ניטור פעילות המשתמש בנקודות הקצה הקריטיות שלך הוא חלק חיוני מאסטרטגיית אבטחת סייבר יעילה. ארגונים צריכים לפקח על הפעלות משתמשים מרוחקות ומקומיות כאחד כדי להבטיח אחריות משתמש, לנהל סיכוני אבטחת סייבר, לאפשר תגובה מהירה לאירועים ולציית לחוקים ולתקנות בנושא אבטחת סייבר.
זהו מדריך שלב אחר שלב כיצד לנטר את פעילות המשתמש בלינוקס ולהקליט הפעלות SSH מרוחקות בכל נקודת קצה שבה מותקן סוכן התוכנה של Syteca. מאמר זה שימושי גם לארגונים שרוצים לחקור את היכולות של Syteca. למד כיצד:
- מעקב, חסום והקלט של הפעלות SSH בלינוקס
- קבל התראות על פעילות חשודה של משתמשים בנקודות קצה של לינוקס
- ייצא הפעלות לינוקס מוקלטות למטרות חקירה
- הפק דוחות על חיבורי SSH מרוחקים לנקודות הקצה שלך
למה לפקח על הפעלות SSH?
SSH היא דרך מאובטחת לגשת מרחוק לנקודות קצה ושרתים קריטיים. עם זאת, משתמשים לא מורשים עדיין יכולים לקבל גישה באמצעות פרצות או אישורים גנובים. על ידי ניטור הפעלות SSH, קציני האבטחה שלך יכולים לזהות פעילות משתמש חשודה, כגון ניסיונות לגשת לקבצים לא מורשים או להפעיל פקודות זדוניות.
היתרונות של ניטור והקלטת הפעלות SSH
שפר את הנראות
ניהול סיכוני אבטחת סייבר
עמוד בדרישות תאימות IT
הגיבו מיידית לאיומי פנים
שפר את הנראות. על ידי ניטור הפעלות SSH, אתה יכול לקבל תצוגה ברורה של הפעילות של משתמשים מרוחקים. תוכנת ניטור פעילות משתמשים עבור לינוקס מאפשרת לך לפקח על מי ניגש למערכות קריטיות ומה הן עושות, מה שמאפשר לך לזהות חריגות והתנהגות משתמש חשודה בזמן אמת. הקלטות הפעלה של משתמשים גם מספקות לך ראיות משכנעות לחקירת אירוע .
ניהול סיכוני אבטחת סייבר. נראות טובה יותר יכולה לעזור לך לזהות פעילות זדונית של משתמשים, כגון ניסיונות גישה לא מורשית, חילוץ נתונים וחבלה במערכת. תוכנה לניטור הפעלות של Linux SSH מאפשרת לך לזהות איומי אבטחת סייבר ולנקוט באמצעים כדי לחסום אותם לפני שהם גורמים לנזק.
עמוד בדרישות תאימות IT. תקנים, חוקים ותקנות רבים של אבטחת סייבר מחייבים ארגונים לבקר גישה למערכות רגישות. הקלטת הפעלות SSH וניטור פעילות המשתמש בלינוקס מספקת שביל ביקורת שיכול להראות מתי ניגשו לתחנת עבודה קריטית, מי ניגש אליה ואילו פעילויות ביצעו. יומני ביקורת מפורטים אלה יכולים לעזור להדגים את תאימות הארגון שלך לתקנות התעשייה ולמדיניות האבטחה הפנימית.
הגיבו מיידית לאיומי פנים. על ידי ניטור פעילות המשתמש, צוות האבטחה שלך יכול לחקור במהירות תקריות על ידי ניתוח יומנים. זה נותן להם הבנה טובה יותר של היקף וגורם השורש של הפרה, ומאפשר קבלת החלטות ממוקדות וזמן תגובה מהיר. בנוסף, פתרונות תוכנה מסוימים למעקב אחר פעילות משתמשי לינוקס יכולים לזהות איומים ולהגיב אליהם באופן אוטומטי לפני שהם הופכים לבעיה.
להסבר מפורט על הסיכונים הנשקפים ממשתמשים מרוחקים, עיין במאמרים שלנו בנושא ניהול סיכונים פנימיים בסביבות עבודה היברידיות ומרוחקות .
שימוש ב-Syteca לניטור הפעלות SSH מרוחקות והפעלות לינוקס מקומיות
Syteca היא פלטפורמה אוניברסלית לניהול סיכונים פנימיים שיכולה לעזור לארגון שלך להרתיע, לזהות ולשבש איומים פנימיים.
Syteca מאפשרת לך לנטר ולהקליט הפעלות SSH מרוחקות ופעילות משתמשים בנקודות קצה מקומיות של לינוקס, ומספקת לך הקלטות באינדקס ואת המטא נתונים הבאים לחיפוש:
- פרטי הפעלה, כגון שם מארח, שם משתמש, כתובת IP ומשך הפעלה
- פעולות משתמש, כגון קלט הקשה, כולל פקודות ופרמטרים שבוצעו
- פקודות מבוצעות בתסריטים מבוצעים
- קריאות לפונקציית המערכת
- תגובות מערכת מהמסוף, כגון פלטי פקודה
בנוסף למעקב אחר פעילות המשתמש , Syteca מספקת יכולות ניהול גישה , התראות בזמן אמת על פעילות המשתמש , תכונות תגובה לאירועים ודיווח מקיף כדי להבטיח גישה הוליסטית לניהול סיכונים פנימיים.
Syteca גמישה, מספקת מגוון אפשרויות פריסה ותומכת בפלטפורמות הבאות:
| פלטפורמות נתמכות על ידי Syteca | ||
|---|---|---|
| שולחנות עבודה ושרתים | מערכות הפעלה | סביבות וירטואליות |
|
|
|
בואו נראה כיצד להקליט הפעלות לינוקס מקומיות ולנטר הפעלות SSH מרוחקות עם Syteca. אם אתה מעדיף מצגת בפורמט וידאו, אתה יכול לצפות בהדגמה שלנו ביוטיוב:
הערה: הוראות נוספות יפעלו רק עבור סביבות IT שהטמיעו את Syteca.
ניטור, צפייה וחסימת הפעלות SSH
כברירת מחדל, Syteca עוקבת אחר פעילות המשתמש בכל נקודות הקצה כאשר סוכן התוכנה של Syteca מותקן. בין אם משתמשים יוזמים הפעלות לינוקס מרחוק באמצעות SSH/telnet או מפעילים אותן באופן מקומי, Syteca מתעדת את כל פעולות המשתמש שבוצעו בתחנת העבודה המנוטרת.
כל ההפעלות ב-Syteca מוצגות בדף תוצאות הניטור . נניח שמשתמש מתחיל הפעלת SSH. הנה איך לבדוק יומני פעילות משתמשים בלינוקס:
ראשית, סנן את הפעלות לפי מערכת ההפעלה. לחץ על הלחצן עוד קריטריונים ובחר מערכת הפעלה ברשימה הנפתחת.
לאחר מכן, לחץ על כפתור מערכת ההפעלה שמופיע בצד שמאל ובחר את מערכת ההפעלה לינוקס.
לאחר מכן תוכל לחפש הפעלה על ידי פקודה מבוצעת. לדוגמה, בואו נמצא הפעלות של לינוקס שבהן כמה קבצים נמחקו.
פשוט הקלד את הפקודה המתאימה בתיבת החיפוש בצד ימין והקש Enter. אתה יכול גם לחפש בתוך הפעלות לפי פעולות משתמש אחרות כגון הקשות מוקלדות.
לאחר שמצאת את ההפעלה שאתה צריך, לחץ עליה פעמיים כדי לפתוח אותה.
בנגן הפעלות שנפתח, תוכל לצפות בהקלטת המסך ובמטא נתונים מתחילת הפגישה.
אתה יכול להגדיר את נגן הווידאו להציג רק פקודות מבוצעות ולחפש פקודה בפלט פקודות לינוקס בהפעלה ספציפית או במסד הנתונים כולו. כדי לעשות זאת, בחר את ההגדרות שלך בתפריט הנפתח על ידי לחיצה על כפתור החיפוש .
אם סשן עדיין בעיצומו, אתה יכול לראות מה המשתמש עושה בזמן אמת על ידי לחיצה על כפתור Live . הלחצן חסום משתמש בפינה השמאלית העליונה מאפשר לך לחסום את המשתמש אם הוא מהווה איום.
הגדרת התראות על פעילות חשודה של משתמשים
כאשר אתה מתמודד עם נקודת קצה קריטית, אתה יכול להגדיר התראות בזמן אמת כדי לקבל הודעה מיידית בכל פעם שמתרחשת פעילות חשודה של משתמשים. כדי להגדיר זאת, פתח את הדף ניהול התראות .
כדוגמה, נגדיר התראה לאיתור משתמש מקבל הרשאות שורש בלינוקס. התראה זו היא אחת מההתראות המוגדרות מראש הזמינות ב-Syteca.
אתה יכול לחפש התראה על ידי הזנת שמה בתיבת החיפוש. לאחר שתמצא התראה, לחץ על סמל העריכה כדי להגדיר אותה.
כללי ההתראה כבר מוגדרים מראש, כך שאתה רק צריך להקצות את הלקוח ולציין את הפעולות הנוספות שיבוצעו אם ההתראה תופעל.
בקטע לקוחות מוקצים , לחץ על הוסף ולאחר מכן בחר את נקודות הקצה שברצונך להפעיל עבורן התראה זו.
בקטע פעולות , ציין מי יקבל הודעה בדוא"ל אם ההתראה תופעל.
אתה יכול גם להחליט איזו פעולת תגובה תנקוט Syteca באופן אוטומטי עם הפעלת התראה. פעולות תגובה אפשריות כוללות:
- הצג הודעת אזהרה למשתמש
- חסום את המשתמש
- להרוג תהליך
לאחר שהגדרת את ההתראה, לחץ על סיום .
כעת אדם ייעודי יקבל אימייל אם המשתמש בנקודת הקצה שצוינה ינסה לקבל הרשאות שורש.
עם Syteca, אתה יכול ליצור התראות מותאמות אישית משלך או להפעיל התראות מוגדרות מראש. לדוגמה, אתה יכול לקבל התראות כאשר משתמשים מנסים להעלות קבצים לענן, להתקין אפליקציה או להקליד מילה ספציפית.
כדי להציג את רשימת כל אירועי ההתראה שהופעלו, פתח את הכרטיסייה התראות בדף תוצאות הניטור . אתה יכול לפתוח הפעלה חשודה על ידי לחיצה על סמל ההפעלה – הפעלת ההפעלה מתחילה באירוע התראה שנבחר.
ייצוא הפעלה מוקלטת לחקירה משפטית
עם Syteca, אתה יכול לייצא הפעלת משתמש שלמה או חלק ממנה לשימוש כראיה במהלך חקירה משפטית. ניתן לצפות בסשן המיוצא בכל מחשב, גם ללא גישה לממשק של Syteca. הקובץ המיוצא מוצפן ומוגן מפני שינויים.
כדי לייצא הפעלה, פתח אותה ולחץ על סמל הכלי בנגן הפעלות. לאחר מכן בחר ייצוא משפטי ברשימה הנפתחת.
בחלון המוקפץ שמופיע, הגדר את ההגדרות המועדפות עליך ולחץ על ייצוא .
לאחר סיום הייצוא, תוכל להוריד את הקובץ שנוצר בכרטיסייה היסטוריית ייצוא משפטית בדף תוצאות ניטור .
הערה: יהיה עליך להוריד את SytecaForensic Player כדי לצפות בהפעלה המיוצאת.
הפקת דוחות על חיבורי SSH מרוחקים לנקודות הקצה שלך
Syteca יכולה להודיע לך באופן קבוע על חיבורים מרוחקים לנקודת הקצה של לינוקס שלך בדוח סיכום שנוצר אד-הוק או שנשלח אליך בדוא"ל לפי לוח הזמנים.
כדי להפיק דוח, פתח את דף הדוחות ובחר בדוח רשת פעילויות באתר ברשימה הנפתחת סוג דוח . במקטע מסנני תאריכים , בחר את התקופה שבה ברצונך שהנתונים יוצגו.
תיאורים ודוגמאות של הדוחות ממוקמים בחלק הימני של הממשק.
בקטע לקוחות , לחץ על הוסף ובחר את נקודות הקצה של לינוקס שברצונך להפיק עבורן דוח. אתה יכול לעשות זאת על ידי הכנסת שמות נקודות הקצה בתיבת החיפוש.
הגדר את אפשרויות הדוח ולחץ על הלחצן צור דוח . הדוח שלך יהיה זמין להורדה בכרטיסייה דוחות שנוצרו בדף הדוחות .
תוכל גם לקבל דוחות מתוזמנים קבועים על ידי פתיחת הכרטיסייה דוח מתוזמן ולחיצה על הוסף .
בדף הוסף כלל שנפתח, בחר באפשרות הפעל הפקת דוחות מתוזמנת , הזן שם לכלל ולחץ על הבא .
לאחר מכן הגדר את פרמטרי הדוח והזן את כתובת המייל שאליה הדוח יישלח. לחץ על סיום .
Syteca תיצור אוטומטית את הדוח ותשלח אותו לכתובת המייל שלך בתדירות המוגדרת.
מַסְקָנָה
ניטור פעילות המשתמשים בהפעלות SSH מרוחקות ו-Linux מקומיות יכול לעזור לארגון שלך לשפר את הנראות בתשתית ה-IT שלך, לזהות ולהגיב באופן מיידי לאיומי אבטחה ולעמוד בדרישות מסוימות של תאימות IT. על ידי הקלטת הפעלות של משתמשים, אתה יכול להטיל אחריות על המשתמשים על מעשיהם ולספק לחוקרים פורנזיים ראיות אינפורמטיביות לאירועי אבטחה אם הם מתרחשים.
על ידי מינוף ניטור פעילות המשתמש של Syteca, ניהול גישה מועדפת ויכולות תגובה לאירועים, אתה יכול להגביר משמעותית את מאמצי ניהול הסיכונים הפנימיים של ה-CISO שלך ולשפר את אבטחת הסייבר הארגונית הכוללת.
