# Журналирование

# Атрибутный состав записи в журнале

**Зона ответственности:** Printum

> **Коротко:** Каждая запись журнала информационной безопасности Printum содержит сведения о времени события, субъекте, объекте, типе операции, результате выполнения и других атрибутах, необходимых для расследования инцидентов и передачи событий во внешние системы мониторинга.

## Требование

Система должна обеспечивать регистрацию событий безопасности с сохранением информации, достаточной для расследования инцидентов, анализа действий пользователей и последующей корреляции событий во внешних системах мониторинга.

## Как это реализовано в Printum

Для каждого зарегистрированного события безопасности в журнале информационной безопасности сохраняется следующий набор атрибутов:

<table id="bkmrk-%D0%90%D1%82%D1%80%D0%B8%D0%B1%D1%83%D1%82%D0%A1%D0%BE%D0%B4%D0%B5%D1%80%D0%B6%D0%B0%D0%BD%D0%B8%D0%B5-%D0%92%D1%80"><tr><th>Атрибут</th><th>Содержание</th></tr><tr><td>Время события (UTC)</td><td>Дата и время регистрации события</td></tr><tr><td>Группа события</td><td>Категория события безопасности</td></tr><tr><td>Тип события</td><td>Конкретное зарегистрированное событие</td></tr><tr><td>Уникальный идентификатор события</td><td>Уникальный код события</td></tr><tr><td>Тип операции</td><td>Выполненное действие (создание, изменение, удаление, авторизация и др.)</td></tr><tr><td>Субъект операции</td><td>Пользователь, выполнивший действие</td></tr><tr><td>IP-адрес субъекта</td><td>Сетевой адрес источника события</td></tr><tr><td>Объект операции</td><td>Объект, над которым выполнялось действие</td></tr><tr><td>Идентификатор объекта</td><td>Адрес или идентификатор объекта операции</td></tr><tr><td>Компонент системы</td><td>Наименование и версия компонента Printum</td></tr><tr><td>Результат операции</td><td>Успешное или неуспешное выполнение действия</td></tr><tr><td>Изменённые параметры</td><td>Старые и новые значения изменённых данных</td></tr><tr><td>Дополнительная информация</td><td>Диагностическая информация и сведения об ошибках</td></tr><tr><td>Метод запроса</td><td>Используемый HTTP-метод</td></tr><tr><td>Уровень важности</td><td>Критичность события безопасности</td></tr></table>

Совокупность указанных атрибутов позволяет определить источник события, объект воздействия, характер выполненной операции, результат её выполнения и изменения, внесённые в систему, что обеспечивает возможность расследования инцидентов и последующей корреляции событий безопасности.

В журнале фиксируются операции создания, изменения, удаления, просмотра, аутентификации, авторизации, установки, удаления, синхронизации и другие действия пользователей и компонентов системы.

Атрибутный состав записи соответствует требованиям ГОСТ Р 59548-2022 к журналированию событий безопасности и используется для поиска событий, расследования инцидентов, формирования отчётов и передачи событий во внешние системы мониторинга и SIEM.

# Аудит действий администраторов

**Зона ответственности:** Printum + Заказчик / Интегратор

**Коротко:** Printum обеспечивает регистрацию действий администраторов и других привилегированных пользователей в журнале информационной безопасности. Журнал позволяет определить, кто, когда и какие изменения выполнял в системе.

## Требование

Система должна обеспечивать контроль действий пользователей с административными полномочиями.

Регистрация административных действий позволяет расследовать инциденты, контролировать изменения настроек системы и обеспечивать персональную ответственность пользователей с расширенными правами доступа.

## Как это реализовано в Printum

Действия администраторов и других пользователей, обладающих соответствующими полномочиями, регистрируются в журнале информационной безопасности Printum.

Журналируются операции:

- создания объектов системы;
- изменения настроек;
- удаления объектов;
- изменения параметров безопасности;
- управления пользователями и ролями;
- управления интеграциями;
- архивирования и восстановления журнала информационной безопасности;
- другие административные операции.

Для каждого события сохраняются сведения о пользователе, времени выполнения операции, результате выполнения, источнике подключения и изменённых параметрах.

При регистрации изменений значений параметров фиксируются предыдущие и новые значения изменённых данных. Конфиденциальные значения, такие как пароли и секреты доступа, не отображаются в открытом виде.

Для отдельных объектов системы дополнительно используется механизм контроля изменений, позволяющий сохранять историю изменений объектов.

Доступ к журналу информационной безопасности предоставляется только пользователям, которым назначено соответствующее право доступа.

Подробная информация о составе записи журнала приведена в статье «Атрибутный состав записи в журнале».

## Что требуется от инфраструктуры

Для централизованного мониторинга действий администраторов события безопасности могут передаваться во внешнюю SIEM или SOC.

Подробная информация приведена в статье «Передача событий в SIEM».

# Журналы без чувствительных данных

**Зона ответственности:** Printum

> **Коротко:** Журналы Printum могут содержать сведения о пользователях, необходимые для аудита и расследования инцидентов, однако не содержат паролей, токенов доступа и других секретных данных в открытом виде.

## Требование

Система должна обеспечивать регистрацию событий безопасности и действий пользователей без раскрытия конфиденциальной информации, способной привести к компрометации системы или учетных записей.

## Как это реализовано в Printum

Журналы системы используются для регистрации действий пользователей, административных операций, событий безопасности и работы компонентов системы.

Для обеспечения возможности аудита и расследования инцидентов журналы могут содержать сведения о пользователях и объектах системы, включая:

- имя пользователя;
- логин пользователя;
- другие сведения, необходимые для идентификации источника события.

При этом в журналах не сохраняются в открытом виде:

- пароли пользователей;
- сервисные пароли;
- токены доступа;
- криптографические ключи;
- иные секретные данные, используемые для аутентификации или доступа к внешним системам.

При аутентификации пользователей пароли не записываются в журналы событий.

Для хранения пользовательских паролей используется хэширование, а для хранения технических секретов и параметров интеграции применяется шифрование.

# Защита журналов от изменения и доступ к журналам

**Зона ответственности:** Printum

> **Коротко:** Доступ к журналу информационной безопасности определяется назначенной пользователю ролью. Записи журнала не могут редактироваться через интерфейс системы. Выгрузка журнала выполняется в защищённый архив, который может быть загружен только в тот же экземпляр Printum, из которого был выгружен.

## Требование

Система должна ограничивать доступ к журналам безопасности и предотвращать несанкционированное изменение зарегистрированных событий.

Доступ к журналам должен предоставляться только уполномоченным пользователям, а зарегистрированные события должны сохранять свою целостность.

## Как это реализовано в Printum

Доступ к журналу информационной безопасности контролируется ролевой моделью Printum.

Доступ к журналу предоставляется только после успешной аутентификации пользователя.

Записи журнала информационной безопасности не могут редактироваться через интерфейс системы.

Журнал информационной безопасности может быть выгружен в архив. Выгруженный архив шифруется и предназначен для загрузки только в тот же экземпляр Printum, из которого был выгружен.

Такой архив нельзя открыть как обычный файл или загрузить в другой экземпляр Printum.

## Ограничения и особенности

При наличии административного доступа к серверам системы доступ к данным журналов может быть получен средствами операционной системы и используемых компонентов инфраструктуры.

# Мониторинг и анализ событий безопасности

**Зона ответственности:** Printum + Заказчик / Интегратор

**Коротко:** Printum обеспечивает регистрацию событий безопасности и их передачу во внешние системы мониторинга. Обнаружение, корреляция и анализ инцидентов информационной безопасности выполняются средствами SIEM или SOC заказчика.

## Требование

Система должна обеспечивать возможность мониторинга событий безопасности, анализа действий пользователей и расследования инцидентов информационной безопасности.

Для обнаружения инцидентов необходимо получать сведения о событиях безопасности, произошедших в системе, а также обеспечивать возможность их последующего анализа и корреляции.

## Как это реализовано в Printum

Printum ведёт журнал информационной безопасности и регистрирует события, связанные с аутентификацией пользователей, изменением настроек системы, управлением учётными записями, изменением ролей и другими действиями, влияющими на безопасность системы.

Для каждого события сохраняется набор атрибутов, достаточный для анализа и расследования инцидентов. Состав записи журнала описан в статье «Атрибутный состав записи в журнале».

Printum поддерживает передачу событий безопасности во внешние системы мониторинга и управления событиями безопасности (SIEM). Подробная информация приведена в статье «Передача событий в SIEM».

Средства корреляции событий, автоматического обнаружения инцидентов, управления инцидентами и автоматизированного реагирования в состав Printum не входят.

## Что требуется от инфраструктуры

Обнаружение, идентификация и корреляция инцидентов информационной безопасности выполняются средствами SIEM, SOC или других систем мониторинга безопасности, используемых заказчиком.

Для повышения эффективности мониторинга рекомендуется разрабатывать правила корреляции и сценарии реагирования с учётом перечня регистрируемых событий безопасности и требований службы информационной безопасности организации.

# Передача событий в SIEM

**Зона ответственности:** Printum + Заказчик / Интегратор

> **Коротко:** Printum поддерживает передачу событий безопасности во внешние SIEM и системы мониторинга по протоколу Syslog, включая TCP, UDP и TCP с TLS. Передача выполняется только в исходящем направлении.

## Требование

Система должна обеспечивать возможность передачи событий безопасности во внешние системы мониторинга, корреляции событий и расследования инцидентов.

Передаваемые события должны содержать достаточный объём информации для анализа событий безопасности и интеграции с корпоративным SOC или SIEM.

## Как это реализовано в Printum

Printum поддерживает передачу событий безопасности во внешние системы мониторинга и управления событиями безопасности (SIEM).

Для передачи событий поддерживаются следующие механизмы:

- Syslog по UDP;
- Syslog по TCP;
- Syslog по TCP с TLS.

Для защищённого соединения может использоваться проверка сертификатов и TLS-шифрование канала связи.

Параметры подключения к внешней системе настраиваются через панель администратора Мониторинга, включая адрес назначения и используемый порт.

Передаваемые события могут фильтроваться по следующим параметрам:

- диапазон дат;
- типы событий;
- группы событий;
- результаты выполнения операций;
- уровень важности событий;
- локации.

Состав передаваемых событий соответствует атрибутному составу журнала информационной безопасности Printum и описан в статье «Атрибутный состав записи в журнале».

Для контроля передачи событий система ведёт учёт успешно и неуспешно переданных сообщений, а также отслеживает прогресс выгрузки событий.

При временной недоступности внешней системы события накапливаются и передаются после восстановления соединения.

Передача событий выполняется только в исходящем направлении. Приём данных через данный механизм не осуществляется.

## Что требуется от инфраструктуры

Заказчик обеспечивает доступность и настройку внешней SIEM или иной системы мониторинга безопасности.

Для использования защищённого соединения по TLS должны быть настроены необходимые сертификаты и параметры доверия между системами.

# Перечень регистрируемых событий безопасности

**Зона ответственности:** Printum

> **Коротко:** Printum регистрирует события аутентификации, авторизации, управления пользователями, изменения конфигурации, административных операций и другие события безопасности. В текущих версиях системы журналируется несколько сотен типов событий.

## Требование

Система должна обеспечивать регистрацию событий безопасности, достаточных для расследования инцидентов, контроля действий пользователей и администраторов, а также последующего анализа событий безопасности.

## Как это реализовано в Printum

Printum ведёт журнал информационной безопасности и регистрирует события, связанные с действиями пользователей, администраторов и компонентов системы.

В журнале регистрируются события следующих категорий.

### Аутентификация и управление сессиями

- аутентификация по логину и паролю;
- аутентификация через SAML;
- аутентификация через Kerberos;
- авторизация на МФУ;
- авторизация по карте доступа;
- импорт карт доступа;
- создание и завершение пользовательских сессий;
- управление пользовательскими сессиями.

### Блокировки и контроль доступа

- блокировка пользователя после неуспешных попыток входа;
- ручная блокировка и разблокировка пользователей;
- истечение срока действия пароля;
- попытки доступа к административному интерфейсу без авторизации.

### Управление пользователями и ролями

- создание, изменение и удаление пользователей;
- управление группами пользователей;
- изменение ролей;
- изменение ролевой модели;
- изменение паролей;
- настройка PIN-кодов.

### Изменение конфигурации системы

- изменение параметров безопасности;
- изменение парольных политик;
- изменение настроек доменной авторизации;
- изменение настроек интеграций;
- изменение параметров мониторинга;
- изменение групп устройств;
- изменение системных настроек и правил обработки данных.

### Действия с журналом безопасности

- просмотр журнала информационной безопасности;
- архивирование журнала;
- восстановление данных из архива.

### Отчёты

- просмотр отчётов;
- сохранение отчётов.

Полный перечень регистрируемых событий определяется версией системы и может расширяться по мере развития функциональности Printum.

Для каждого события сохраняется набор атрибутов, описанный в статье «Атрибутный состав записи в журнале».

Регистрация событий выполняется через встроенные механизмы аудита системы. Создание записей журнала в обход зарегистрированных механизмов аудита архитектурой системы не предусматривается.

## Ограничения и особенности

Количество и состав регистрируемых событий может отличаться в зависимости от версии системы и используемых компонентов Printum.

# Синхронизация времени (NTP)

**Зона ответственности:** Заказчик / Интегратор

> **Коротко:** Printum использует системное время серверов для формирования временных меток событий. Синхронизация времени хостов с корпоративным NTP-сервером выполняется средствами операционной системы и инфраструктуры заказчика.

## Требование

Система должна обеспечивать корректную регистрацию времени событий безопасности.

Единое системное время необходимо для сопоставления событий между компонентами Printum, внешними системами мониторинга, SIEM и другими элементами инфраструктуры.

## Как это реализовано в Printum

Printum использует системное время сервера для формирования временных меток событий.

Все временные метки хранятся с указанием временной зоны. Для событий информационной безопасности используются временные метки, формируемые на основании текущего времени сервера.

При передаче событий во внешние системы временные метки сериализуются в формате ISO 8601.

Точность хранения временных меток обеспечивается используемой программной платформой и базой данных и составляет до микросекунд.

Все контейнеры Мониторинга и ПринтМенеджера используют системное время хоста, на котором они запущены.

## Что требуется от инфраструктуры

Printum не управляет NTP-службой операционной системы и не выполняет синхронизацию времени самостоятельно.

Синхронизация системного времени серверов, на которых работают компоненты Printum, выполняется средствами инфраструктуры заказчика.