Cél

Kiemelten védett, például hatósági felügyelet alatt álló informatikai rendszer adminisztrátori tevékenységének figyelése, a kiértékelésben a rendszergazdai beavatkozás lehetőségének minimálisra csökkentése.

Üzleti igény/eredmény

A védett forrásrendszerekben keletkező, kiemelt jogosultsággal rendelkező adminisztrátori tevékenység eseményeinek (logjainak) a gyűjtése és utólagos ellenőrzése egy – a védett rendszerektől teljesen különálló – alkalmazásban. Mindezt olyan módon, hogy a forrásoldali naplózás esetleges manipulálása ne befolyásolhassa az eredményt, ne eredményezhessen adatvesztést. A független szerveren keletkező naplóállományok feldolgozása támogatja a konfigurálással kialakított új szolgáltatásokkal kapcsolatos belső ellenőrzéseket, ezzel együtt a kapcsolódó visszaélések felderítését.

Megoldás

A SeaLog keretrendszer az adatok összegyűjtéséhez egy kollektor alkalmazással dolgozik együtt (Balabit SCB), amely a forrásrendszer összes produktív interfészét figyeli. A kapcsolat megvalósítására az SCB és a logelemző szerverek között egy Layer 2 MPLS vonal került kiépítésre. Ez az architektúra biztosítja, hogy a rendszergazdák által kiadott utasítások ne a figyelt rendszer naplózási szolgáltatásán keresztül kerüljenek az elemző alkalmazásba, hanem hardver szintű adatfeldolgozás megvalósításával minden egyes leütött karakter bekerüljön az elemző rendszerbe. Az eseményeket leíró naplórekordok összeállítása ténylegesen is a forrásrendszertől elkülönülő logelemző oldalon történik meg, így az adminisztrátoroknak log törlési/módosítási kísérletre nem nyílik lehetőségük.

A riasztási szolgáltatás a logelemző rendszer riasztási motorjára épül például alábbi tartalommal:

• process megszakítása
• ütemezés változtatása
• jelszó megváltoztatása