Menu principale

Home
Novitā

Syndication
Garante e Amministratori: č utile una soluzione generica di raccolta log? PDF Stampa

Le soluzioni generiche che prevedono la raccolta integrale dei log di Windows rischiano di costituire costi inutili: basta ad esempio uno sguardo approfondito ai log dei sistemi Windows per rendersi conto che spesso non sono sufficienti a  rispondere alle richieste del Garante, della Magistratura o di altre autorità inquirenti.

 

Alcuni fattori qualificanti la soluzione NEST:

  • Filtro alla fonte, che riduce drasticamente i costi di archiviazione e semplifica le ricerche e la redazione del DPS.

    • I log dei sistemi Windows includono molti eventi ed informazioni inutili sia all'ottemperanza alla legge, sia ad eventuali utilizzi aziendali.

    • Un singolo logon/logoff Windows genera alcune decine di eventi nei log periferici e centrali, la maggior parte dei quali è inutile allo scopo.

    • Vi sono molti eventi di logon relativi all'accesso a risorse di rete, come stampanti, o cartelle condivise  da parte di utenze non amministrative (la maggior parte) che possono essere scartati alla fonte.

  • Completamento dei dati alla fonte, senza il quale sarebbe complesso e oneroso, e talvolta addirittura irrealizzabile fornire ad un inquirente i dati sugli accessi amministrativi.

    • E' stato verificato che a fronte di un logon, in molti casi Windows registra  nel log del Domain Controller l'indirizzo IP del computer che richiede l'accesso, mentre l'informazione indispensabile è il “Dominio/NomeComputer.” Infatti l'indirizzo IP, specie in presenza di server DHCP è variabile quindi da solo non è significativo. Il relay proposto completa l'informazione IP con il nome computer ed anche il MAC-Address (numero di serie della scheda di rete), identificando con precisione il computer interessato.

    • Nella maggior parte dei casi i log di Windows non specificano se si tratta di un accesso amministrativo. Determinare questa informazione in tempi successivi è inutile e fuorviante, nel frattempo potrebbero essere cambiati i privilegi.

    • Eventlog di Windows ha un formato binario che deve essere interpretato  sul computer che l'ha generato, pena il rischio di archiviare dati errati.

    • Regi.A completa i log con altre informazioni utili, come l'utenza interattiva in uso su un computer acceduto remotamente da un amministratore, se il computer non è presidiato al momento dell'accesso (screen-saver attivo), ed altro ancora.

  • Certificazione alla fonte, senza la quale un amministratore può alterare i log prima che vengano raccolti centralmente o da un appliance. Lasciare questa possibilità sarebbe contro ogni buon senso oltre che probabilmente contrario alle disposizioni del Garante.

    • A ciascun evento è aggiunto fin dalla nascita un hash SHA che lo rende inalterabile ed identificabile univocamente. Gli hash sono inoltre immediatamente firmati garantendone completezza fin dall'origine.

    • Regi.A esegue l'abilitazione automatica degli audit amministrativi, senza la quale un amministratore può disattivare, anche temporaneamente, le proprie tracce. Inoltre c'è un controllo anti-elusione che segnala i casi in cui è necessaria una riattivazione anomala di tali registrazioni.

  • Bufferizzazione, al fine di ridurre al minimo il traffico di rete e gestire le indisponibilità della rete o dei server di raccolta (off-line).

  • Integrazione con l'Elenco Amministratori.

    • I log si riferiscono ad UTENZE amministrative, mentre l'Elenco Amministratori e le richieste degli inquirenti si riferiscono agli UTENTI amministratori. ElAS esegue la correlazione automatica fra queste due entità, segnalando eventuali anomalie o incompletezze.

  • Fruibilità dei dati anche da parte di non-tecnici.

    • Alla fine quello che interessa è sapere quali accessi ha eseguito l'amministratore Tizio, informazione per i motivi sopra esposti potrebbe essere impossibile da ricavare.

    • Una volta chiarite le sfumature del provvedimento del garante potrebbero essere conservate le sole informazioni sintetiche.

  • Redazione automatica dell'Elenco Amministratori, delle lettere d'incarico, del documento da includere nel DPS. Per il mondo Windows, l'elenco amministratori viene dedotto direttamente dai Domain Controllers, per gli altri ambienti è prevista un'importazione da file con possibilità di inserimento manuale.

  • Integrazione dei dati degli amministratori di più sistemi, compresi gli outsourcers.

  • Formato standard ed aperto. L'adozione di syslog-signed, standard IETF, garantisce l'interoperabilità con i migliori software di mercato, e la possibilità di sviluppare liberamente software che ne tratta i dati.

  • Il relay Windows di Regi.A è una sonda che, per agevolare i clienti storici, è compatibile con l'agent RCON e lo può sostituire in toto senza cambiare i componenti centrali di RCON:

    • Agevola il deployment, essendo tecnicamente praticabile come semplice aggiornamento di RCON.

    • Semplifica le installazioni, non richiedendo installazione e aggiornamento di una nuova sonda.

    • Valorizza gli investimenti fatti fin'ora su RCON.
 
< Prec.   Pros. >
 
  Design by augs-burg.de & go-vista.de --- NEST s.r.l. P.IVA 02319320244