iS-CDA2023.1.0.0 正式发布(20231225)
前言
❓为了加强企业的内部管理,制定告警规则以检测员工是否存在危险行为或不符合内部规定的情况至关重要。然而,在部署时,管理员如何设计一套通用的告警规则?以及如何满足各种安全场景的需求呢?
❓在审计过程中,管理员通常会通过查看大量英文日志和超长录屏回放来获取所需信息。然而,这种方式可能会耗费大量时间并降低审计效率。那么,管理员如何加快审计时间呢?又如何提升审计效率呢?
🌟为了解决这些问题,我们非常高兴地宣布 iS-CDA2023.1.0.0 版本的发布。在这个版本中,我们引入了一系列功能点,旨在帮助管理员更好地解决上述难题。
让我们一起来看看这次发布的功能吧! 👇 👇 👇
亮点功能
全面增强告警能力
我们提供全面增强的开箱即用告警规则,涵盖未授权访问、数据篡改、绕过安全控制等多种安全风险场景。通过这些规则,我们助力企业加快内部安全管控的落地,提升安全管理水平。
提升审计工作效能
我们对日志和录屏审计功能进行了优化,降低了管理员在审计过程中的难度,帮助他们快速熟悉审计方式,提升了审计效率。现在,管理员可以更快速、更准确地审计行为事件,从而提高整体的审计水平和准确性。
线上使用手册
一、产品功能介绍
1. 告警
1.1 开箱即用的规则库
我们提供了 40+ 个风险场景、80+ 个触发条件,涵盖了各种安全风险场景。通过开启的风险场景和触发条件,可以快速识别风险行为;以此帮助企业快速建立起安全规范,提升内部的安全管理水平。
- 未经授权的访问:实时检测敏感主机的远程连接状态和被他人远程连接的情况,帮助管理员早期发现潜在的数据泄漏和终端受攻击问题并进行安全风险预防。
- 数据篡改:及时检测重要服务进程停用和文件修改的情况,防止数据被篡改以及其他安全问题。
- 使用代理:通过监测员工启用 VPN、代理服务器等工具的行为,及时发现可能存在的数据泄漏和终端受攻击问题,预防安全风险。
- 绕过安全控制:通过检测员工修改系统防火墙、系统时间、连接 WLAN 等行为,预防潜在的安全漏洞,防止系统遭受恶意攻击并确保系统的安全性。
- 特权提升:通过检测员工对 UAC 设置的修改和使用运维工具执行危险命令,可以预防系统被恶意攻击以及避免敏感数据的访问和特权操作的安全威胁。
- 安装 / 卸载 / 运行应用:通过检测应用程序的使用情况,及时发现员工是否使用危险或不被允许的工具,如黑客工具和密码破解工具。
- 键盘操作:通过监测员工的截屏操作和敏感数据粘贴行为,及时发现可能存在的数据泄漏问题。
- 访问网站:通过监测员工的网站活动,如:招聘类网站、视频类网站、游戏类网站等,确保公司网络资源安全和员工的工作效率。
- CDA 服务器系统维护:实时监控系统状态,确保磁盘空间、节点运行、负载、许可等情况正常,保障系统稳定运行。
1.2 扩充告警检测条件
我们为告警规则增加了更多的触发检测条件,包括:进程状态、粘贴事件、网络连接、使用 VPN 情况、使用代理服务器等等。除了这些新的检测条件,我们还完善了现有的条件,并增加了更多细节设置,比如应用程序、浏览网站可以通过标签设置触发条件等等。
1.3 设置规则的生效时间
我们增加了设置的规则生效时间,在指定的时间段内检测潜在的安全风险事件。例如,在工作时间内,我们可以检测员工是否浏览了视频网站、游戏网站等,或者在非工作时间内是否远程连接了某台敏感主机等。
您可以根据公司的工作时间安排和安全策略,设置不同的规则生效时间段,确保在关键时间段内对员工的操作行为进行风险监测和控制。
1.4 支持排除对象
在以往的告警规则中,只能逐个添加适用对象或适用部门,这对于适用对象是绝大多数人或部门中的绝大多数人的场景来说,会不够便捷。
现在,我们增加了排除对象的功能,使得在配置适用对象时更加灵活。管理员可以先选择一个大范围的适用对象,然后通过排除对象来剔除不需要执行的个别用户。以此大大提高了告警规则的配置效率,使管理员能够更方便、更灵活地配置适用对象,简化了的操作步骤,提升了用户体验。
1.5 更多优化
-
支持存草稿模式:在配置告警规则时,管理员必须要完成基本信息、触发条件、规则适用对象等配置信息;即便有些信息可能不确定,仍需要完成必填项才能保存。现在,我们增加了存草稿的模式,可以随时暂停并保存当前的配置信息;而在后续更改或完善后,可以随时将其恢复并继续配置规则。
-
支持设置告警标签:我们增加了对单个告警规则的标签设置功能,从而更便捷地快速筛选出特定类型的告警规则。
-
支持设置告警备注:我们支持对每条告警规则设置备注信息,管理员可以详细记录和查看每个规则的适用场景或其他描述信息。
-
支持批量开启告警规则:原来,我们的告警规则只支持对指定规则进行启停操作;现在,支持用户勾选多个告警规则,批量启用的操作。
-
增加发件箱服务器检测机制:在过去,在配置告警规则时,如果选择邮件通知方式,需要先配置发件箱服务器,如果没有配置就会不发送通知;为了提高用户的使用体验,现在,在选择邮件通知方式时,系统会增加判断,以及时通知管理员进行发件箱服务器的配置。
-
优化检测频次:以前的管控频率设置仅适用于每次触发告警行为后,根据设置的频率通知管理员或执行客户端管控方式。而现在,我们将管控频率优化为检测频次,并应用于告警规则的检测次数;那么,在设置的次数内检测用户触发告警的行为,并进行通知和执行客户管控方式。
-
优化服务端站内信通知:现在,当触发告警行为操作后,可以通过添加角色维度的条件,将站内信通知直接发送给特定角色的用户群体,而不需要一个个添加用户名称;以此可以更方便、灵活的设置站内信通知方式。
-
优化告警规则检测机制:过去,检测告警行为的工作是在客户端进行的。为了提高告警检测的可靠性和准确性,现在,我们将检测告警行为的责任从客户端转移到服务端,并对每条操作日志进行检测,判断是否触发告警规则,并基于设置的管控措施,实时下发告警信息至客户端,及时触发管控机制。
-
优化列表展示字段:我们将客户端安全管控、服务端通知的名称进行了统一优化,并且去除了最后触发时间的冗余字段。
2. 日志
2.1 全局查看操作日志
过去,我们使用 ELK 功能来查看所有的操作日志。然而,在查看日志时,虽然一些常用字段已经被翻译成中文,但大部分字段仍然保持英文,给管理员审计工作带来了不便。
为了解决这个问题,我们进行了优化。现在,我们构建了一种新的日志查看方式,用户不再需要使用 ELK 的方式去查看操作日志,可以选择查看所有日志或是根据不同的操作类型查看日志。
-
根据不同场景查看日志:用户可以全局查看所有的操作日志,也可以切换不同的操作场景查看相关的操作日志,例如:文件类型、剪切板类型、电子邮件类型等等。
-
自定义列表展示:用户可以自定义选择在日志列表中展示的字段,并且可以灵活调整字段展示的顺序和列表的宽度。
-
定位跳转回放:关联录屏的操作日志,可以通过操作日志快速定位并查看录屏回放画面。
-
查看日志详情:在操作日志详情页中,可以查看与该操作相关联的更多信息。
-
获取邮件附件:在发送电子邮件类型的操作日志中,如果获取了邮件附件,可以下载所有相关的附件文件或下载指定的附件文件。
2.2 日志统计趋势图
为了进一步提升管理员的日志查看和分析能力,我们增加了日志统计趋势图功能。现在,用户可以根据选择的时间段,以小时、天、周、月为维度,统计每个时间段产生的日志数量,并通过直观的柱状图展示给用户。这样,管理员可以清晰明了地查看日志的趋势状态,有助于他们更好地理解员工们的活动和行为,并可隐藏图表以扩展日志列表的展示区域。
2.3 字段筛选方式
我们为管理员提供了更加灵活的日志检索方式。与系统中其他页面提供的检索方式不同,我们通过添加字段筛选功能来支持更多的搜索条件。管理员可以选择不同的字段类型来添加筛选条件,通过组合条件检索相关日志。此外,我们还采用标签的形式展示每个搜索条件,使得管理员能更加直观地查看、修改过滤条件。
2.4 优化自然语言化日志
-
优化日志表述方式:为了更好地帮助管理员直观、方便地查看用户的操作行为,我们引入了自然语言化日志的功能。经过此次改进,我们增加了对不同类型的操作事件的采集,并对当前字段内容进行了优化。基于这些改进,我们对自然语言化日志进行了修改,去除了一些冗余的描述,明确了日志的表述,使其更加简洁明了。
-
兼容历史日志数据:值得一提的是,我们考虑到管理员可能需要查看历史的操作日志。因此,在升级到新版本后,过去的数据仍然可以采用原来的方式进行查看。而对于新的数据,我们将应用优化过后的方式进行查看。这种兼容性的设计确保了管理员在管理日志时的顺畅体验。
3. 录屏
3.1 扩展采集的操作事件
本次,我们采集了更多用户操作行为事件。这些事件包括进程检测、使用代理服务器、使用 Windows VPN、网络连接等。同时,我们还扩充了已有的采集内容的采集类型,比如,系统时间增加了时间服务器的事件,防火墙增加了防火墙规则修改的事件,电子邮件事件中获取了附件文件等等。
3.2 收藏录屏
我们增加了对单个录屏的收藏功能,帮助管理员快速找到关键录屏。现在,管理员可以将某个特定录屏添加到收藏列表中,无需每次都通过组合筛选条件来查找。无论是审查重要事件还是进行紧急回溯,收藏功能都能为管理员提供更便捷的录屏查找方式。
3.3 永久保存录屏
在过去,录屏要么永久保存,要么根据数据清理机制定时清理录屏数据。但如果有重要录屏需要作为证据或作为业务执行的模范案例,无法单独将其永久留存。现在,我们已经实现了单个录屏的永久保存功能,以满足管理员的需求。管理员可以选择将特定的录屏永久保留下来,方便作为证据或参考。
3.4 采集无录屏事件
在出现回溯录屏却没有录屏文件的场景时,管理员需要进行一系列繁琐的排查工作,这包括从服务端查找用户信息,检查终端的运行情况,结合运行日志进行排查等等,每次排查都可能需要耗费大量的时间和精力。
为了解决这一问题,可以针对无录屏事件进行采集,并包括许可状态、桌面状态、通讯情况、录屏状态、终端运行情况、录屏策略等数据。这些数据可以帮助管理员快速排查问题,减少安全事件调查的时间和精力成本。
3.5 更多优化功能
-
跳过无操作:在录屏回放的过程中,我们增加了自动跳过无操作的录屏播放模式,以此自动快进 / 跳过没有操作的时间段,加快审计速度,使审计人员能够更快地浏览录屏内容。
-
键盘快捷操作:我们优化了录屏审计的回放体验,新增了快捷键操作功能。通过快捷键操作,在录屏回放的过程中,您可以快速调整录屏的进度,以便更好地定位您需要审计的记录。
-
优化定位回放:尽管我们的定位回放功能可以准确跳转到用户的操作时间点,但有时会因为点击跳转时错过操作画面;因此,我们增加了三秒倒计时的功能,在跳转到操作时间点前的三秒钟进行倒计时,这样可以避免在点击跳转时错过操作的瞬间。
-
增加多种倍速选择:以往管理员只能通过 1、2、3 倍速进行播放,但这可能会导致排查问题的耗时过长。现在,我们增加了 0.3、0.5、4、8、16 倍速选择,使管理员可以缩短排查问题的时间、快速定位问题所在。
-
优化跨天录屏机制:我们优化了录屏机制,当一段录屏需要跨越日期时,系统会自动中断当前录屏并启动新的录屏段落。以此方便审计人员按用户查看每日的录屏数据,这也确保效率统计数据更加准确。
-
完善日志采集事件:在过去,当客户端网络通讯失败时,在采用离线录屏策略之前,会有几分钟的时间内没有采集到操作日志。现在,我们采集了这部分缺失的操作日志,但这部分日志将不会与录屏关联。这样,我们可以确保不会有任何操作日志丢失,并且可以提供更完整的操作日志记录。
-
优化行为日志采集操作:在录屏策略中,我们对行为日志采集功能的进行了进一步的改进。现在,管理员可以通过批量操作按操作类型一次性开启或关闭所有相关的操作事件的采集。这极大地简化了操作流程,减少了繁琐的操作步骤,提高了操作的效率和便利性。管理员可以先批量开启所有操作事件的采集,然后根据需要选择性关闭某些不需要的事件采集。
4. 基于 2022.1.0 版本的升级优化
4.1 新增功能
-
支持多种数据清理方式
在之前的版本中,录屏数据的清理方式只能根据时间日期进行选择。这导致 CDA 服务器在根据日期清理过期录屏数据后,仍然经常因为磁盘空间不足导致宕机。
为了解决这个问题,现在,数据清理方式可以通过有效期、存储占比、剩余空间这三种方式进行选择,使录屏数据的管理更加灵活和高效,以此确保系统的稳定运行。 -
支持设置多个录屏的存储路径
在之前的版本中,录屏的存储路径只能设置为单一路径,这就导致了当用户无法获得足够的存储空间来满足单一存储盘的需求时,无法处理数据存储在多个存储盘的场景。
为了解决这个问题,我们进行了优化。现在,可以在服务端的配置文件中设置多个存储路径,从而满足用户将数据存储在多个存储盘的需求。 -
支持 OSS 对象存储
我们提供了 OSS 对象存储功能,扩展了数据存储的方式。现在,用户可以将数据存储在 OSS 上,获取更高的可靠性和灵活性。 -
支持配置日历
我们增加了日志配置功能,使用户能够更灵活地配置告警规则的生效时间。该功能允许用户设置工作日、非工作日,以及工作时间段,通过配置的日历,用户可以根据自己的需要,细化告警规则的生效时间,避免无效告警的干扰。 -
扩充网站、应用分类
增加预设的网站和应用,包含:视频类、游戏类、招聘类、代理工具、VPN 工具、动态 DNS 工具等 14 种类型。这些预设内容能够帮助企业统计各个类型的使用详情,以及设置相关的告警触发条件。以及优化应用标签的显示方式。 -
kibana logstash 配置文件密码加密
为了符合安全管理规范并避免泄漏风险,我们对配置文件中的 Kibana 和 Logstash 进行了加密处理。 -
初始化时,预设管理员角色
在系统初始化过程中,我们考虑到产品易用性,为用户预设了两种常见的角色类型,即管理员、部门管理员和员工管理员。这样,用户在开始使用系统时,无需手动创建这些角色,节省了配置的时间和工作量。 -
支持在客户端设置终端别名
现在,用户在安装客户端时或者安装成功后的客户端托盘中就可以自己创建终端别名。这样,在公司中终端名称各不相同的情况下,管理员就能更轻松地进行统一管理。不再需要逐个查找终端并设置别名,而是让用户自己来命名终端。这个改进使终端管理变得更加简单和高效。
4.2 优化功能
-
优化用户操作行为分布图
我们对用户操作行为分布图进行了优化,新增了统计维度。除了根据事件类型统计外,还可以统计每个事件的具体操作类型;例如,对于文件操作,我们会统计文件操作在所有操作中的百分比,并进一步统计复制、删除等不同操作类型的百分比。这样的优化让用户操作行为分布图更加详细准确,能够更好地呈现用户实际的操作情况。 -
行为风险记录中优化查看日志详情
以前,在行为风险记录中查看日志详情时,需要跳转到 ES 中查看更详细的操作日志;然而,ES 的日志可读性不够好,给管理员在审计过程中带来了一定的困扰。现在,可以直接连接跳转到新增的日志页面,在那里查看更易读的日志详情。 -
完善系统操作日志
完善了管理员在 CDA 系统的操作日志,包含:查看录屏、查看操作日志、权限分配等操作日志;为管理员提供了系统操作的全面监控和审计能力。 -
优化录屏类型筛选描述:在录屏列表等页面中,我们将用于检索是否含有告警操作的过滤条件名称从“录屏类型”改为“是否触发告警”,以提高其简单易懂性。
-
优化终端名称:现在系统中,已将终端别名和终端主机名的名称全部统一,并避免给用户造成困扰。
-
CDA 集群部署架构优化
以往运维人员在部署集群时,经常因为配置参数不熟悉而导致部署失败。现在,运维人员仅需按照自动化脚本模式进行集群配置即可,无需繁琐地手动配置各项参数,大大降低了部署集群的失败率。 -
动态加载 xxl-job
以往,xxl-job 日志文件夹路径无法修改,需要研发手动修改后才能顺利部署使用。现在,我们进行了优化,不管是更换安装路径还是覆盖安装,都可以根据部署时填写的安装路径动态加载 xxl-job 配置项,从而保证安装成功。 -
提供第三方接口说明文档
CDA 提供了第三方接口文档,帮助运维人员将数据集成到外部系统和服务中,以提高集成能力。然而,原来我们只提供了第三方接口的工具,而用户可能不知道如何正确操作。
为了解决这个问题,我们现在提供了帮助文档,以此帮助用户快速熟悉操作流程。无论是初次接触第三方接口的用户,还是有一定经验的用户,都可以通过文档中的指导获得所需的操作技巧。 -
关闭发送客户端运行日志
原来,我们默认开启了发送客户端运行日志的功能,这会将每台客户端的运行日志都发送给服务端,但由于客户端运行日志占用存储空间较多,在排查客户端问题时,运维人员常常会通过定位至终端来查看本地日志。现在,我们关闭了发送客户端运行日志的功能,这大幅度减少了存储占用空间。同时,我们引入了新的无录屏事件功能,使管理员可以通过该功能查看相关的日志,从而快速排查问题。
4.3 修复功能
-
修复 AD 域同步问题
之前在同步域环境后,终端用户和系统用户的真实姓名会被替换为用户名称。为了解决这个问题,进行了优化处理。
现在,优先以管理员手动修改用户的姓名为准。如果管理员没有进行修改,那么同步域环境中的用户名称将作为默认值。通过这个优化,可以更好地满足管理员对用户信息的管理需求。 -
修复窗口时长统计异常问题
在终端长时间不关机的情况下,再次进行操作时,会出现计算操作前最后一个窗口时长的值异常过大的情况,这导致了数值显示为负数。现在,我们过滤了为负数的空闲时长,这样就可以避免窗口时长统计异常导致的数值显示问题。 -
修复集群部署后,数据统计异常问题
在集群环境下,由于数据量庞大,以及统计逻辑较为复杂,导致任务执行时间过长,甚至造成 mysql 连接超时而导致任务失败。现在,我们优化了统计逻辑的方式,并提升了数据统计的性能,从而能够更快速、更精确地统计数据。 -
修复在录屏列表中查询用户名称异常问题
当用户的名称有大写或小写字母时,只有完全匹配的结果才能被搜索到;现在,我们进行了优化,在查询用户真实姓名时,我们将忽略大小写,这样用户就可以更方便地搜索了。 -
修复录屏日志加载异常
修复了在查看录屏日志时,如果要加载更多日志,会导致前面的日志不显示的异常问题。 -
统一端口号
过去,由于客户端和服务端使用不同的端口号,可能导致客户端采集到了日志,但却丢失了录屏。为了解决这个问题,我们现在统一了客户端和服务端的端口号,以避免客户端录屏丢失的情况发生。
二、产品部署
-
客户端部署
1、支持的操作系统:Windows7、Windows10、Winserver2012R2、Winserver2016、UOS、银河麒麟
2、支持虚拟桌面部署:Citrix、Vmare -
服务端部署
1、支持单系统部署
2、支持集群部署
三、性能参数
-
终端性能参数
1、资源占用:CPU:0.43%;内存:68M;磁盘读写:0.3MB/s
2、带宽占用:每客户端录屏占用的带宽低至 10kb/s
3、录屏文件占用存储低至 10~20MB/ 小时 -
服务端性能参数
1、单套服务器(16Core cpu、32G 内存)支持 400 并发连接
2、高可用集群部署需至少 3 台服务器
