PowerMatrix - автоматизированная матрица доступа

Аватар пользователя Николай Казанцев
Автор: Казанцев Николай,
(0)
()
Опубликовано в:

Матрица доступа (матрица пользователей и полномочий)Ведение матрицы доступа, устанавливающей права пользователей на доступ к информационным ресурсам, является одной из базовых задач службы информационной безопасности. При этом сверка согласованных пользователю прав с реальными правами пользователя в инфраструктуре без применения средств автоматизации достаточно трудоемкая задача. Автоматизация возможна за счет внедрения систем класса IDM, но это весьма затратная процедура и не каждая организация к этому готова.

Решая задачи учета пользователей и их полномочий в инфраструктуре на свет появился скрипт PowerMatrix, позволяющий автоматизировать множество рутинных задач службы ИБ. Далее предлагаю вашему вниманию описание системы с примерами и исходниками.

PowerMatrix собирает данные из инфраструктуры (служба каталогов, базы данных, текстовые файлы) и формирует результирующую матрицу в Excel файл. Скрипт написан на PowerShell.
Работает PowerMatrix в 3 режимах: 
  1. Создание матрицы (первичный аудит инфраструктуры)
  2. Ведение и актуализация матрицы (контроль изменений и соответствия)
  3. Внесение изменений в инфраструктуру через матрицу
Общая схема работы с матрицей доступа

Состав PowerMatrix

В Матрице пользователей и полномочий размещаются все пользователи службы каталогов (AD) с дополнительной информацией:
  • Общая информация по пользователю
    • Организация, отдел, должность, кабинет, телефон
  • Учетная запись
    • Расположение в службе каталогов (юнит AD)
    • Время создания УЗ
    • Время последнего изменения УЗ
    • Время последнего входа в систему
    • Время последней неудачной попытки входа в систему
  • Компьютер, на котором работал пользователь
    • Сигнализация если пользователь работал на нескольких устройствах
    • Время последнего подключения
    • Указание коммутатора, порта коммутатора, описания порта коммутатора, VLAN
  • DLP: сведения о наличии информации по пользователю в DLP системе
    • Сигнализация если информация в DLP старее чем последний вход пользователя в систему
  • Административные привилегии в домене
    • Доменный администратор
    • Локальный администратор
  • Права доступа к информационным ресурсам (чтение/запись)
    • Сигнализация о несоответствии установленных в матрице прав реальным правам пользователя, установленным в службе каталогов
Итоговая матрица выглядит следующим образом (Excel можно взять тут):
Общий вид матрицы доступа
Матрица пользователей и их полномочий, сформированная PowerMatrix
Помимо сводной информации в комментариях к полям хранятся дополнительные сведения:
учет пользователей в матрице доступа
Сведения о пользователе
учетные записи пользователей в матрице доступа
Сведения об учетной записи пользователя
учет компьютеров пользователей в матрице доступа
Сведения об устройствах, с которых подключался пользователь (используется скрипт описанный ранее)
права пользователей в матрице доступа
Сведения о правах пользователя, в том числе о несоответствии реальных прав и прав, установленных в Матрице

Применение

В режиме актуализации PowerMatrix обновляет информацию о пользователях и добавляет новых, но не изменяет установленных пользователю прав. В случае выявления несоответствия в правах скрипт отмечает это в матрице. Как следствие, службе ИБ достаточно при согласовании/установке пользователю новых прав и полномочий только внести соответствующие изменения в матрицу. А все несанкционированные изменения в инфраструктуре, прошедшие мимо службы ИБ, становятся видны после очередной отработки скрипта.

Если вы захотите использовать PowerMatrix для развертывания в своей инфраструктуре то исходники можно скачать тут

А какими скриптами для автоматизации задач службы информационной безопасности пользуетесь вы?
Оцените материал:
Total votes: 114
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.