Система позволяет проводить мониторинг событий безопасности с целью выявления подозрительной активности пользователей и обнаружения угроз.
Функциональность мониторинга событий безопасности позволяет решать следующие задачи:
- Получать информацию о событиях безопасности, происходивших в процессе работы Avanpost FAM.
- Получать статистику аутентификаций по приложениям.
- Получать информацию о действиях, совершенных с TOTP-токенами, и общую информацию о данных TOTP-токенах.
- Проводить поиск и фильтрацию событий безопасности по различным параметрам.
- Искать и фильтровать информацию об аутентификациях в конкретных приложениях.
- Обновлять и очищать журнал событий безопасности.
- Выгружать и обновлять журнал аутентификаций по приложениям.
- Искать и фильтровать информацию о действиях с токенами.
- Выгружать и обновлять журнал действий с TOTP-токенами.
Во вкладке «Отчеты» представлены следующие инструменты анализа активности пользователей:
- Журнал безопасности.
- Журнал аутентификаций.
- Журнал действий с TOTP-токенами.
- Журнал отладки приложений.
При этом Журнал отладки приложений предназначен не для контроля событий безопасности, а для сбора данных и анализа работы приложений, к которым предоставляется доступ посредством Avanpost FAM. Журнал отладки приложений подробно описан в разделе Режим отладки.
Журнал безопасности
Журнал безопасности предназначен для получения информации о событиях безопасности. Получить информацию можно следующим образом:
- в административной консоли через интерфейс раздела "Журнал безопасности" режима "Сервис";
- посредством API-запросов от внешних приложений (примеры и описание API-запросов задокументированы по ссылке).
События безопасности в Avanpost FAM делятся на следующие типы:
SERVCTL -
События сервера - События, связанные с работой сервисов на стороне Avanpost FAM (например, запуск IdP);USRMGMT -
Управление пользователями - События, связанные с учетными записями пользователей (например, создание или удаление учетной записи, смена пароля, привязка OTP-токена и т.д.);USRAUTH -
Аутентификация пользователей - События, связанные с прохождением пользователями аутентификации в Avanpost FAM (например, успешное или неуспешное прохождение аутентификации с использованием того или иного фактора, завершение сессии и пр.);USRACS -
Доступ пользователей - События, связанные с получением пользователем доступа к приложению или функциональному элементу Avanpost FAM (например, пользователь успешно получил доступ к административной консоли или внешнему приложению);APPMGMT -
Управление приложениями - События, связанные с управлением приложениями (например, создание и удаление приложений, смена процесса аутентификации для приложения, смена настроек и т.д. );GRPMGMT -
Управление группами - События, связанные с управлением группами (например, создание и удаление группы, присвоение группе роли, добавление группе доступа к какому-либо приложению и т.д.);ROLEMGMT -
Управление ролями - События, связанные с управлением ролями (например, создание и удаление ролей, присвоение и отзыв прав роли в отношении объекта доступа и т.д.);SYSMGMT
-
Управление системой - События, связанные с общими настройками Avanpost FAM (например, включение возможности создания УЗ пользователей с одинаковыми значениями параметров E-mail и номера телефона).
Вкладка "Журнал отладки" содержит реестр записей событий со следующими данными.
Название параметра | Значение параметра |
---|---|
Дата и время | Дата и время, когда произошло событие |
Тип события | Тип события:
|
Сообщение | Сообщение, кратко описывающее произошедшее событие. Виды сообщений применительно к различным типам событий можно найти в приложении А. |
Данные | Специфические данные произошедшего события. Виды данных применительно к различным типам событий можно найти в приложении А. |
Для обновления данных в журнале следует нажать . Для очистки журнала следует нажать "Очистить журнал" и подтвердить действие.
В журнале предусмотрена возможность фильтрации для поиска нужной информации. Чтобы открыть настройку фильтров следует нажать, чтобы закрыть - . Фильтрация предоставляет возможности поиска событий по следующим параметрам.
Название фильтра | Значение фильтра |
---|---|
Тип события | Выбрать тип искомого события:
|
Сообщение содержит | Текст, который содержится в сообщении искомых событий (например, название приложения с которым произошло интересуемое событие). |
Начало события | Нижняя граница временного диапазона, в котором произошли искомые события. |
Окончание события | Верхняя граница временного диапазона, в котором произошли искомые события. |
Поля | Наименования и значения атрибутов искомых событий. Фильтр содержит следующие элементы:
|
Для запуска поиска следует нажать "Найти". Для очистки фильтров следует нажать "Сбросить".
Выгрузки статистики из журнала возможна следующими способами:
- нажать кнопку выгрузки , выбрать формат файла (*.pdf или *.xlsx), указать путь сохранения файла и нажать "Сохранить";
- посредством API-запросов от внешних приложений с возможностью фильтрации в соответствии с параметрами выше (примеры и описание API-запросов задокументированы по ссылке).
Журнал аутентификаций
Журнал аутентификация предназначен для получения информации об успешных и неуспешных попытках аутентификации в приложения. Журнал позволяет отслеживать подозрительную активность, связанную с попытками получения доступа к тому или иному приложению. Например, стремительный рост неудачных попыток аутентификации может указывать на то, что к приложению пытаются получить доступ злоумышленники.
Получить информацию можно следующим образом:
- в административной консоли через интерфейс раздела "Журнал аутентификаций" режима "Сервис";
- посредством API-запросов от внешних приложений (примеры и описание API-запросов задокументированы по ссылке).
Для детализации данных об аутентификациях в приложении администратору стоит воспользоваться журналом безопасности, осуществляя поиск по событиям типа USRAUTH
(аутентификация пользователей) для интересуемого приложения.
Вкладка "Журнал аутентификаций" режима "Отчеты" содержит список приложений со следующими данными.
Название параметра | Значение параметра |
---|---|
Название | Наименование и графический символ приложения, в котором осуществлялись попытки аутентификации |
Тип | Тип приложения, в котором осуществлялись попытки аутентификации:
|
За все время | Количество удачных и неудачных аутентификаций, произошедших за заданный период времени (по умолчанию, если период не задан, показывается количество аутентификаций за все время). Администратору демонстрируется счетчик аутентификаций , поля которого разделены по цветам в зависимости от результата:
|
Для обновления данных в журнале следует нажать .
В журнале предусмотрена возможность фильтрации для поиска нужной информации. Чтобы открыть настройку фильтров следует нажать, чтобы закрыть - . Фильтрация предоставляет возможности поиска событий по следующим параметрам.
Название фильтра | Значение фильтра |
---|---|
Название приложения | Название искомого приложения (поиск по указанному шаблону) |
Выберите тип отображения | Выбор из выпадающего списка способа отображения календаря в графе "Начало события" :
|
Начало события | Календарь (отображается в зависимости от значения в графе "Выберите тип отображения"), где задается интересуемый временной диапазон. |
Фильтр приложений | Выбор из приложения, добавленных в Avanpost FAM: поставить галочки в чекбоксах напротив искомых приложений. |
Для запуска поиска следует нажать "Найти". Для очистки фильтров следует нажать "Сбросить".
Выгрузки статистики из журнала возможна следующими способами:
- нажать кнопку выгрузки , выбрать формат файла (*.pdf или *.xlsx), указать путь сохранения файла и нажать "Сохранить";
- посредством API-запросов от внешних приложений с возможностью фильтрации в соответствии с параметрами выше (примеры и описание API-запросов задокументированы по ссылке).
Журнал действий с TOTP-токенами
Журнал действий с TOTP-токенами предназначен для получения данных о действиях, проведенных с TOTP-токенами.
Получить информацию можно следующим образом:
- в административной консоли через интерфейс раздела "Журнал действий с TOTP-токенами" режима "Сервис";
- посредством API-запросов от внешних приложений (примеры и описание API-запросов задокументированы по ссылке).
Вкладка "Журнал действий с TOTP-токенами" режима "Отчеты" содержит список действий, совершенных с TOTP-токенами со следующими данными.
Название параметра | Значение параметра |
---|---|
Пользователь | Логин, имя и фамилия пользователя, в отношении которого осуществлялось действие с TOTP-токеном. |
Серийный номер | Серийный номер TOTP-токена. |
Время действия | Дата и время осуществленного действия. |
Действие | Тип осуществленного действия в отношении пользователя:
|
Заблокирован | Заблокирован ли токен на данный момент:
|
Дата последнего использования | Время и дата последнего использования TOTP-токена, с которым было совершено действие. |
Для обновления данных в журнале следует нажать . Для выгрузки статистики в файл формата *.xlsx требуется нажать кнопку выгрузки и задать путь сохранения файла.
В журнале предусмотрена возможность фильтрации для поиска нужной информации. Чтобы открыть настройку фильтров следует нажать, чтобы закрыть - . Фильтрация предоставляет возможности поиска событий по следующим параметрам.
Название фильтра | Значение фильтра |
---|---|
Пользователь | Логин, электронная почта или телефон пользователя, в отношении которого осуществлялось действие с TOTP-токеном. |
Атрибуты | Атрибуты пользователя в отношении которого осуществлялось действие с TOTP-токеном. Для поиска по атрибутам требуется выбрать название атрибута в выпадающем списке и задать значение в текстовом поле. Для добавления второго и следующих атрибутов в условия поиска требуется нажать . |
Тип | Выбрать тип искомого события из выпадающего списка:
|
Начало события | Начало временного диапазона, в котором произошло искомое событие: дата, устанавливаемая при помощи календаря. |
Окончание события | Конец временного диапазона, в котором произошло искомое событие: дата, устанавливаемая при помощи календаря. |
Для запуска поиска следует нажать "Найти". Для очистки фильтров следует нажать "Сбросить".
Выгрузки статистики из журнала возможна следующими способами:
- нажать кнопку выгрузки , указать путь сохранения файла в формате *.xlsx и нажать "Сохранить";
- посредством API-запросов от внешних приложений с возможностью фильтрации в соответствии с параметрами выше (примеры и описание API-запросов задокументированы по ссылке).
Приложение А. Данные и сообщения журнала безопасности
Сообщение | Данные |
---|---|
| |
Service createuser started - Запущен сервис создания пользователей | В сообщениях присутствуют следующие параметры:
|
Service initproc started - Запущена процедура инициализации | |
Service assignrole started - Запущен сервис назначения ролей | |
Service revokerole started - Запущен сервис отзыва ролей | |
Service generatekey started - Запущен сервис генерации случайных ключей | |
Service addlicense started - Запущен сервис добавления лицензии | |
Service migratedb started - Запущен сервис миграции и репликации баз данных | |
Service IDP stopped - Остановлен сервис Identity Provider | |
Service IDP started - Запущен сервис Identity Provider | |
| |
User account "login" was created - Учетная запись пользователя создана (как для самостоятельной регистрации, так и при добавлении через административный интерфейс) | В зависимости от вида сообщения в нем могут присутствовать следующие параметры:
|
User account "login" was removed - Учетная запись пользователя удалена (удаление УЗ администратором/удаление УЗ сторонней прикладной системой, интегрированной с Avanpost FAM). | |
User account "login" is activated - Учетная запись пользователя активирована | |
User account "login" was enabled - Учетная запись пользователя включена | |
User "login" account is disabled - Учетная запись пользователя включена | |
Avanpost authenticator's binding created for user - Создана привязка Аванпост Аутентификатор для пользователя | |
Deleted avanpost authenticator's binding - Удалена привязка Аванпост аутентификатор для пользователя | |
Avanpost authenticator's binding deleted by user - Удалена привязка Аванпост аутентификатор пользователем | |
Avanpost authenticator's binding deleted by user from "group" - Удалена привязка Аванпост аутентификатор пользователем из группы | |
OTP token has been binded - OTP-токен привязан | |
OTP token has been unbinded - OTP-токен отвязан | |
OTP token has been verified (confirmed) - OTP-токен подтвержден | |
OTP token has been changed - OTP-токен был изменен | |
OTP token has been deleted - OTP-токен удален | |
Phone number has been verified (confirmed) - Телефонный номер не подтвержден | |
User account "login" group access was changed - Изменено участие в группах для пользователя (добавление/удаление пользователя из группы) | |
Role "role" was assigned to user "login" - Роль назначена для пользователя | |
Role "role" was revoked from user "login" - Роль отозвана у пользователя | |
User access to application "app" success - Изменены учетные данные пользователя | |
User account "login" password was changed - Изменен пароль пользователя (смена пароля УЗ пользователя текущим пользователем/смена пароля УЗ администратором) | |
User account "login" password was changed. Change password link was sent to user's email - Изменен пароль пользователя, ссылка на смену пароля направлена на email пользователя | |
api: user data changed "login" - Изменены учетные данные пользователя | |
api: failed to update user data "login" - Изменение данных учетной записи пользователя не удалось | |
api: user image changed "login" - Изменен юзерпик пользователя | |
User account "login" was locked - Учетная запись пользователя заблокирована (блокировка УЗ администратором/блокировка при многократно неверно введённом пароле) | |
User account "login" was unlocked - Учетная запись пользователя разблокирована (разблокировка УЗ администратором/активация УЗ пользователем) | |
Disabling account of user "login" was scheduled at "time" - Запланировано отключение учетной записи пользователя на определенное время | |
User "login" account was disabled by schedule - Учетная запись пользователя отключена в соответствии с планом | |
ldap domainUser binding: add external ids fail - Загрузка пользователя с домена LDAP не удалась, т.к. не удалось добавить внешние идентификаторы | |
failed to set email while authenticate for user "login" - Не удалось установить email при аутентификации пользователя | |
email was set while authenticate for user "login" - Email был установлен в процессе аутентификации пользователя | |
email was set confirmed by user "login" - Email был установлен и подтвержден пользователем | |
USRAUTH - Аутентификация пользователей | |
Типы факторов - согласно значению параметра | В зависимости от вида сообщения в нем могут присутствовать следующие параметры:
|
| |
| |
User "login" failed "given_factor" factor verification - Прохождение того или иного фактора аутентификации пользователем неуспешно. | |
User "login" passed "given_factor" factor verification, serial "number" - Пользователь прошел проверку фактора аутентификации (аппаратный ключ) с определенным серийным номером. | |
User "login" passed external idp authentication - Пользователь прошел аутентификацию через сторонний Identity Provider. | |
Telegram factor verification for user "login" finished with result "result" - Аутентификация пользователя посредством Telegram завершена с результатом (true/false). | |
| |
User "login" ended the session - Пользователь завершил сессию | |
auto: end of the session for the user "login" - Сессия пользователя завершена автоматически по настроенным параметрам сессии | |
api: end of the session for the user "login" - Сессия пользователя завершена администратором через менеджер сессий | |
The user has exceeded the allowed number of password attempts - Разрешенное количество попыток ввода пароля превышено пользователем | |
Kill session by code failed - Принудительное завершение сессии не удалось | |
Kill session by code successful - Принудительное завершение сессии прошло успешно | |
User "login" logout failed - Выход пользователя из системы не удался | |
User "login" logout successful - Выход пользователя из системы успешен (выход из административного интерфейса путём нажатия кнопки «Выйти» в веб-интерфейсе/выход из веб-приложения, подключённого к WebSSO) | |
| |
User access to application "app" success - Пользователь получил доступ к приложению | В сообщениях присутствуют следующие параметры:
|
User access to application "app" failed - Пользователь не получил доступ к приложению успешно | |
| |
Application "app" was created - Приложение создано (администратором Avanpost FAM) | В сообщениях присутствуют следующие параметры:
|
Application "app" was deleted - Приложение удалено (администратором Avanpost FAM) | |
Application "app" was turned on - Приложение активировано (включено) | |
Application "app" was turned off - Приложение деактивировано (выключено) | |
Application "app" was changed - Произошло изменение каких-либо настроек приложения | |
Application "app" was changed (webkeys) - Изменены JWK (JSON Web Keys) приложения (для OIDC-приложений) | |
Authentication process of application "app" was changed - Изменен сценарий многофакторной аутентификации в приложении | |
Security settings of application "app" were changed - Изменены настройки безопасности в приложении | |
"app" application secret was changed - Изменен настраиваемый секрет приложения (для OIDC-приложений) | |
"app" radius shared secret was created - Разделяемый секрет RADIUS изменен (для RADIUS-приложений) | |
Init flow "app" was changed - Изменены настройки инициализации факторов (настройки набора факторов аутентификации, которые в обязательном порядке привязаны к пользователю) | |
"app" radius shared secret settings was updated - Настройки разделяемого секрета RADIUS изменены (для RADIUS-приложений) | |
Radius Vendor Specific Attributes (VSA) dictionary has been created. Vendor name - "vendor_ name" - Создан VSA (Vendor Specific Атрибут) у вендора, настроенного в словарях RADIUS VSA | |
Radius Vendor Specific Attributes (VSA) dictionary has been has been changed. Vendor name - "vendor_ name" - Изменен VSA (Vendor Specific Атрибут) у вендора, настроенного в словарях RADIUS VSA | |
Radius Vendor Specific Attributes (VSA) dictionary has been has been deleted. Vendor name - "vendor_ name" - Удален VSA (Vendor Specific Атрибут) у вендора, настроенного в словарях RADIUS VSA | |
Debug mode on application "app" was turned on - Включен режим отладки приложения | |
Debug mode on application "app" was turned off - Включен режим отладки приложения | |
| |
Group "group" was created - Группа создана (администратором Avanpost FAM) | В зависимости от вида сообщения в нем могут присутствовать следующие параметры:
|
Group "group" was deleted - Группа удалена (администратором Avanpost FAM) | |
Application "app" was added to group "group" - Группе предоставлен доступ к приложению | |
Application "app" was removed from group "group" - У группы отозван доступ из приложения | |
Role "role" was assigned to group "group" - Группе назначена роль | |
Role "role" was revoked from group "group" - У группы отозвана роль | |
| |
Role "role" was created - Роль создана | В сообщениях присутствуют следующие параметры:
|
Role "role" was deleted - Роль удалена | |
Role "role" was changed - Параметры роли изменены | |
| |
Enabled email and phone identification settin g - Включена возможность создания УЗ пользователей с одинаковыми значениями параметров E-mail и номера телефона. | В сообщениях присутствуют следующие параметры:
|
Disabled email and phone identification setting - Отключена возможность создания УЗ пользователей с одинаковыми значениями параметров E-mail и номера телефона. |