Перечень регистрируемых событий безопасности

Зона ответственности: Printum

Коротко: Printum регистрирует события аутентификации, авторизации, управления пользователями, изменения конфигурации, административных операций и другие события безопасности. В текущих версиях системы журналируется несколько сотен типов событий.

Требование

Система должна обеспечивать регистрацию событий безопасности, достаточных для расследования инцидентов, контроля действий пользователей и администраторов, а также последующего анализа событий безопасности.

Как это реализовано в Printum

Printum ведёт журнал информационной безопасности и регистрирует события, связанные с действиями пользователей, администраторов и компонентов системы.

В журнале регистрируются события следующих категорий.

Аутентификация и управление сессиями

аутентификация по логину и паролю;
аутентификация через SAML;
аутентификация через Kerberos;
авторизация на МФУ;
авторизация по карте доступа;
импорт карт доступа;
создание и завершение пользовательских сессий;
управление пользовательскими сессиями.

Блокировки и контроль доступа

блокировка пользователя после неуспешных попыток входа;
ручная блокировка и разблокировка пользователей;
истечение срока действия пароля;
попытки доступа к административному интерфейсу без авторизации.

Управление пользователями и ролями

создание, изменение и удаление пользователей;
управление группами пользователей;
изменение ролей;
изменение ролевой модели;
изменение паролей;
настройка PIN-кодов.

Изменение конфигурации системы

изменение параметров безопасности;
изменение парольных политик;
изменение настроек доменной авторизации;
изменение настроек интеграций;
изменение параметров мониторинга;
изменение групп устройств;
изменение системных настроек и правил обработки данных.

Действия с журналом безопасности

просмотр журнала информационной безопасности;
архивирование журнала;
восстановление данных из архива.

Отчёты

просмотр отчётов;
сохранение отчётов.

Полный перечень регистрируемых событий определяется версией системы и может расширяться по мере развития функциональности Printum.

Для каждого события сохраняется набор атрибутов, описанный в статье «Атрибутный состав записи в журнале».

Регистрация событий выполняется через встроенные механизмы аудита системы. Создание записей журнала в обход зарегистрированных механизмов аудита архитектурой системы не предусматривается.

Ограничения и особенности

Количество и состав регистрируемых событий может отличаться в зависимости от версии системы и используемых компонентов Printum.

Совместимость с антивирусным ПО

Атрибутный состав записи в журнале

Аудит действий администраторов

Журналы без чувствительных данных

Защита журналов от изменения и доступ к журналам

Мониторинг и анализ событий безопасности

Передача событий в SIEM

Перечень регистрируемых событий безопасности

Синхронизация времени (NTP)

Мандатное управление доступом

Профили безопасности

Хранение паролей в хэшированном и зашифрованном виде

Rootless режим контейнера

Отсутствие SUID-SGID файлов и утилит повышения привилегий

Соответствие рекомендациям CIS Benchmark

Фиксированные теги контейнерных образов

Хранение секретов в контейнерных образах

Контроль целостности ПО и конфигурационных файлов

Механизмы резервного копирования и восстановления

Использование небезопасных сетевых протоколов

Сегментация сети и зоны безопасности

Анонимный доступ запрещён

Блокировка и управление учётными записями

Доменная аутентификация и единый вход (SSO)

Идентификация и аутентификация пользователей

Парольная политика

Ролевая модель RBAC

Тайм-аут сессии и автоматическое завершение сеанса

Технические учётные записи

Использование СКЗИ и ГОСТ-криптографии

Управление сертификатами

Шифрование каналов связи

Перечень регистрируемых событий безопасности

Требование

Как это реализовано в Printum

Аутентификация и управление сессиями

Блокировки и контроль доступа

Управление пользователями и ролями

Изменение конфигурации системы

Действия с журналом безопасности

Отчёты

Ограничения и особенности