3. Функціональні компоненти й архітектура

У складі засобів активного аудиту можна виділити наступні функціональні компоненти:

• компоненти генерації реєстраційної інформації. Вони перебувають на стику між засобами активного аудиту й контрольованих об'єктів;

• компоненти зберігання згенерованої реєстраційної інформації;

• компоненти витягу реєстраційної інформації (сенсори). Звичайно розрізняють мережні й хостові сенсори, маючи на увазі під першими виділені комп'ютери, мережеві карти яких установлені в режим прослуховування, а під другими – програми, що читають реєстраційні журнали операційної системи. На наш погляд, з розвитком комутаційних технологій це розходження поступово стирається, тому що мережеві сенсори доводиться встановлювати в активному мережному устаткуванні й, по суті, вони стають частиною мережевої ОС;

• компоненти перегляду реєстраційної інформації можуть допомогти при ухваленні рішення про реагування на підозрілу активність;

• компоненти аналізу інформації, що надійшла від сенсорів. Відповідно до наведеного визначення засобів активного аудиту, виділяють пороговий аналізатор, аналізатор порушень політики безпеки, експертну систему, яка виявляє сигнатури атак, а також статистичний аналізатор, що виявляє нетипове поводження;

• компоненти зберігання інформації, які беруть участь в аналізі. Таке зберігання необхідно, наприклад, для виявлення атак, тривалих у часі;

• компоненти прийняття рішень і реагування ("вирішувачі"). "Вирішувач" може одержувати інформацію не тільки від локальних, але й від зовнішніх аналізаторів, проводячи так званий кореляційний аналіз розподілених подій;

• компоненти зберігання інформації про контрольовані об'єкти. Тут можуть зберігатися як пасивні дані, так і методи, необхідні, наприклад, для витягу з об'єкта реєстраційної інформації або для реагування;

• компоненти, які відіграють роль організуючої оболонки для менеджерів активного аудиту, названі моніторами й об'єднуючими аналізаторами, "вирішувачі", сховище описів об'єктів й інтерфейсні компоненти. У число останніх входять компоненти інтерфейсу з іншими моніторами, як рівноправними, так і ти ми, які входять в ієрархію. Такі інтерфейси необхідні, наприклад, для виявлення розподілених, широкомасштабних атак;

• компоненти інтерфейсу з адміністратором безпеки.

Засоби активного аудиту будуються в архітектурі менеджер/агент. Основними агентськими компонентами є сенсори. Аналіз та прийняття рішень – функції менеджерів. Очевидно, між менеджерами й агентами повинні бути сформовані довірені канали.

Підкреслимо важливість інтерфейсних компонентів. Вони корисні як із внутрішньої для засобів активного аудиту точки зору (забезпечують розширюваність, підключення компонентів різних виробників), так і із зовнішньої точки зору. Між менеджерами (між компонентами аналізу й "вирішувачами") можуть існувати горизонтальні зв'язки, необхідні для аналізу розподіленої активності. Можливо також формування ієрархій засобів активного аудиту з винесенням на верхні рівні інформації про найбільш масштабну й небезпечну активність.

Звернемо також увагу на архітектурну спорідненість засобів активного аудиту й керування, що є наслідком спільності виконуваних функцій. Продумані інтерфейсні компоненти можуть істотно полегшити спільну роботу цих засобів.