Zabbix - как система мониторинга событий ИБ

Содержание

Введение        3

1. Мониторинг и анализ локальных сетей        4

1.2. Классификация средств мониторинга и анализа        5

2. Средство сетевого мониторинга Zabbix        7

2.1. Возможности средства сетевого мониторинга Zabbix        8

2.2. Архитектура средства сетевого мониторинга Zabbix        9

2.3 Сбор данных Zabbix        13

3. Zabbix - как система мониторинга событий ИБ        17

Заключение        19

Список литературы        20

Введение

На сегодняшний день все больше компаний сталкивается с необходимостью обработки журналов событий, которые регистрируются в информационных системах, с целью выявления возможных атак. При этом даже в небольшой компании в журналах аудита может регистрироваться до нескольких десятков событий в секунду, что делает их анализ в ручном режиме длительным и крайне неэффективным [1]. Для того, чтобы автоматизировать процесс сбора и анализа информации о событиях информационной безопасности могут использоваться специализированные системы мониторинга, одно из которых мы и рассмотрим в данной работе.

Мониторинг информационных систем представляет собой процесс выполнения постоянного наблюдения за компьютерной системой. Средствами мониторинга выполняются поиск медленных или неисправных систем, наблюдение за нагрузкой на узлы информационных и аппаратных систем, обнаружение изменений в различных файлах системы. Администратор системы оповещается о результатах мониторинга систем посредством сообщений [2].

В работе будет представлен обзор свободной системы мониторинга и отслеживания статусов разнообразных сервисов – Zabbix, с точки зрения их функционала и удобства использования в жизненном цикле предприятия. А также использование готового решения Zabbix в целях мониторинга событий информационной безопасности сети предприятия.

1. Мониторинг и анализ локальных сетей

Локальная сеть – компьютерная сеть, объединенная физически и логически множеством компьютеров, с целью совместного использования ресурсов этой сети.

Постоянный контроль работы локальной сети, составляющей основу корпоративной сети, необходим для поддержания ее в работоспособном состоянии.

Использование средств мониторинга позволяет администратору сети выявить проблемные участки устройства сети, а их отключение или реконфигурация выполняется вручную [2].

На этапе мониторинга выполняется процедура сбора первичных данных о работе сети: статистики о количестве циркулирующих в сети кадров и пакетов различных протоколов; состоянии портов концентраторов, коммутаторов, маршрутизаторов и т. п.

Перечисленные процедуры мониторинга решаются программными и аппаратными измерителями, тестерами, сетевыми анализаторами, встроенными средствами мониторинга коммуникационных устройств, а также агентами систем управления [2].

На этапе анализа реализуется процесс восприятия информации, собранной на этапе мониторинга. Сопоставление данных, полученных ранее, выработка предположений о возможных причинах замедленной или ненадежной работы сети позволяет понять систему анализа [2].

Задача анализа требует активного участия человека и использования таких сложных средств, как экспертные системы, аккумулирующие практический опыт многих сетевых специалистов [2].

1.2. Классификация средств мониторинга и анализа

Многообразие средств, применяемых для анализа и диагностики вычислительных сетей, разделяются на несколько крупных классов:

Агенты систем управления, поддерживающие функции одной из стандартных MIB (MIB – база данных информации управления, используемая в процессе управления сетью в качестве модели управляемого объекта в архитектуре агент-менеджер) и поставляющие информацию по протоколу SNMP или CMIP. Для получения данных от агентов требуется наличие системы управления, собирающей данные от агентов в автоматическом режиме.