Журналирование Атрибутный состав записи в журнале Зона ответственности: Printum Коротко: Каждая запись журнала информационной безопасности Printum содержит сведения о времени события, субъекте, объекте, типе операции, результате выполнения и других атрибутах, необходимых для расследования инцидентов и передачи событий во внешние системы мониторинга. Требование Система должна обеспечивать регистрацию событий безопасности с сохранением информации, достаточной для расследования инцидентов, анализа действий пользователей и последующей корреляции событий во внешних системах мониторинга. Как это реализовано в Printum Для каждого зарегистрированного события безопасности в журнале информационной безопасности сохраняется следующий набор атрибутов: Атрибут Содержание Время события (UTC) Дата и время регистрации события Группа события Категория события безопасности Тип события Конкретное зарегистрированное событие Уникальный идентификатор события Уникальный код события Тип операции Выполненное действие (создание, изменение, удаление, авторизация и др.) Субъект операции Пользователь, выполнивший действие IP-адрес субъекта Сетевой адрес источника события Объект операции Объект, над которым выполнялось действие Идентификатор объекта Адрес или идентификатор объекта операции Компонент системы Наименование и версия компонента Printum Результат операции Успешное или неуспешное выполнение действия Изменённые параметры Старые и новые значения изменённых данных Дополнительная информация Диагностическая информация и сведения об ошибках Метод запроса Используемый HTTP-метод Уровень важности Критичность события безопасности Совокупность указанных атрибутов позволяет определить источник события, объект воздействия, характер выполненной операции, результат её выполнения и изменения, внесённые в систему, что обеспечивает возможность расследования инцидентов и последующей корреляции событий безопасности. В журнале фиксируются операции создания, изменения, удаления, просмотра, аутентификации, авторизации, установки, удаления, синхронизации и другие действия пользователей и компонентов системы. Атрибутный состав записи соответствует требованиям ГОСТ Р 59548-2022 к журналированию событий безопасности и используется для поиска событий, расследования инцидентов, формирования отчётов и передачи событий во внешние системы мониторинга и SIEM. Аудит действий администраторов Зона ответственности: Printum + Заказчик / Интегратор Коротко: Printum обеспечивает регистрацию действий администраторов и других привилегированных пользователей в журнале информационной безопасности. Журнал позволяет определить, кто, когда и какие изменения выполнял в системе. Требование Система должна обеспечивать контроль действий пользователей с административными полномочиями. Регистрация административных действий позволяет расследовать инциденты, контролировать изменения настроек системы и обеспечивать персональную ответственность пользователей с расширенными правами доступа. Как это реализовано в Printum Действия администраторов и других пользователей, обладающих соответствующими полномочиями, регистрируются в журнале информационной безопасности Printum. Журналируются операции: создания объектов системы; изменения настроек; удаления объектов; изменения параметров безопасности; управления пользователями и ролями; управления интеграциями; архивирования и восстановления журнала информационной безопасности; другие административные операции. Для каждого события сохраняются сведения о пользователе, времени выполнения операции, результате выполнения, источнике подключения и изменённых параметрах. При регистрации изменений значений параметров фиксируются предыдущие и новые значения изменённых данных. Конфиденциальные значения, такие как пароли и секреты доступа, не отображаются в открытом виде. Для отдельных объектов системы дополнительно используется механизм контроля изменений, позволяющий сохранять историю изменений объектов. Доступ к журналу информационной безопасности предоставляется только пользователям, которым назначено соответствующее право доступа. Подробная информация о составе записи журнала приведена в статье «Атрибутный состав записи в журнале». Что требуется от инфраструктуры Для централизованного мониторинга действий администраторов события безопасности могут передаваться во внешнюю SIEM или SOC. Подробная информация приведена в статье «Передача событий в SIEM». Журналы без чувствительных данных Зона ответственности: Printum Коротко: Журналы Printum могут содержать сведения о пользователях, необходимые для аудита и расследования инцидентов, однако не содержат паролей, токенов доступа и других секретных данных в открытом виде. Требование Система должна обеспечивать регистрацию событий безопасности и действий пользователей без раскрытия конфиденциальной информации, способной привести к компрометации системы или учетных записей. Как это реализовано в Printum Журналы системы используются для регистрации действий пользователей, административных операций, событий безопасности и работы компонентов системы. Для обеспечения возможности аудита и расследования инцидентов журналы могут содержать сведения о пользователях и объектах системы, включая: имя пользователя; логин пользователя; другие сведения, необходимые для идентификации источника события. При этом в журналах не сохраняются в открытом виде: пароли пользователей; сервисные пароли; токены доступа; криптографические ключи; иные секретные данные, используемые для аутентификации или доступа к внешним системам. При аутентификации пользователей пароли не записываются в журналы событий. Для хранения пользовательских паролей используется хэширование, а для хранения технических секретов и параметров интеграции применяется шифрование. Защита журналов от изменения и доступ к журналам Зона ответственности: Printum Коротко: Доступ к журналу информационной безопасности определяется назначенной пользователю ролью. Записи журнала не могут редактироваться через интерфейс системы. Выгрузка журнала выполняется в защищённый архив, который может быть загружен только в тот же экземпляр Printum, из которого был выгружен. Требование Система должна ограничивать доступ к журналам безопасности и предотвращать несанкционированное изменение зарегистрированных событий. Доступ к журналам должен предоставляться только уполномоченным пользователям, а зарегистрированные события должны сохранять свою целостность. Как это реализовано в Printum Доступ к журналу информационной безопасности контролируется ролевой моделью Printum. Доступ к журналу предоставляется только после успешной аутентификации пользователя. Записи журнала информационной безопасности не могут редактироваться через интерфейс системы. Журнал информационной безопасности может быть выгружен в архив. Выгруженный архив шифруется и предназначен для загрузки только в тот же экземпляр Printum, из которого был выгружен. Такой архив нельзя открыть как обычный файл или загрузить в другой экземпляр Printum. Ограничения и особенности При наличии административного доступа к серверам системы доступ к данным журналов может быть получен средствами операционной системы и используемых компонентов инфраструктуры. Мониторинг и анализ событий безопасности Зона ответственности: Printum + Заказчик / Интегратор Коротко: Printum обеспечивает регистрацию событий безопасности и их передачу во внешние системы мониторинга. Обнаружение, корреляция и анализ инцидентов информационной безопасности выполняются средствами SIEM или SOC заказчика. Требование Система должна обеспечивать возможность мониторинга событий безопасности, анализа действий пользователей и расследования инцидентов информационной безопасности. Для обнаружения инцидентов необходимо получать сведения о событиях безопасности, произошедших в системе, а также обеспечивать возможность их последующего анализа и корреляции. Как это реализовано в Printum Printum ведёт журнал информационной безопасности и регистрирует события, связанные с аутентификацией пользователей, изменением настроек системы, управлением учётными записями, изменением ролей и другими действиями, влияющими на безопасность системы. Для каждого события сохраняется набор атрибутов, достаточный для анализа и расследования инцидентов. Состав записи журнала описан в статье «Атрибутный состав записи в журнале». Printum поддерживает передачу событий безопасности во внешние системы мониторинга и управления событиями безопасности (SIEM). Подробная информация приведена в статье «Передача событий в SIEM». Средства корреляции событий, автоматического обнаружения инцидентов, управления инцидентами и автоматизированного реагирования в состав Printum не входят. Что требуется от инфраструктуры Обнаружение, идентификация и корреляция инцидентов информационной безопасности выполняются средствами SIEM, SOC или других систем мониторинга безопасности, используемых заказчиком. Для повышения эффективности мониторинга рекомендуется разрабатывать правила корреляции и сценарии реагирования с учётом перечня регистрируемых событий безопасности и требований службы информационной безопасности организации. Передача событий в SIEM Зона ответственности: Printum + Заказчик / Интегратор Коротко: Printum поддерживает передачу событий безопасности во внешние SIEM и системы мониторинга по протоколу Syslog, включая TCP, UDP и TCP с TLS. Передача выполняется только в исходящем направлении. Требование Система должна обеспечивать возможность передачи событий безопасности во внешние системы мониторинга, корреляции событий и расследования инцидентов. Передаваемые события должны содержать достаточный объём информации для анализа событий безопасности и интеграции с корпоративным SOC или SIEM. Как это реализовано в Printum Printum поддерживает передачу событий безопасности во внешние системы мониторинга и управления событиями безопасности (SIEM). Для передачи событий поддерживаются следующие механизмы: Syslog по UDP; Syslog по TCP; Syslog по TCP с TLS. Для защищённого соединения может использоваться проверка сертификатов и TLS-шифрование канала связи. Параметры подключения к внешней системе настраиваются через панель администратора Мониторинга, включая адрес назначения и используемый порт. Передаваемые события могут фильтроваться по следующим параметрам: диапазон дат; типы событий; группы событий; результаты выполнения операций; уровень важности событий; локации. Состав передаваемых событий соответствует атрибутному составу журнала информационной безопасности Printum и описан в статье «Атрибутный состав записи в журнале». Для контроля передачи событий система ведёт учёт успешно и неуспешно переданных сообщений, а также отслеживает прогресс выгрузки событий. При временной недоступности внешней системы события накапливаются и передаются после восстановления соединения. Передача событий выполняется только в исходящем направлении. Приём данных через данный механизм не осуществляется. Что требуется от инфраструктуры Заказчик обеспечивает доступность и настройку внешней SIEM или иной системы мониторинга безопасности. Для использования защищённого соединения по TLS должны быть настроены необходимые сертификаты и параметры доверия между системами. Перечень регистрируемых событий безопасности Зона ответственности: Printum Коротко: Printum регистрирует события аутентификации, авторизации, управления пользователями, изменения конфигурации, административных операций и другие события безопасности. В текущих версиях системы журналируется несколько сотен типов событий. Требование Система должна обеспечивать регистрацию событий безопасности, достаточных для расследования инцидентов, контроля действий пользователей и администраторов, а также последующего анализа событий безопасности. Как это реализовано в Printum Printum ведёт журнал информационной безопасности и регистрирует события, связанные с действиями пользователей, администраторов и компонентов системы. В журнале регистрируются события следующих категорий. Аутентификация и управление сессиями аутентификация по логину и паролю; аутентификация через SAML; аутентификация через Kerberos; авторизация на МФУ; авторизация по карте доступа; импорт карт доступа; создание и завершение пользовательских сессий; управление пользовательскими сессиями. Блокировки и контроль доступа блокировка пользователя после неуспешных попыток входа; ручная блокировка и разблокировка пользователей; истечение срока действия пароля; попытки доступа к административному интерфейсу без авторизации. Управление пользователями и ролями создание, изменение и удаление пользователей; управление группами пользователей; изменение ролей; изменение ролевой модели; изменение паролей; настройка PIN-кодов. Изменение конфигурации системы изменение параметров безопасности; изменение парольных политик; изменение настроек доменной авторизации; изменение настроек интеграций; изменение параметров мониторинга; изменение групп устройств; изменение системных настроек и правил обработки данных. Действия с журналом безопасности просмотр журнала информационной безопасности; архивирование журнала; восстановление данных из архива. Отчёты просмотр отчётов; сохранение отчётов. Полный перечень регистрируемых событий определяется версией системы и может расширяться по мере развития функциональности Printum. Для каждого события сохраняется набор атрибутов, описанный в статье «Атрибутный состав записи в журнале». Регистрация событий выполняется через встроенные механизмы аудита системы. Создание записей журнала в обход зарегистрированных механизмов аудита архитектурой системы не предусматривается. Ограничения и особенности Количество и состав регистрируемых событий может отличаться в зависимости от версии системы и используемых компонентов Printum. Синхронизация времени (NTP) Зона ответственности: Заказчик / Интегратор Коротко: Printum использует системное время серверов для формирования временных меток событий. Синхронизация времени хостов с корпоративным NTP-сервером выполняется средствами операционной системы и инфраструктуры заказчика. Требование Система должна обеспечивать корректную регистрацию времени событий безопасности. Единое системное время необходимо для сопоставления событий между компонентами Printum, внешними системами мониторинга, SIEM и другими элементами инфраструктуры. Как это реализовано в Printum Printum использует системное время сервера для формирования временных меток событий. Все временные метки хранятся с указанием временной зоны. Для событий информационной безопасности используются временные метки, формируемые на основании текущего времени сервера. При передаче событий во внешние системы временные метки сериализуются в формате ISO 8601. Точность хранения временных меток обеспечивается используемой программной платформой и базой данных и составляет до микросекунд. Все контейнеры Мониторинга и ПринтМенеджера используют системное время хоста, на котором они запущены. Что требуется от инфраструктуры Printum не управляет NTP-службой операционной системы и не выполняет синхронизацию времени самостоятельно. Синхронизация системного времени серверов, на которых работают компоненты Printum, выполняется средствами инфраструктуры заказчика.