
Date/Time From: 7/27/2009 4:00:24 PM
Date/Time To: 7/27/2009 5:00:24 PM
Sort by: What Changed
WHo changed: %
Action Object Type Who Changed What Changed When Changed
DatacentersNetWrixCorporationNJ_Officehost 7/27/2009
Modified HostSystem netwrixJSmith
production_clusterVirtual Server1 4:43:11 PM
Service Console IP Address of port Service Console 2 changed from '212.192.24.1' to '212.192.24.2'
DatacentersNetWrixCorporationNJ_Officehost 7/27/2009
Modified HostSystem netwrixJSmith
VirtualServer2Virtual Server2 4:42:35 PM
NTP running changed from 'True' to 'False'
Port Group Virtual Machine Network Allow Promiscuous changed from 'False' to ''
Port Group Virtual Machine Network Attached uplink adapter changed from 'vmnic0' to ''
Port Group Virtual Machine Network Forged Transmits changed from 'True' to ''
Port Group Virtual Machine Network MAC Address Changes changed from 'True' to ''
Virtual Switch vSwitch0 Number of Ports changed from '128' to '64'
Virtual Switch vSwitch1 Allow Promiscuous changed from 'False' to ''
Virtual Switch vSwitch1 Attached uplink adapter changed from 'vmnic0' to ''
Virtual Switch vSwitch1 Forged Transmits changed from 'True' to ''
Virtual Switch vSwitch1 MAC Address Changes changed from 'True' to ''
Virtual Switch vSwitch1 Number of Ports changed from '64' to ''
netwrixAdministrator (7/27/20093:36:07 PM), DatacentersNetWrixCorporationNJ_Officevm 7/27/2009
Removed VirtualMachine
netwrixJSmith (7/27/2009 4:20:34 PM) testersJackHuntingtonw2k3_for_test 4:20:34 PM
netwrixAdministrator (7/27/2009 3:40:09 PM), DatacentersNetWrixCorporationNJ_Officevm 7/27/2009
Modified VirtualMachine
netwrixMPeterson (7/27/2009 4:21:00 PM) testersMaryPetersonmp_w2k3 4:21:00 PM
Network Adapter 1 Connected changed from 'True' to 'False'
Power State changed from 'Powered On' to 'Suspended'
DatacentersNetWrixCorporationNJ_Officevm 7/27/2009
Added VirtualMachine netwrixMCrown
testersMichael Crownmc_w2k3 4:21:26 PM
Больше отчетов в NetWrix VMware Change Reporter
12
13. NetWrix: #1 for Change Auditing and Compliance User Logon/Logoffs
10. User Logon/Logoffs
Ежедневный отчет по входам в систему
(Logon Reporter Daily Report)
В отчете показаны как успешные, так и неудачные события входа и выхода из сети. Эти события сложно отследить с
помощью штатных инструментов Active Directory. NetWrix Logon Reporter консолидирует и архивирует эти данные и
отчеты по успешным и неудачным входам и выходам для таких типов событий как: интерактивный, сетевой и
пакетный входы, запуск службы, блокировка учетной записи, разблокировка и многие другие.
Filter Value
Date/Time From: 3/13/2012 12:00:00 AM
Date/Time To: 3/13/2012 11:59:00 PM
Domain name: wks166.local
Target computer: %
User: %
Subject computer: %
Audit type: %
Date: 3/13/2012
Sort by: Target Computer
Who created: WKS166 Administrator
Target Computer User Date Subject Computer Audit Type Description
WIN-DTH7E16F1AU 3/13/2012 An account failed to log on (The specified
WIN-DTH7E16F1AU 127.0.0.1 Interactive
Administrator 4:17:01 AM account's password has expired)
WIN-DTH7E16F1AU 3/13/2012
WIN-DTH7E16F1AU N/A N/A An account was logged off
Administrator 4:17:20 AM
WIN-DTH7E16F1AU 3/13/2012
WIN-DTH7E16F1AU 127.0.0.1 Interactive An account was successfully logged on
Administrator 4:17:22 AM
WIN-DTH7E16F1AU 3/13/2012
WIN-DTH7E16F1AU N/A N/A User initiated logoff
Administrator 4:19:36 AM
WIN-DTH7E16F1AU 3/13/2012
WIN-DTH7E16F1AU 127.0.0.1 Interactive An account was successfully logged on
Administrator 4:23:11 AM
WIN-DTH7E16F1AU. 3/13/2012
WKS166Administrator N/A N/A User initiated logoff
wks166.local 5:43:11 AM
Больше отчетов в NetWrix Logon Reporter
13