ObserveIT
技術優勢
  • 風險儀表板
  • Software & Agent based 彈性靈活 (本機與GATEWAY)
  • 側錄技術 (即時、離線、連續;可依據不同部門帳號及APP)卓越的Metadata+User Session+Keylogging偵測分析技術,以操作行為啟動側錄機制,使用者待機或停止操作時,系統將不予側錄,不浪費效能、頻寬及儲存空間。具備離線側錄功能,網路斷線時Agent仍持續側錄,待恢復連線後自動回傳檔案至資料庫。
  • Metadata快速搜尋,使用者行為分析,即時告警及阻絕,中斷。
  • 客製報表
  • In-App Element分析
  • 二次身份驗證
  • 工單系統整合
  • 匿名化
  • MAC支援
In-App Element 分析側錄技術

  • 提供進階強大的使用者行為分析功能,可透過最新的Marking工具定義任何Windows套裝或客製化應用程式內之欄位、標籤、選項、按鈕及顯示標題等,進行欄位資料讀取及點選之相關側錄回播。

Marking工具


  • 應用程式欄位分析側錄技術可實際記錄應用程式欄位內的資料,並記錄讀取及點選之動作,同時可針對機密敏感資料讀取或點選之行為發送即時Email告警,亦可提供統計報表。
  • 針對任何套裝或客製化應用程式之欄位進行分析,例如: 客戶名稱、病例號碼、身份證號碼、信用卡號碼、Email、電話號碼等,收集Metadata記錄並提供以下分析:
    • 可依側錄之欄位資料辨識哪一位使用者讀取或點選過該欄位,例如: 可依特定醫生或護士列出所有看過之病例。
    • 可依特定值篩選側錄欄位之特定讀取或點選紀錄,例如: 篩選出看過某位VIP客戶資料之使用者。
    • 可設定當某特定側錄欄位被讀取或點選時,即刻發送告警Email,例如: 當某個身份證號碼出現於該對應欄位時,即立刻發送告警給管理者。
    • 可將側錄欄位資料及告警匯整至第三方SIEM平台。

以Marking Tool框選之欄位快速搜尋

以Marking Tool框選欄位之元素快速搜尋並回播操作畫面

即時警示規則

可依據主機名稱、登入帳號、登入時間、視窗標題文字、及輸入字元或字串等條件自訂警示規則。

警示規則亦可個別自訂通知頻率

直覺式警示介面

ObserveIT Web Console的日誌記錄,以醒目的圖示標示出曾經觸發警示之行為工作階段。

此標示顯示該工作階段內容附含警示條件之行為

即時警示通知

凡使用者觸發警示之行為,將即時發送email通知予指定主管或管理者

警示email內容包含詳細警示訊息並提供超鏈結可直接回播觸發警示之畫面細節

Keylogging技術

能提供企業組織軌跡稽核之最有利工具,管理者可輕鬆搜索輸入文字、應用程式或系統選項名稱、設定變更等行為,並迅速對應到事件的畫面,例如:

  • 對話方塊之功能標籤
  • 下拉式清單選擇或更改的設定值
  • Check Box勾選之項目
  • 上下鍵數字選單之選項變更
  • 以Backspace鍵變更內容之最後文字
  • 在CMD命令提示字元視窗中所輸入之指令、快捷鍵之指令、上/下鍵指令等
  • 部分字元輸入:即使文字插入單一字元,亦可記錄文字變更後之結果
  • 自動完成之指令或文字亦可完整記錄

以鍵盤輸入英數字元快速搜尋

快速搜尋關鍵字相關之所有行為記錄

直接回播與關鍵字相關之操作畫面

Windows第二道認證

提供Windows「共用帳號」第二道身分認證的機制,以利辨別區分使用者的身分確認與管理。

Windows「共用帳號」第二道身分認證的機制

Linux/Unix第二道認證

提供Linux/Unix「共用帳號」第二道身分認證的機制,以利辨別區分使用者身分與管理,提供更安全、更安心的控管機制!

Linux/Unix「共用帳號」第二道身分認證的機制

DBA活動稽核證

  • DBA活動稽核功能提供了監控DBA在資料庫中執行SQL Queries的機制
  • 授權管理者可檢視某一指定日期所有SQL Queries之記錄,或是以資料庫、資料庫使用者、伺服器、登入帳號、日期、Queries中的文字等作為篩選條件進階查詢。
  • 在伺服器日誌與使用者日誌頁面中顯示的側錄詳細資訊中亦包含了SQL Queries。
  • 若以Metadata模式快速搜尋,可以SQL Queries文字搜尋到相關的側錄畫面。
當DBA 在受ObserveIT監控的主機上使用 Microsoft SQL Server Management Studio、Toad for Oracle 或 SQL* Plus等工具時,相關之 SQL query 查詢活動的畫面及指令亦會被側錄下來。

相關之 SQL query 查詢活動的畫面及指令亦會被側錄下來

Agent安裝/移除密碼保護

安裝或移除ObserveIT Agent時,皆需輸入密碼以防止Agent惡意移除。

執行ObserveIT Agent安裝/移除時需輸入密碼

LogRhythm
Splunk
HP ArcSight
IBM Security QRadar SIEM

LogLogic
Lieberman
Business Partner
Citrix

ArcSight

可將 ObserveIT 系統監控側錄軟體之使用者側錄畫面與文字記錄整合至既有的 ArcSight 安全規範及監控平台上,以協助更完整的了解網路上使用者的所有行為。ObserveIT的開放式架構提供了能與ArcSight快速整合的 CEF 參數。於ArcSight的Dashboard內即可分析及Pie Chart分類所有使用者的Log及側錄畫面。詳細內容請點選ObserveIT-Arcsight CEF config Guide

點擊圖片看大圖

IBM QRadar

將ObserveIT使用者活動日誌及側錄資料整合至IBM Security QRadar SIEM系統平台,便可提供所有網路上使用者的行為細節,找出資安漏洞並產生更新狀態報告。

IBM已將 "ObserveIT Log Source" 納入QRadar中,使兩項解決方案的整合更加容易,整合完成後,所有使用者的活動事件皆可在QRadar控制台?直接存取ObserveIT錄製之工作階段畫面。使用者活動可依據視窗標題、伺服器、使用者ID…等各項條件進行分類,亦可依應用程式名稱、使用者名稱、伺服器名稱、執行的Unix命令…等條件進行搜尋。

在QRadar控制台使用者活動事件可依伺服器名稱分類

如何取得QRadar之ObserveIT DSM

若是啟動QRadar自動更新功能,系統內可能已經安裝了ObserveIT DSM。若無啟用自動更新功能,而QRadar執行的系統版本為QRadar 7.1,亦可從IBM修復中心下載ObserveIT DSM。

TIBCO LogLogic

ObserveIT所提供之TIBCO LogLogic連接器,可將使用者活動日誌和影像錄製檔案無接縫整合至LogLogic系統,從現行資安規範的報告機制平台內提供精確的伺服器執行動作的稽核及報表。

LogLogic 提供的兩種範例報表

ObserveIT於背景自動匯出使用者的活動日誌,經由"Other File Device"類型的指定裝置提供給LogLogic使用。可自訂使用者活動報告,以下是由 LogLogic 提供的兩種範例報表。

LogLogic 提供的兩種範例報表

Lieberman Software

將ObserveIT使用者工作階段側錄記錄整合至Lieberman Software's Enterprise Random Password Manager (ERPM),將大幅提升所有共用帳號工作階段之操作行為的能見度。
 
當每個ERPM工作階段被側錄時,企業便能享有更好的資安稽核、更快速的根本原因分析、更有效的特權帳號使用者與遠端供應商之監控。從ERPM系統內,企業即可依主機名稱、登入帳號或關鍵字搜尋,快速便捷的存取任何特定工作階段之文字式活動摘要和側錄畫面。
 
一旦這兩種產品建置完成,ERPM使用者介面中整合ObserveIT功能之整合程序可在一小時內完成。

請參考以下與ERPM整合之影片

IBM SPIM

IBM特權身份認證管控安全系統(ISPIM)提供了完善的身份認證管理及企業特權帳號使用者單一登錄功能。ISPIM使用安全憑證儲存敏感的登錄資訊並自動化憑據登出,使用者可安全登錄至終端,但完全無須知道密碼。而在登出時,該憑據將由管控中心回收並變更密碼,這樣便可保證不會在非受控的環境內重複使用,以確保該資訊的安全性。
 
公司對於特權帳號使用者的所有操作行為進行分析時,需要側錄、文字記錄與檢索等功能同步進行。事實上大多數的公司並無有效方法監控或稽核特權帳號使用者於伺服器和使用者端之活動與操作行為。
 

ObserveIT使用者行為側錄提供絕佳的解決方案

ObserveIT可側錄內部特權帳號使用者與遠端連線供應商在Windows和Unix/Linux伺服器上所有的畫面操作行為 – 包括應用程式與系統區域。為了快速找出這些授權使用者之活動資訊,所有的畫面記錄皆以最簡易的索引方式儲存,以利快速搜尋確認系統之變更,以及是哪位授權使用者所作的變更。如此一來,PCI/HIPAA稽核人員、IT資安管理者、及系統管理者無需離開ISPIM系統即可查詢及回播欲查看的側錄畫面。

IBM Security Privileged Identity Manager Integration

 

ObserveIT 工作原理

任何時間特權帳號使用者進入裝有ISPIM特權身份認證管控安全系統之伺服器,ObserveIT將會自動側錄工作階段期間所有的操作行為與活動資訊摘要。一旦特權帳號使用者登出時,ISPIM管理者即可隨時回播其行為操作記錄,亦可輕鬆點擊查看清楚扼要的活動資訊摘要。

ObserveIT 工作原理
 

ObserveIT獨一無二的視覺化監控分析

ObserveIT不僅側錄桌面操作行為,更提供清楚扼要的活動資訊摘要,因此不必耗費大量時間觀看冗長得畫面記錄即可瞭解使用者的操作行為。管理者可隨時查詢活動資訊摘要中某一個時間點的畫面記錄並回播。
 
除此之外,ObserveIT可依關鍵字元搜尋所有的側錄記錄,例如:
  • 應用程式的名稱
  • 視窗標題
  • 登錄的網址
  • 輸入、編輯、剪貼、選擇的文字等
  • 指令與程式碼
  • Check Box勾選之項目等
每一個搜尋結果都可以直接點選並精確的連接至該段操作行為的記錄,輕鬆的在數以萬計的側錄資料庫中立即找到所需之畫面片段,目前市場上無其他任何軟體具備如此便捷的使用者稽核功能!

Citrix Ready

ObserveIT 系統監控側錄軟體亦可充分運用於側錄 Citrix XenApp 與 XenDesktop 之環境,ObserveIT 為認證之 CitrixReady 整合軟體。於 Citrix 架構結合 ObserveIT 之運用,管理者可非常快速地依據關鍵字元搜尋所有使用者操作行為及對應之側錄畫面。詳細內容請點選 ObserveIT's Citrix Monitoring

ObserveIT 為認證之 CitrixReady 整合軟體

特權帳號工單申請核准及權限開通(Authorization)

  • 統一內外部申請程序,可依資安政策與權限加以規範工單核准流程。
  • 申請人可自訂作業期間、作業時段、伺服器、工作項目,並填寫工作描述,系統自動email通知主管核准後,特權帳號工單申請人方可登入伺服器。
  • 可依作業期間及作業時段限制登入伺服器。
  • 可防制蛙跳至後端其他主機。

工單流程記錄(Authentication)

  • 集中保存申請記錄。
  • 工單申請人依工單所核准之作業期間/作業時段內進行登入,未經核准之帳號或時段則不得登入。申請人工作完成後可自行回播並確認執行之內容,亦可列印執行結果之畫面。

視覺化線上稽核(Auditing)

  • 稽核與相關主管可隨時檢視申請人執行內容畫面,並對工單記錄予以複核。
  • 各層級主管針對「待複核」之工單,可於檢視歷程或回播後,標示為「勾選為已複核」,若認為作業內容未完成或不符合申請,主管亦可將工單變更為「失效」。

即時警示通知(Alerting)

  • 可依執行應用程式、視窗標題、登入帳號、用戶端、時段等規則發送即時Email警示予管理者。