Avanpost FAM/MFA+ : 6.1. Мониторинг событий безопасности

Система позволяет проводить мониторинг событий безопасности с целью выявления подозрительной активности пользователей и обнаружения угроз.

Функциональность мониторинга событий безопасности позволяет решать следующие задачи:

  1. Получать информацию о событиях безопасности, происходивших в процессе работы Avanpost FAM.
  2. Получать статистику аутентификаций по приложениям. 
  3. Получать информацию о действиях, совершенных с TOTP-токенами, и общую информацию о данных TOTP-токенах.
  4. Проводить поиск и фильтрацию событий безопасности по различным параметрам.
  5. Искать и фильтровать информацию об аутентификациях в конкретных приложениях.
  6. Обновлять и очищать журнал событий безопасности.
  7. Выгружать и обновлять журнал аутентификаций по приложениям.
  8. Искать и фильтровать информацию о действиях с токенами.
  9. Выгружать и обновлять журнал действий с TOTP-токенами. 

Во вкладке «Отчеты» представлены следующие инструменты анализа активности пользователей:

При этом Журнал отладки приложений предназначен не для контроля событий безопасности, а для сбора данных и анализа работы приложений, к которым предоставляется доступ посредством Avanpost FAM. Журнал отладки приложений подробно описан в разделе Режим отладки.

Журнал безопасности

Журнал безопасности предназначен для получения информации о событиях безопасности. 

События безопасности в Avanpost FAM делятся на следующие типы:

  1. SERVCTL - События сервера - События, связанные с работой сервисов на стороне Avanpost FAM (например, запуск IdP);
  2. USRMGMT - Управление пользователями - События, связанные с учетными записями пользователей (например, создание или удаление учетной записи, смена пароля, привязка OTP-токена и т.д.);
  3. USRAUTH - Аутентификация пользователей - События, связанные с прохождением пользователями аутентификации в Avanpost FAM (например, успешное или неуспешное прохождение аутентификации с использованием того или иного фактора, завершение сессии и пр.);
  4. USRACS - Доступ пользователей - События, связанные с получением пользователем доступа к приложению или функциональному элементу Avanpost FAM (например, пользователь успешно получил доступ к административной консоли или внешнему приложению);
  5. APPMGMT - Управление приложениями - События, связанные с управлением приложениями (например, создание и удаление приложений, смена процесса аутентификации для приложения, смена настроек и т.д. )
  6. GRPMGMT - Управление группами - События, связанные с управлением группами (например, создание и удаление группы, присвоение группе роли, добавление группе доступа к какому-либо приложению и т.д.)
  7. ROLEMGMT - Управление ролями - События, связанные с управлением ролями (например, создание и удаление ролей, присвоение и отзыв прав роли в отношении объекта доступа и т.д.)

Вкладка "Журнал отладки" содержит реестр записей событий со следующими данными.

Название параметраЗначение параметра
Дата и времяДата и время, когда произошло событие
Тип события

Тип события:

  • SERVCTL - События сервера;
  • USRMGMT - Управление пользователями;
  • USRAUTH - Аутентификация пользователей;
  • USRACS - Доступ пользователей;
  • APPMGMT - Управление приложениями;
  • GRPMGMT - Управление группами;
  • ROLEMGMT - Управление ролями.
СообщениеСообщение, кратко описывающее произошедшее событие. Виды сообщений применительно к различным типам событий можно найти в приложении А.
ДанныеСпецифические данные произошедшего события. Виды данных применительно к различным типам событий можно найти в приложении А.

 Для обновления данных в журнале следует нажать . Для очистки журнала следует нажать "Очистить журнал" и подтвердить действие.

В журнале предусмотрена возможность фильтрации для поиска нужной информации. Чтобы открыть настройку фильтров следует нажать, чтобы закрыть - .  Фильтрация предоставляет возможности поиска событий по следующим параметрам.

Название фильтраЗначение фильтра
Тип события

Выбрать тип искомого события:

  • SERVCTL - События сервера;
  • USRMGMT - Управление пользователями;
  • USRAUTH - Аутентификация пользователей;
  • USRACS - Доступ пользователей;
  • APPMGMT - Управление приложениями;
  • GRPMGMT - Управление группами;
  • ROLEMGMT - Управление ролями.
Сообщение содержитТекст, который содержится в сообщении искомых событий (например, название приложения с которым произошло интересуемое событие).
Начало событияНижняя граница временного диапазона, в котором произошли искомые события.
Окончание события Верхняя граница временного диапазона, в котором произошли искомые события.
Поля 

Наименования и значения атрибутов искомых событий. Фильтр содержит следующие элементы:

  • Выбрать атрибут - Следует выбрать атрибут из выпадающего списка;
  • Значение - Текстовое поля для введения значения атрибута;
  • Кнопка - Следует нажать, чтобы добавить атрибут с заданным значением к условиям поиска;
  • Реестр с атрибутами, добавленными в условия поиска (появляется при добавлении хотя бы одного атрибута к условиям поиска), который содержит:
    • Атрибут - Название добавленного атрибута;
    • Значение - Значение добавленного атрибута;
    • Кнопка - Следует нажать для удаления атрибута из условий поиска.

Для запуска поиска следует нажать "Найти". Для очистки фильтров следует нажать "Сбросить".

Журнал аутентификаций

Журнал аутентификация предназначен для получения информации об успешных и неуспешных попытках аутентификации в приложения. Журнал позволяет отслеживать подозрительную активность, связанную с попытками получения доступа к тому или иному приложению. Например, стремительный рост неудачных попыток аутентификации может указывать на то, что к приложению пытаются получить доступ злоумышленники.

Для детализации данных об аутентификациях в приложении администратору стоит воспользоваться журналом безопасности, осуществляя поиск по событиям типа USRAUTH (аутентификация пользователей) для интересуемого приложения.

Вкладка "Журнал аутентификаций" режима "Отчеты" содержит список приложений со следующими данными.

Название параметраЗначение параметра
Название Наименование и графический символ приложения, в котором осуществлялись попытки аутентификации 
Тип

Тип приложения, в котором осуществлялись попытки аутентификации:

  • OpenID Connect ();
  • SAML ();
  • RADIUS ();
  • Reverse Proxy ();
  • Agent ()- ;
  • Windows Logon ();
  • Linux Logon ();
  • LDAP Proxy ();
  • Exchange ActiveSync ().
За все время

Количество удачных и неудачных аутентификаций, произошедших за заданный период времени (по умолчанию, если период не задан, показывается количество аутентификаций за все время). Администратору демонстрируется счетчик аутентификаций , поля которого разделены по цветам в зависимости от результата:

  • зеленое - счетчик успешных аутентификаций в приложении;
  • желтое - счетчик аутентификаций пользователями, не обладавшими доступом к данному приложению;
  • красное - счетчик неудачных попыток аутентификаций в приложении.

Для обновления данных в журнале следует нажать Для  выгрузки статистики в файл формата *.pdf или *.xlsx требуется нажать кнопку выгрузки , выбрать соответствующий формат и путь сохранения файла.

В журнале предусмотрена возможность фильтрации для поиска нужной информации. Чтобы открыть настройку фильтров следует нажать, чтобы закрыть - .  Фильтрация предоставляет возможности поиска событий по следующим параметрам.

Название фильтраЗначение фильтра
Название приложенияНазвание искомого приложения (поиск по указанному шаблону)
Выберите тип отображения

Выбор из выпадающего списка способа отображения календаря в графе "Начало события" :

  • За все время;
  • По дням;
  • По месяцу;
  • По году.
Начало событияКалендарь (отображается в зависимости от значения в графе "Выберите тип отображения"), где задается интересуемый временной диапазон.
Фильтр приложений

Выбор из приложения, добавленных в Avanpost FAM: поставить галочки в чекбоксах напротив искомых приложений.

Для запуска поиска следует нажать "Найти". Для очистки фильтров следует нажать "Сбросить".

Журнал действий с TOTP-токенами

Журнал действий с TOTP-токенами предназначен для получения данных о действиях, проведенных с TOTP-токенами.

Вкладка "Журнал действий с TOTP-токенами" режима "Отчеты" содержит список действий, совершенных с TOTP-токенами со следующими данными.

Название параметраЗначение параметра
ПользовательЛогин, имя и фамилия пользователя, в отношении которого осуществлялось действие с TOTP-токеном.
Серийный номерСерийный номер TOTP-токена.
Время действияДата и время осуществленного действия.
Действие

Тип осуществленного действия в отношении пользователя: 

  • Привязан;
  • Отвязан.
Заблокирован

Заблокирован ли токен на данный момент:

  • Заблокирован;
  • Не заблокирован.
Дата последнего использованияВремя и дата последнего использования TOTP-токена, с которым было совершено действие.

Для обновления данных в журнале следует нажать .  Для  выгрузки статистики в файл формата *.xlsx требуется нажать кнопку выгрузки и задать путь сохранения файла.

В журнале предусмотрена возможность фильтрации для поиска нужной информации. Чтобы открыть настройку фильтров следует нажать, чтобы закрыть - .  Фильтрация предоставляет возможности поиска событий по следующим параметрам.

Название фильтраЗначение фильтра
ПользовательЛогин, электронная почта или телефон пользователя, в отношении которого осуществлялось действие с TOTP-токеном.
Атрибуты

Атрибуты пользователя в отношении которого осуществлялось действие с TOTP-токеном.

Для поиска по атрибутам требуется выбрать название атрибута в выпадающем списке и задать значение в текстовом поле. Для добавления второго и следующих атрибутов в условия поиска требуется нажать .

Тип

Выбрать тип искомого события из выпадающего списка:

  • Привязан;
  • Отвязан.
Начало событияНачало временного диапазона, в котором произошло искомое событие: дата, устанавливаемая при помощи календаря.
Окончание событияКонец временного диапазона, в котором произошло искомое событие: дата, устанавливаемая при помощи календаря.

Для запуска поиска следует нажать "Найти". Для очистки фильтров следует нажать "Сбросить".

Приложение А. Данные и сообщения журнала безопасности

СообщениеДанные

SERVCTL - События сервера

Service createuser started - Запущен сервис создания пользователей

В сообщениях присутствуют следующие параметры:

  • comand - команда, выполненная пользователем (полный текст команды, полученный CLI-интерфейсом Системы);
  • user_os - имя пользователя ОС, от которого выполнена команда.
Service initproc started - Запущена процедура инициализации
Service assignrole started - Запущен сервис назначения ролей
Service revokerole started - Запущен сервис отзыва ролей
Service generatekey started - Запущен сервис генерации случайных ключей
Service addlicense started - Запущен сервис добавления лицензии 
Service migratedb started - Запущен сервис миграции и репликации баз данных
Service IDP stopped - Остановлен сервис Identity Provider
Service IDP started - Запущен сервис Identity Provider

USRMGMT - Управление пользователями

User account "login" was created - Учетная запись пользователя создана (как для самостоятельной регистрации, так и при добавлении через административный интерфейс)

В зависимости от вида сообщения в нем могут присутствовать следующие параметры:

  • fio_owner - ФИО администратора, совершившего действие;
  • group - группа, в отношении которой было совершено действие (например, изменен доступ пользователя к группе);
  • ip - IP-адрес пользователя/источника действия;
  • login - логин пользователя, с которым осуществляет действие администратор или который осуществляет действие в Avanpost FAM;
  • login_owner - пользователь, осуществляющий действие в отношении другого пользователя;
  • op - тип совершенной операции;
  • session_id - идентификатор сессии;
  • role - наименование роли, с которой совершена операция;
  • for_user - пользователь, в отношении которого совершено действие;
  • result - результат совершенного действия (ok - успешной, fail - неуспешно);
  • token_id - идентификатор привязанного/отвязанного токена;
  • binding_id - идентификатор привязываемого Avanpost Autheticator;
  • user - логин пользователя, с которым осуществляет действие;
  • interface - интерфейс, через который происходил запрос (например, openid или web);
  • user_id - идентификатор пользователя;
  • phone_number - телефонный номер пользователя.











User account "login" was removed - Учетная запись пользователя удалена (удаление УЗ администратором/удаление УЗ сторонней прикладной системой, интегрированной с Avanpost FAM).
User account "login" is activated - Учетная запись пользователя активирована
User account "login" was enabled - Учетная запись пользователя включена
User "login" account is disabled - Учетная запись пользователя включена
Avanpost authenticator's binding created for user - Создана привязка Аванпост Аутентификатор для пользователя
Deleted avanpost authenticator's binding - Удалена привязка Аванпост аутентификатор для пользователя
Avanpost authenticator's binding deleted by user - Удалена привязка Аванпост аутентификатор пользователем
Avanpost authenticator's binding deleted by user from "group" - Удалена привязка Аванпост аутентификатор пользователем из группы
OTP token has been binded - OTP-токен привязан
OTP token has been unbinded - OTP-токен отвязан
OTP token has been verified (confirmed) - OTP-токен подтвержден
OTP token has been changed -  OTP-токен был изменен
OTP token has been deleted - OTP-токен удален
Phone number has been verified (confirmed) - Телефонный номер не подтвержден
User account "login" group access was changed - Изменено участие в группах для пользователя (добавление/удаление пользователя из группы)
Role "role" was assigned to user "login" - Роль назначена для пользователя
Role "role" was revoked from user "login" - Роль отозвана у пользователя
User access to application "app" success - Изменены учетные данные пользователя
User account "login" password was changed - Изменен пароль пользователя (смена пароля УЗ пользователя текущим пользователем/смена пароля УЗ администратором)
User account "login" password was changed. Change password link was sent to user's email - Изменен пароль пользователя, ссылка на смену пароля направлена на email пользователя
api: user data changed "login" - Изменены учетные данные пользователя
api: failed to update user data "login" - Изменение данных учетной записи пользователя не удалось
api: user image changed "login" - Изменен юзерпик пользователя
User account "login" was locked - Учетная запись пользователя заблокирована (блокировка УЗ администратором/блокировка при многократно неверно введённом пароле)
User account "login" was unlocked - Учетная запись пользователя разблокирована (разблокировка УЗ администратором/активация УЗ пользователем)
Disabling account of user "login" was scheduled at "time" - Запланировано отключение учетной записи пользователя на определенное время
User "login" account was disabled by schedule - Учетная запись пользователя отключена в соответствии с планом
ldap domainUser binding: add external ids fail - Загрузка пользователя с домена LDAP не удалась, т.к. не удалось добавить внешние идентификаторы
failed to set email while authenticate for user "login" - Не удалось установить email при аутентификации пользователя
email was set while authenticate for user "login" - Email был установлен в процессе аутентификации пользователя
email was set confirmed by user "login" - Email был установлен и подтвержден пользователем
USRAUTH - Аутентификация пользователей

User "login" passed "given_factor" factor verification - Пользователь прошел проверку того или иного фактора аутентификации.

Типы факторов - согласно значению параметра given_factor.

В зависимости от вида сообщения в нем могут присутствовать следующие параметры:

  • given_factor - фактор аутентификации, который проходит пользователь
    • pwd - пароль;
    • sms - СМС;
    • cert - сертификат;
    • otp - одноразовый пароль;
    • email otp - одноразовый пароль, получаемый через email;
    • totp - одноразовый TOTP
    • qrsignin - QR-код;
    • hardware - аппаратный ключ;
    • webauthn(fido2) - WebAuthn;
    • telegram - Telegram.
  • login - логин учётной записи, предоставленный при аутентификации или из которой осуществлялся выход;
  • app - приложение, в которое осуществлялась аутентификация;
  • chain - цепочка аутентификации;
  • interface - интерфейс, через который происходил запрос (например, openid или web);
  • ip - IP-адрес пользователя/источника действия;
  • result - результат аутентификации (ok для успешной аутентификации или fail для неудачной);
  • session_id - идентификатор сессии;
  • authenticator_id - идентификатор аутентификатора для WebAuthn;
  • binding_id - идентификатор привязываемого Avanpost Authenticator;
  • fio_owner - ФИО администратора, совершившего действие (например, принудительно завершившего сессию другого пользователя);
  • login_owner - логин администратора, совершившего действие в отношении другого пользователя.


User "login" passed "given_factor" factor verification - Пользователь не прошел проверку того или иного фактора аутентификации.

User "login" did not pass "given_factor" factor verification. Canceled by user on device - Пользователь не прошел проверку того или иного фактора аутентификации. Отменено пользователем на его устройстве.

 User "login" failed "given_factor" factor verification - Прохождение того или иного фактора аутентификации пользователем неуспешно.
 User "login" passed "given_factor" factor verification, serial "number" - Пользователь прошел проверку фактора аутентификации (аппаратный ключ) с определенным серийным номером.
 User "login" passed external idp authentication - Пользователь прошел аутентификацию через сторонний Identity Provider.
 Telegram factor verification for user "login" finished with result "result" - Аутентификация пользователя посредством Telegram завершена с результатом (true/false). 

User "login" passed verifications and successfully authenticated - Пользователь прошел проверки и успешно аутентифицирован (успешная попытка аутентификации в административный интерфейс, в веб-приложение с использованием SSO, в Avanpost FAM Agent, в приложение с настроенным шаблоном, а также автоматический вход пользователя, который активировал/восстановил УЗ)

User "login" ended the session - Пользователь завершил сессию
auto: end of the session for the user "login" - Сессия пользователя завершена автоматически по настроенным параметрам сессии
api: end of the session for the user "login" - Сессия пользователя завершена администратором через менеджер сессий
The user has exceeded the allowed number of password attempts - Разрешенное количество попыток ввода пароля превышено пользователем
Kill session by code failed - Принудительное завершение сессии не удалось
Kill session by code successful - Принудительное завершение сессии прошло успешно
User "login" logout failed - Выход пользователя из системы не удался
User "login" logout successful - Выход пользователя из системы успешен (выход из административного интерфейса путём нажатия кнопки «Выйти» в веб-интерфейсе/выход из веб-приложения, подключённого к WebSSO)

USRACS - Доступ пользователей

User access to application "app" success - Пользователь получил доступ к приложению

В сообщениях присутствуют следующие параметры:

  • app - приложение, в которое осуществляется аутентификация;
  • chain - цепочка аутентификации;
  • interface - интерфейс системы, через который произошёл запрос;
  • ip - IP-адрес пользователя или источника действия;
  • login - логин учётной записи, предоставленный при аутентификации;
  • result - результат обращения (успешно/не успешно);
  • session_id - идентификатор сессии.
User access to application "app" failed - Пользователь не получил доступ к приложению успешно

APPMGMT - Управление приложениями

Application "app" was created - Приложение создано (администратором Avanpost FAM)

В сообщениях присутствуют следующие параметры:

  • fio_owner – ФИО администратора, выполнившего действие;
  • ip – IP-адрес пользователя/источника действия;
  • login_owner – логин администратора, выполнившего действие;
  • session_id – идентификатор сессии.
Application "app" was deleted - Приложение удалено (администратором Avanpost FAM)
Application "app" was turned on - Приложение активировано (включено)
Application "app" was turned off - Приложение деактивировано (выключено)
Application "app" was changed - Произошло изменение каких-либо настроек приложения
Application "app" was changed (webkeys) - Изменены JWK (JSON Web Keys) приложения (для OIDC-приложений)
Authentication process of application "app" was changed - Изменен сценарий многофакторной аутентификации в приложении
Security settings of application "app" were changed - Изменены настройки безопасности в приложении
"app" application secret was changed - Изменен настраиваемый секрет приложения (для OIDC-приложений)
"app" radius shared secret was created - Разделяемый секрет RADIUS изменен (для RADIUS-приложений)
Init flow "app" was changed - Изменены настройки инициализации факторов (настройки набора факторов аутентификации, которые в обязательном порядке привязаны к пользователю)
"app" radius shared secret settings was updated - Настройки  разделяемого секрета RADIUS изменены (для RADIUS-приложений)
Radius Vendor Specific Attributes (VSA) dictionary has been created. Vendor name - "vendor_ name" - Создан VSA (Vendor Specific Атрибут) у вендора, настроенного в словарях RADIUS VSA
Radius Vendor Specific Attributes (VSA) dictionary has been has been changed. Vendor name - "vendor_ name" - Изменен VSA (Vendor Specific Атрибут) у вендора, настроенного в словарях RADIUS VSA
Radius Vendor Specific Attributes (VSA) dictionary has been has been deleted. Vendor name - "vendor_ name" - Удален VSA (Vendor Specific Атрибут) у вендора, настроенного в словарях RADIUS VSA 
Debug mode on application "app" was turned on - Включен режим отладки приложения
Debug mode on application "app" was turned off - Включен режим отладки приложения

GRPMGMT - Управление группами

Group "group" was created - Группа создана (администратором Avanpost FAM)

В зависимости от вида сообщения в нем могут присутствовать следующие параметры:

  • fio_owner – ФИО администратора, который выполнил действие;
  • group – наименование группы, с которой было совершено действие;
  • ip – IP-адрес пользователя или источника действия;
  • login_owner – логин администратора, который выполнил действие;
  • role – назначенная/удалённая роль;
  • session_id – идентификатор сессии.
Group "group" was deleted - Группа удалена (администратором Avanpost FAM)
Application "app" was added to group "group" -  Группе предоставлен доступ к приложению
Application "app" was removed from group "group" - У группы отозван доступ из приложения
Role "role" was assigned to group "group" - Группе назначена роль
Role "role" was revoked from group "group" - У группы отозвана роль

ROLEMGMT - Управление ролями

Role "role" was created - Роль создана 

В сообщениях присутствуют следующие параметры:

  • fio_owner – ФИО администратора, который выполнил действие;
  • ip – IP-адрес пользователя/источника действия;
  • login_owner – логин администратора, который выполнил действие;
  • session_id – идентификатор сессии;
  • right_ids - идентификаторы прав данной роли, присвоенных данной роли (перечислены через пробел).
Role "role" was deleted - Роль удалена
Role "role" was changed - Параметры роли изменены


Обсуждение