i.a.zhilin Опубликовано 21 Января 2019 Жалоба Поделиться Опубликовано 21 Января 2019 Здравствуйте. Пожелание. По возможности прошу реализовать возможность администраторам IDS HS скрывать в пришедших логах и в базе пароли и иную чувствительную информацию. К примеру, событие "Монтирование сетевого ресурса" в "Параметры командной строки" содержит пароль, который оператору СОВ знать незачем, да и администратору тоже. net use "\\myhost\myshare" SECRETPASSWORD /user:domain\username Такая ситуация с немалым числом программ - pscp, putty и др. Опять же в случае компрометации сервера IDS и кражи его базы, пароли от смежных систем не уйдут. Такая же ситуация и с персональными данными, которые могут фигурировать в логах. Хотелось бы чтобы администратору можно было бы настроить регулярными выражениями замену полей на HIDDEN. И чтобы их даже в базе не было. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zero Опубликовано 25 Января 2019 Жалоба Поделиться Опубликовано 25 Января 2019 В 21.01.2019 в 17:34, i.a.zhilin сказал: Такая же ситуация и с персональными данными, которые могут фигурировать в логах Какие именно перс. данные Вы имеете ввиду? По паролям вопрос передан экспертам. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
i.a.zhilin Опубликовано 28 Января 2019 Автор Жалоба Поделиться Опубликовано 28 Января 2019 В 25.01.2019 в 15:32, zero сказал: Какие именно перс. данные Вы имеете ввиду? По паролям вопрос передан экспертам. Любые: ПДн или другие данные, которые могут появляться в логах и как результат в IDS. Например, есть какой-нибудь insert-into-db.exe -fio "Иванов Иван Иванович" -id "Паспорт серия номер" И это все появляется в алерте "Создание процесса". В тех же аргументах командной строки. По сути, что для паролей, что для ПДн механизм замены одинаковый. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zero Опубликовано 28 Января 2019 Жалоба Поделиться Опубликовано 28 Января 2019 57 минут назад, i.a.zhilin сказал: insert-into-db.exe -fio "Иванов Иван Иванович" -id "Паспорт серия номер" У Вас ПД хранятся в открытом виде в журнале ОС? Стороннее ПО не сможет идентифицировать в таком потоке информации ПД. И в логах ОС ПД появляться не могут и не должны, так как их расположение - ИСПДн с ограниченным уровнем доступа. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
i.a.zhilin Опубликовано 28 Января 2019 Автор Жалоба Поделиться Опубликовано 28 Января 2019 15 минут назад, zero сказал: У Вас ПД хранятся в открытом виде в журнале ОС? Нет, я для примера написал. Нам на данный момент актуален только момент с паролями в логах. Но т.к. они могут быть в разном месте командной строки и формат их передачи в командную строку разный (случайные примеры - за точность наименования аргументов не ручаюсь), хотелось бы иметь по возможности какой-то инструмент предфильтрации по регуляркам: pscp -host ip -pw PASSWORD -u aaa pscp -pw PASSWORD -host ip -u aaa pscp -host ip --passwordw PASSWORD -u aaa Регулярки, настраиваемые администратором, подойдут и для скрытия паролей и для скрытия другой чувствительной информации. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zero Опубликовано 15 Февраля 2019 Жалоба Поделиться Опубликовано 15 Февраля 2019 Вопрос по паролям поднят. Просьба продублировать свои пожелания на hotline@infotecs.ru, нужно обращение от "живого" пользователя в ТП. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
i.a.zhilin Опубликовано 11 Марта 2019 Автор Жалоба Поделиться Опубликовано 11 Марта 2019 отправил сегодня с i.a.zhilin@cit.rkomi.ru . был в отпуске Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
i.a.zhilin Опубликовано 11 Марта 2019 Автор Жалоба Поделиться Опубликовано 11 Марта 2019 001-00-1038580 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zero Опубликовано 12 Марта 2019 Жалоба Поделиться Опубликовано 12 Марта 2019 Доработка принята, будут делать скрытие паролей и прочих чувствительных данных в одной из следующих версий. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zero Опубликовано 21 Января 2020 Жалоба Поделиться Опубликовано 21 Января 2020 Версию с доработкой выпустили, обращайтесь в ТП. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.