Często zadawane pytania¶
1. Jaka jest maksymalna ilość nagranych sesji na Fudo PAM dostępna z poziomu systemu?
2. W jaki sposób Fudo PAM obsługuje archiwizację sesji?
3. Jak wyliczyć wielkość przestrzeni dyskowej do archiwizacji?
5. W jaki sposób można stwierdzić próby uzyskania nieuprawionego dostępu do monitorowanych serwerów?
6. Czy możliwe jest ukrycie ekranu logowania podczas nawiązywania połączeń RDP?
7. Dlaczego lista użytkowników we właściwościach połączenia jest niekompletna?
8. Dlaczego użytkownik usunięty z serwera LDAP/AD w dalszym ciągu widoczny jest na Fudo PAM?
9. Jak często ma miejsce synchronizacja użytkowników z serwerem LDAP/AD?
11. Czy można unieważnić odnośnik do sesji?
12. Co należy zrobić przed zdaniem maszyny demonstracyjnej?
Przetwarzanie sesji - uczenie maszynowe
13. Ile czasu zajmuje wytrenowanie modeli? Ile sesji muszę nagrać, aby zobaczyć wyniki?
15. Jeśli łączę się do różnych serwerów, czy Fudo tworzy osobny model dla każdego z nich?
17. Ikonka statusu sesji jest stale żółta - co to oznacza?
20. Dlaczego moje sesje nie są analizowane?
1. Jaka jest maksymalna ilość nagranych sesji na Fudo PAM dostępna z poziomu systemu?
Urządzenia serii F1000 dysponują 24 TB przestrzeni dyskowej (15,9 TB przestrzeni użytkowej), a serii F3000 mają do dyspozycji macierz wewnętrzną o pojemności 96 TB (59,5 TB przestrzeni użytkowej) przeznaczoną do przechowywania danych sesji.
Rozmiar sesji determinowany jest aktywnością użytkownika. Średnie wartości dla jednej godziny zarejestrowanego połączenia wynoszą:
| RDP | 218 MB aktywnej sesji (brak aktywności ze strony użytkownika generuje pomijalnie niewielkie ilości danych). Ostateczny rozmiar sesji uzależniony jest od rozdzielczości ekranu, głębi kolorów i aktywności użytkownika w sesji. |
| SSH | 41,5 MB aktywnej sesji. |
Przy takich założeniach, wewnętrzna przestrzeń dyskowa pozwala na zarejestrowanie:
| RDP | SSH | |
| F1000 | 28,6 lat | 150,2 lat |
| F3000 | 112,8 lat | 592,5 lat |
Informacja
- Informacja o zajętości przestrzeni dyskowej bierze pod uwagę obszar zarezerwowany przez mechanizm redundancji danych. Stąd wynika raportowana zajętość macierzy dyskowej po zainicjowaniu systemu.
- Fudo PAM pozwala określić, jak długo sesje mają być przechowywane i automatycznie usuwa dane sesji po upłynięciu czasu określonego parametrem retencji.
2. W jaki sposób Fudo PAM obsługuje archiwizację sesji?
Wszystkie sesje archiwizowane są na wewnętrznej macierzy dyskowej urządzenia, przeznaczonej na rejestrowanie zdalnych połączeń. Fudo PAM wspiera zewnętrzne macierze a także umożliwia eksport sesji w natywnym formacie lub w postaci nagrania video.
3. Jak wyliczyć wielkość przestrzeni dyskowej do archiwizacji?
Rozmiar plików w formacie natywnym jest zgodny z odpowiedzią z punktu 1. W przypadki eksportu do formatu video, rozmiar wynikowy pliku zależy od wybranego kodowania strumienia video oraz wybranej rozdzielczości nagrania.
4. W jaki sposób użytkownicy mogą ukrywać swoje działania na serwerach, do których mają skonfigurowane połączenia na Fudo PAM?
W przypadku protokołu SSH, obsługiwany jest kanał SCP przez co wszystkie pliki, w tym skrypty, również podlegają monitorowaniu. Dzięki temu można audytować daną sesję również pod kątem złośliwego kodu zamieszczanego w programach wysłanych na serwer, których zawartość nie jest wyświetlana na ekranie.
Ochrona innych kanałów komunikacji użytkownika z serwerem (np. przeglądarka internetowa lub inne programy) to zadanie dla rozwiązań innego rodzaju. Żadne rozwiązania jak Fudo PAM nie mogą monitorować tych kanałów, dlatego ważne jest stworzenie odpowiedniej konfiguracji serwera przez administratora systemu.
5. W jaki sposób można stwierdzić nieuprawnione próby uzyskania dostępu do monitorowanych serwerów?
Próby nadużyć (nieuprawniony dostęp, atak DoS), można stwierdzić na podstawie analizy wpisów w dzienniku zdarzeń. Wszelkie wpisy o poziomie logowania ERROR i WARNING powinny być dokładnie analizowane. Przypadki wystąpienia błędu przekroczenia limitu czasu logowania, mogą świadczyć o próbie dokonania ataku DoS.
6. Czy możliwe jest ukrycie ekranu logowania podczas nawiązywania połączeń RDP?
Ukrycie ekranu logowania wymaga zdefiniowania trybu bezpieczeństwa Enhanced RDP Security (TLS) + NLA monitorowanego serwera.
7. Dlaczego lista użytkowników we właściwościach połączenia jest niekompletna?
Lista użytkowników we właściwościach połączenia nie zawiera użytkowników synchronizowanych z serwerem usług katalogowych. Aby dodać takiego użytkownika do połączenia, zdefiniuj mapowanie grup we właściwościach synchronizacji LDAP lub wyłącz synchronizację LDAP dla wybranego użytkownika.
8. Dlaczego użytkownik usunięty z serwera LDAP/AD w dalszym ciągu widoczny jest na Fudo PAM?
Odwzorowanie zmiany polegającej na usunięciu użytkownika z serwera LDAP lub AD wymaga pełnej synchronizacji. Proces pełnej synchronizacji wyzwalany jest automatycznie raz na dobę, w czasie do 5 minut po godzinie 00:00, lub może zostać wyzwolony ręcznie z poziomu widoku ustawień synchronizacji LDAP.
9. Jak często ma miejsce synchronizacja użytkowników z serwerem LDAP/AD?
Definicje nowych użytkowników oraz zmiany w istniejących obiektach pobierane są okresowo w odstępie czasowym wynoszącym 5 minut. Pełna synchronizacja wyzwalana jest automatycznie raz na dobę, w czasie do 5 minut po godzinie 00:00.
10. W odtwarzaczu sesji zamiast wprowadzonych znaków klawiatury wyświetlane są *. W jaki sposób zobaczyć dane wejścia klawiatury?
Wejście klawiatury należy do grupy funkcjonalności wrażliwych i jest domyślnie ukryte. Włączenie pokazywania znaków wprowadzonych na klawiaturze wymaga decyzji dwóch użytkowników superadmin. Procedura aktywacji funkcjonalności opisana jest w rozdziale Funkcjonalności wrażliwe.
11. Czy można unieważnić odnośnik do sesji?
Aktywny odnośnik do sesji może zostać w każdej chwili unieważniony. Procedura unieważnienia odnośników opisana jest w rozdziale Udostępnianie sesji.
12. Co należy zrobić przed zdaniem maszyny demonstracyjnej?
Przed zdaniem maszyny demonstracyjnej należy usunąć dane oraz konfigurację poprzez przywrócenie ustawień fabrycznych oraz wyczyścić nośnik z kluczem szyfrującym.
13. Ile czasu zajmuje wytrenowanie modeli? Ile sesji muszę nagrać, aby zobaczyć wyniki?
Modele są trenowane zgodnie z ustawieniami terminarza w konfiguracji Sztucznej inteligencji.
- W przypadku modelu SSH, wytrenowanie modelu wymaga minimum 65 sesji (każda musi zawierać co najmniej 25 unikatowych komend) oraz 5 unikatowych predyktorów (np. użytkowników). Uzyskanie optymalnych wyników wymaga 300 sesji dla każdego predyktora i 10 unikatowych predyktorów.
- Dla modelu RDP, minimum konieczne do wytrenowania modelu, to 5 godzin nagrań dla pojedynczego predyktora. Optymalne wyniki uzyskuje się przy 30 godzinach nagrań i 10 unikatowych predyktorach.
14. Mamy 20 kont i 20 użytkowników w firmie - ile czasu zajmie zauważenie różnic w zachowaniu użytkowników?
Czas jest ściśle uzależniony od dostępności zarejestrowanych sesji. Jeśli jest wystarczająca ilość danych do zbudowania modelu, system będzie w stanie wykryć zmiany w zachowaniu użytkowników w jeden dzień po nagraniu pierwszej sesji dla danego predyktora (użytkownika).
- W przypadku modelu SSH, wytrenowanie modelu wymaga minimum 65 sesji (każda musi zawierać co najmniej 25 unikatowych komend) oraz 5 unikatowych predyktorów (np. użytkowników). Uzyskanie optymalnych wyników wymaga 300 sesji dla każdego predyktora i 10 unikatowych predyktorów.
- Dla modelu RDP, minimum konieczne do wytrenowania modelu, to 5 godzin nagrań dla pojedynczego predyktora. Opymalne wyniki uzyskuje się przy 30 godzinach nagrań i 10 unikatowych predyktorach.
15. Jeśli łączę się do różnych serwerów, czy Fudo tworzy osobny model dla każdego z nich?
Fudo PAM tworzy i utrzymuje jeden model RDP oraz jeden model SSH dla pojedynczego użytkownika.
16. Jeśli przekażę swoje dane logowania innej osobie, czy sztuczna inteligencja stwierdzi, że zalogował się ktoś inny i przerwie połączenie?
Fudo PAM będzie w stanie wykryć taki przypadek i odpowiednio ustawić poziom zagrożenia sesji, ale nie przerwie automatycznie połączenia.
17. Ikonka statusu sesji jest stale żółta - co to oznacza?
Żółty kolor oznacza, że model nie był w stanie jednoznacznie ustalić poziom zagrożenia dla sesji. W sytuacji, gdy nie mamy podejrzenia, że doszło do nieuprawnionego dostępu, te sesje można uznać za prawidłowe. Jeśli jednak doszło do nadużycia uprawnień, sesje te należy poddać audytowi.
18. Pięciu użytkowników korzysta z tego samego konta do nawiązywania połączeń - czy system będzie w stanie stwierdzić kto i kiedy łączył się z serwerem?
Użytkownicy muszą mieć indywidualne konta na Fudo PAM, aby system był w stanie zidentyfikować zagrożone sesje.
19. W jaki sposób system będzie w stanie stwierdzić, że to ktoś inny zalogował się do systemu, skoro wszyscy wykonujemy te same komendy?
Każdy użytkownik wykonuje te same komendy w odmienny sposób. Np. jeden użytkownik wykona ls -la a drugi ls -al. Kombinacja takich niewielkich różnic pozwala stwierdzić zgodność zachowania użytkownika z wytrenowanym dla niego modelem.
20. Dlaczego moje sesje nie są analizowane?
Aby sesja została poddana analizie, musi istnieć odpowiadający jej model. Ponadto, sesja musi spełniać pewne wymagania ilościowe: musi być dostatecznie długa i zawierać minimalną ilość informacji. Więcej informacji na ten temat znajdziesz w rozdziale Przetwarzanie sesji - uczenie maszynowe.