База знаний

База Знаний

Документация

...

Общие сведения

UserGate 6.x

UserGate 7.x

Быстрый старт

NGFW 7.0.1 Руководство администратора

Management Center 7.0.1 Руководство администратора

Принятые обозначения и сокращения

Введение

Лицензирование UGMC

Планирование внедрения UGMC

Первоначальная настройка

Офлайн операции с сервером

Настройка UGMC

Настройка сети

Интерфейс командной строки (CLI)

Диагностика и мониторинг

Журналы и отчёты

Управление областями

Управление межсетевыми экранами UserGate

Управление устройствами LogAn

Управление конечными устройствами UserGate Client

Управление конечными устройствами UserGate Client ...

Установка ПО UserGate Client

Шаблоны управляемых устройств UGC

Группы шаблонов управляемых устройств UGC

Добавление управляемых устройств UGC под управлени...

Управление устройством UGC из консоли UGMC

Сбор и анализ данных с устройств UGC

HIP профили

Объекты HIP

Приложения

Log Analyzer 7.0.1 Руководство администратора

NGFW 7.1.x Руководство администратора

Management Center 7.1.x Руководство администратора

Log Analyzer 7.1.x Руководство администратора

UserGate SIEM 7.1.x Руководство администратора

Описание версий

Аппаратные платформы

Часто задаваемые вопросы

Сбор и анализ данных с устройств UGC

ID статьи: 415

Последнее обновление: 29 фев, 2024

Содержание:

Documentation:

Product: UGMC

Version: 7.0.1

LogAn является продуктом компании UserGate, входящим в состав экосистемы UserGate SUMMA. LogAn устанавливается на отдельном сервере, использование которого позволяет обеспечить высокую надёжность и хорошую масштабируемость системы. LogAn предоставляет возможность осуществления сбора и анализа данных с различных устройств, мониторинга событий безопасности и создания отчётов. Для получения подробной информации о LogAn обратитесь к соответствующей документации.

Для отправки данных на сервер LogAn, его необходимо назначить, используя шаблон конечных устройств. Для передачи журналов и телеметрии с UG Client на сервер UG LogAn используется один из портов из диапазона (22000-22711), автоматически выделенный в МС для данного конечного устройства, передача данных происходит через UGMC. Настройка сервера LogAn для конечных устройств производится с использованием шаблонов конечных устройств. Подробнее читайте в разделе Настройки.

Получая данные, LogAn осуществляет анализ произошедших событий и отслеживает активность пользователей. Полученные с управляемого устройства UGC события будут записаны в следующие журналы:

Журнал событий конечных устройств;
Журнал правил конечных устройств;
Журнал приложений конечных устройств;
Журнал аппаратуры.

Для просмотра данных с устройств UGC используется раздел веб-консоли Журналы и отчёты ➜ Журналы ➜ Конечные устройства.

Формирование данных журналов будет рассмотрено далее в разделах Журнал событий конечных устройств, Журнал правил конечных устройств, Приложения конечных устройств и Аппаратура конечных устройств.

Журнал событий конечных устройств

В журнале событий конечных устройств отражены события, получаемые от конечных устройств, контролируемых с использованием программного обеспечения UserGate Client.

Для удобства поиска необходимых событий записи могут быть отфильтрованы по различным критериям, например, диапазон дат, важности, типу события и т.п.

В UserGate LogAn также представлен режим расширенного поиска для формирования сложных фильтров поиска с использованием специального языка запросов, синтаксис которого рассмотрен далее в разделе Режим расширенного поиска.

После выбора необходимых параметров настроенный фильтр можно сохранить, нажав кнопку Сохранить как. Список сохранённых фильтров можно будет увидеть во вкладке Популярные фильтры.

Администратор может сам выбрать столбцы, которые будут отражаться в журнале. Для этого необходимо навести указатель мыши на название любого столбца, нажать на появившуюся справа от названия столбца стрелку, выбрать Столбцы и в появившемся контекстном меню выбрать необходимые параметры.

В журнале событий конечных устройств можно увидеть следующую информацию:

Наименование	Описание
Узел	Идентификатор конечного устройства или узла, на котором запущен сенсор.
Время	Время события. Отображается в часовом поясе, настроенном на LogAn.
Конечное устройство/сенсор	Отображено имя компьютера.
Уровень лога	Отображен тип события: Аудит успеха (Audit Success): событие журнала безопасности, которое происходит при успешном обращении к аудируемым ресурсам; Аудит отказа (Audit Failure): событие журнала безопасности, которое происходит при неуспешном обращении к аудируемым ресурсам; Ошибка (Error): событие указывает на существенные проблемы, которые могут стать причиной потери функциональности или данных; Сведения (Information): информационные события, которые, как правило, не требуют внимания администратора; Предупреждение (Warning): события указывают на проблемы, которые не требуют немедленного исправления, однако могут привести к ошибкам в будущем.
Данные	Представлена подробная информация о событии.
Источник журнала событий	Показан источника журнала событий.
Категория журнала	Отображена категория лога, необходимая для упорядочивания событий. Данные берутся из Windows EventLog. Каждый источник может определять свои идентификаторы категорий. Относится к записям журнала событий конечных устройств.
Категория инцидента	Показана категория инцидента.
Имя компьютера	Показано полное имя компьютера.
Имя пользователя	Показано имя пользователя, с учётной записи которого был совершен вход в систему конечного устройства.
Код события лога	Представлен код, соответствующий определённому событию.
Идентификатор события лога	Отображён идентификатор события лога, который определяет первичный идентификатор события.
Тип события лога	Отображён тип события лога, соответствующий определённому уровню лога: 1 - уровень лога: ошибка (error); 2 - уровень лога: предупреждение (warning); 3 - уровень лога: сведения (information); 4 - уровень лога: аудит успеха (audit success); 5 - уровень лога: аудит отказа (audit failure).
Строка вставки	Содержит данные блока EventData события Windows.
Файл журнала лога	Показано к какому типу файла журнала относится событие: Application (файл журнала приложений): для событий приложений и служб; Security (файл журнала безопасности): для событий системы аудита; System (файл системного журнала): для событий драйверов устройств; CustomLog: журнал содержит события, регистрируемые приложениями, которые создают пользовательский журнал. Использование пользовательского журнала позволяет приложению управлять размером журнала или присоединять списки управления доступом в целях безопасности, не затрагивая другие приложения.

С использованием кнопки Показать можно просмотреть выбранную запись журнала событий конечных устройств.

Запись журнала может быть добавлена к сведениям об инциденте нажатием кнопки Добавить в инцидент.

С помощью кнопки Экспортировать в CSV администратор может скачать отфильтрованные данные журнала в csv-файл для дальнейшего анализа.

Журнал правил конечных устройств

Журнал правил конечных устройств отображает события срабатывания правил межсетевого экрана конечных устройств, в настройках которых включена функция Журналирование. Настройка правил межсетевого экрана рассматривается в разделе Политики сети.

Для удобства поиска необходимых событий записи срабатываний правил межсетевого экрана могут быть отфильтрованы по различным критериям, например, диапазон дат, названию правил и т.п.

В журнале правил конечных устройств можно увидеть следующую информацию:

Наименование	Описание
Узел	Идентификатор конечного устройства.
Время	Указано время срабатывания правила. Отображается в часовом поясе, настроенном на LogAn.
Конечное устройство	Отображено имя компьютера.
Действие	Представлено действие, которое выполняется в соответствии с правилом: Разрешить; NAT; Запретить.
Правило	Показано название правила межсетевого экрана.
Приложение	Указано приложение, через которое осуществляется доступ к ресурсу.
Домен	Отображено имя домена, к которому было выполнено подключение.
Категория сайтов	Указаны категории сайтов, к которым относится адрес назначения. Категории сайтов будут отображены только в случае наличия правил с условием Категории сайтов.
Тип контента	Отображён тип контента.
Сетевой протокол	Указан транспортный протокол, использующийся для подключения к ресурсу.
IP источника	Показан IP-адрес источника трафика.
Порт источника	Отображён номер порта, через который осуществляется подключение.
IP назначения	Показан IP-адрес назначения трафика.
Порт назначения	Указан номер порта назначения, используемый транспортным протоколом.

Нажав кнопку Показать, можно просмотреть подробную информацию о выбранной записи журнала правил конечных устройств.

Запись журнала может быть добавлена к сведениям об инциденте нажатием кнопки Добавить в инцидент.

Приложения конечных устройств

Журнал приложений конечных устройств отображает приложения, которые запускались на конечных устройствах.

Для удобства формирования журнала записи могут быть отфильтрованы по различным критериям.

После настройки фильтра его можно сохранить, нажав кнопку Сохранить как. После сохранения фильтр будет доступен во вкладке Популярные фильтры.

В журнале приложений конечных устройств отображается следующая информация:

Наименование	Описание
Узел	Идентификатор конечного устройства.
Время	Время запуска приложения на конечном устройстве. Отображается в часовом поясе, настроенном на LogAn.
Конечное устройство	Отображено имя компьютера.
Действие	Запуск или остановка приложения.
Хэш	Хэш приложения.
Приложение	Название приложения, которое было запущено или остановлено.
Версия	Версия приложения.
Субъект подписи	Владелец сертификата.
Подписано	Издатель сертификата для приложения.
Идентификатор процесса	Идентификатор процесса приложения (PID).
Пользователь	Пользователь, запустивший приложение.
Командная строка	Команда запуска приложения.

Нажатие кнопки Показать позволяет открыть окно с информацией о записи журнала приложений.

Запись журнала может быть добавлена к сведениям об инциденте нажатием кнопки Добавить в инцидент.

Аппаратура конечных устройств

Данный журнал содержит информацию об устройствах, подключаемых к управляемому устройству UGC.

Для удобства формирования журнала записи могут быть отфильтрованы по различным критериям.

В LogAn также представлен режим расширенного поиска для формирования сложных фильтров поиска с использованием специального языка запросов, синтаксис которого рассмотрен далее в разделе Режим расширенного поиска.

Администратор может сам выбрать столбцы, которые будут отражаться в журнале. Для этого необходимо навести указатель мыши на название любого столбца, нажать на появившуюся справа от названия столбца, нажать на появившуюся справа от названия столбца стрелку, выбрать Столбцы и в появившемся контекстном меню выбрать необходимые параметры.

Журнал аппаратуры конечных устройств содержит следующую информацию:

Наименование	Описание
Узел	Идентификатор конечного устройства.
Время	Дата и время регистрации события.
Конечное устройство	Название конечного устройства.
Действие	Добавление или удаление устройства.
Устройство	Название устройства, которое было подключено или удалено.
Идентификатор устройства	Идентификатор подключенного/удалённого устройства.
Служба	Драйверы, использующиеся для работы с устройством.