ObserveIT 6.0 – What’s new

ObserveIT 6.0 – What’s new

ObserveIT 6.0 ช่วยให้ ObserveIT ขึ้นมาเป็นผู้นำใน session recording solution อย่างเต็มตัว โดยสามารถตรวจจับภัยคุกคามภายในและช่วยลดคความเสี่ยงของภัยคุกคามภายในของทุกๆผู้ใช้งานในองค์กร, สิทธของผู้ใช้งาน, vendors ภายนอก และ ผู้ใช้งานทางธุรกิจ ความสามารถของเวอร์ชั่น 6.0 หลักๆมีอะไรบ้าง?

  • User Risk Scoring & Dashboard – รู้ว่าผู้ใช้คนไหนกำลังทำให้องค์กรของเราเกิดความเสี่ยงและทำไม
  • Field-Level Application Monitoring – แยกแยะพฤติกรรมที่ไม่เหมาะสอมออกจากการใช้งานที่ปกติ
  • Alert Workflow and Reporting – มีประสิทธิภาพมากขึ้นในด้านการตรวจสอบและรายงานเกี่ยวกับการแจ้งเตือน

 

คุณสมบัติใหม่ที่เพิ่มเข้ามา

  • ความสามารถในการตรวจสอบระบบปฏิบัติการ UNIX/Linux
  • ปรับปรุงประสิทธิภาพในการค้นหาให้ดีขึ้น
  • Security automation และ scale management
  • เพิ่มการสนับสนุน platforms อื่นๆ มากขึ้น

USER RISK SCORING & DASHBOARD

ObserveIT 6.0 มีการเพิ่ม user risk dashboard จะช่วยให้สามารถระบุ และสามารถตรวจสอบความเสี่ยงของผู้ใช้งานภายในองค์กรได้อย่างรวดเร็ว, สรุปความเสี่ยงของแต่ละผู้ใช้งาน, รายละเอียดของผู้ใช้งานที่มีความเสี่ยง, ผู้ใช้งานใหม่ที่มีความเสี่ยง, แอพพลิเคชั่นที่มีความเสี่ยงสูงสุด และกิจกรรมต่างๆที่มาจากการแจ้งเตือน. User risk dashboard จะแสดงให้เห็นว่ามีผู้ใช้งานคนไหนที่กำลังทำให้เกิดความเสี่ยงโดยอ้างอิงจากคะแนนความเสี่ยง (risk score), คะแนนความเสี่ยงล่าสุดที่ถูกเปลี่ยนแปลง, แอพพลิเคชั่นที่ถูกนำมาใช้ และการแจ้งเตือน. รายชื่อของผู้ใช้งานแต่ละรายที่มีความเสี่ยงจะถูกแสดงข้อมูลทั้งหมดที่จำเป็นจะต้องใช้ในการจัดอันดับและจะแสดงให้เห็นว่าผู้ใช้งานคนไหนที่จะต้องถูกตรวจสอบมาเป็นอันดับแรก

  • ข้อมูลทั่วไปที่เกี่ยวกับผู้ใช้งานเช่น หัวข้อ (title), แผนก, รูปภาพพนักงาน
  • สีของ risk score จะถูกบ่งบอกถึงระดับความเสี่ยง
  • คะแนนของแต่ละแอพพลิเคชั่นและการแจ้งเตือนต่างๆ ของแต่ละผู้ใช้งานจะถูกรวบรวมเป็นคะแนนความเสี่ยง
  • มีระยะเวลาที่ช่วยให้เข้าใจ้ได้ง่ายว่ามีเหตุการณ์ที่อาจก่อให้เกิดความเสี่ยงขึ้นเมื่อใด

ในการตรวจสอบพฤติกรรมความเสี่ยงของผู้ใช้งานและค้นหาความจงใจในการกระทำผิด โดยเราสามารถที่จะดู risky activity ล่าสุดที่ผ่านมา และสามารถที่จะ filters ในส่วนของการแจ้งเตือนได้ว่ากิจกรรมไหนมีความเสี่ยง เพื่อแยกเฉพาะกิจกรรมของผู้ใช้งานที่เกี่ยวข้องกับแอพลิเคชั่นที่มีความเสี่ยงแลการแจ้งเตือน โดยคลิกที่ event เพื่อที่ดูรายละเอียดของ event นั้นและดูรายละเอียดของการแจ้งเตือนว่า ใครทำอะไร ทำที่เครื่องไหน ทำจากเครื่องไหน และทำเมื่อใด

ObserveIT-6-Dashboard

User Risk Dashboard
 

ในเวอร์ชั่น 6.0 จะมีหน้า dashboard สำหรับ scoring ของแต่ละผู้ใช้งานและจัดลำดับความเสี่ยงของแต่ละผู้ใช้งาน

  • user score จะเป็นการรวบรวมคะแนนของแต่ละผู้ใช้งานโดยอ้างอิงจาก user’s activity alerts ในช่วงเดือนที่ผ่านมา
  • สร้างกฏการแจ้งเตือนของคุณเอง หรือใช้กฏการแจ้งเตือนที่ทาง ObserveIT เตรียมมาให้อยู่แล้ว เพื่อตรวจสอบ risky user activity ในการใช้งาน applications, systems, users
  • เราสามารถที่จะปรับแต่งเกณฑ์การให้คะแนนของระดับความเสี่ยงทั้งกฏการแจ้งเตือนและ users to control risk sensitivity for various groups and assets
  • คะแนนความเสี่ยงประจำวันจะถูกแทร็คโดยความเสี่ยง จะช่วยให้คุณสามารถระบุคะแนนและ act first on users who’s risk level have recently changed

 

FIELD-LEVEL APPLICATION MONITORING

ObserveIT 6.0 ช่วยให้คุณรู้ถึงความเสี่ยงในระดับ application field-level และตรวจสอบการใช้งานที่ผิดปกติ ในการตรวจสอบระดับ field-level ของ ObserveIT จะช่วยให้คุณระบุฟิลด์ในหน้าจอของคุณหรือบน web-based applications และในด้าน security, compliance, internal policy eenforcement ใช้งานจะถูกแทร็คว่าผู้ใช้งานทำอะไรกับแอพพลิเคชั่นเหล่านั้น ฟิลด์ต่างๆเหล่านั้นที่ถูกกำหนดไว้ จะถูกใช้สำหรับทำ รายงาน, การแจ้งเตือน และใช้สำหรับค้นหา ที่จะช่วยให้ทีม security ทำการตรวจสอบภัยคุกคามภายในที่หลากหลายได้

ค่าต่างๆที่อยู่ในฟิลด์จะถูกตรวจสอบด้วยเช่นกัน และจะช่วยให้คุณได้การแจ้งเตือนและรายงานอย่างละเอียดเกี่ยวกับการป้อนข้อมูลและการเปลี่ยนแปลงของข้อมูลในฟิลด์ที่มีควาละเอียดอ่อน เช่น ถ้ามีการแก้ไขบางค่าในแอพพลิเคชั่นและเมื่อแก้ไขไปแล้วอาจจะทำให้ระบบเกิดความเสียหาย วิธีการทำตรวจสอบฟิลด์ดังที่กล่าวมานี้ทำได้ง่ายๆโดยใช้เครื่องมือที่มาพร้อมกับเวอร์ชั่น 6.0 ที่เรียกว่า ObserveIT Marking Tool เพียงแค่นำเมาส์ไปชี้ที่ฟิลด์และคลิกเลือกฟิลด์ในแอพพลิเคชั่นก็สามารถที่จะตรวจสอบค่าที่อยู่ในฟิลด์ได้แล้ว

ObserveIT-Application-Monitoring

ObserveIT Marking Tool

ALERT WORKFLOW & REPORTING

เมื่อคุณกำลังตรวจสอบการแจ้งเตือน คุณสามารถที่จะกำหนดสถานะของการแจ้งเตือนได้ว่า กำลังตรวจสอบอยู่, ระบุว่าการแจ้งเตือนนี้มีความเสี่ยง หรือการแจ้งเตือนนี้ไม่มีความเสี่ยง

  • สำหรับการแจ้งเตือนที่ไม่มีความเสี่ยง โดยปกติเมื่อเกิดความเสี่ยงขึ้นมา ObserveIT จะคำนวณคะแนนความเสี่ยงของผู้ใช้งานเพิ่มขึ้นโดยอัตโนมัติ แต่เมื่อมีการระบุว่าการแจ้งเตือนนั้นไม่มีความเสี่ยง คะแนนความเสี่ยงของผู้ใช้งานจะถูกคำนวณใหม่โดยอัตโนมัติ เพื่อทำให้คะแนนความเสี่ยงของผู้ใช้งานลดลง
  • รายงานของสถานะการแจ้งเตือน จะช่วยให้คุณมีความสามารถในการติดตามสถานะและกระบวนการตรวจสอบ
  • รายงานการแจ้งเตือนแบบใหม่จะช่วยให้คุณสามารถสรุปการแจ้งเตือนจาก rule, user, computer, alert status

ObserveIT-Activity-Alerts

ADDITIONAL FEATURES

ประสิทธิภาพในการตรวจสอบของ UNIX/Linux

  • เมื่อกำลังใช้งาน ‘root’ shell จากโปรแกรมที่ไม่ได้รับความเชื่อถือ ที่นอกเหนือจากนี้ SSH/Telnet, rlogin, direct console login, อื่น ๆ
  • ใช้ ‘setuid’ program ที่ไม่ได้รับอนุมัติ
  • Breaking out of ‘sudo’ command boundaries – e.g. running ‘rm’ or ‘cp’ commands from ‘sudo vi’
  • Non-interactive shells opened from specific applications – e.g. Web Server opening a reverse shell that is controlled by a remote terminal
  • Record and detect risky activity in non-interactive shells launched by ‘cron’ or ‘at’ commands
  • เพิ่มการแจ้งเตือนที่มาพร้อมกับ ObserveIT 6.0 เพื่อนำไปใช้ หรือปรับลดตามความต้องการ

การแจ้งเตือนของระบบปฏิบัติการ Unix/Linux มีการรวมเข้ากับระบบ user scoring engine ที่เพิ่มเข้าใหม่ การแจ้งเตือนจะโชว์ในหน้าของแดชบอร์ดของ user risk dashboard ควบคู่ไปกับกิจกรรมอื่น ๆ ให้เราได้รู้ถึงภาพรวมและของความเสี่ยงถูกถูกสร้างโดยผู้ใช้งานภายในองค์กร โดยไม่คำนึงถึง platform ที่ใช้

ค้นหาได้ เร็วขึ้น, เจาะจงมากขึ้น, ใช้งานได้ง่ายขึ้น

ฟังก์ชันในการค้นหาของ ObserveIT 6.0 ได้ถูกอัพเกรดให้มีประสิทธิภาพมากขึ้นอย่างเห็นได้ชัด ช่วยให้การค้นหาของคุณได้ผลลัพธ์ที่รวดเร็วขึ้น และเรียกดูผลลัพธ์ในการค้นหาได้อย่างรวดเร็ว ในทุกส่วนของขบวนการตรวจสอบเป็นสิ่งสำคัญที่จะช่วยให้สืบค้นได้เร็วขึ้น

ค้นหาในสิ่งที่คุณต้องการได้อย่างรวดเร็ว: ค้นหาโดยการเจาะจงไปที่ user activity log เช่น ค้นหาโดยระบุไปที่ key-logging data, ชื่ออีเมล์ของลูกค้า (ข้อมูลลูกค้าที่ถูกเปิดตามสาขาต่างๆ), URL ของเว็บไซต์ที่ถูกเปิด, SQL statements, commands ต่างๆในระบบปฏิบัติการ Unix/Linux, และอื่นๆ ปรับลดขอบเขตในการค้นหาโดยเลือกที่จะเจาะจงไปที่ผู้ใช้งานหรือเซิฟเวอร์ เช่น เลือกค้นหาที่ PCI Servers หรือ เลือกค้นหาเฉพาะ Call Center terminals

ผลการค้นหาที่ดีจะต้องมีการการแสดงข้อมูลของ activity log โดยเจาะจงไปที่ผู้ใช้งานแต่ละราย ไม่ว่าจะเป็น URL, Windows Title, In-app element, SQL statement, อื่น ๆ และคำที่เราได้ทำการค้นหาโดยใช้ keyword จะต้องถูกไฮไลด์ด้วยแถบสี

ObserveIT-search

ObserveIT-search-results

SECURITY AUTOMATION AND SCALE MANAGEMENT

ObserveIT 6.0 ได้ทำการเพิ่มฟังก์ชั่นในการทำ security automation และ scale management เพื่อสนับสนุนการใช้งานในองค์กรที่มีขนาดใหญ่ เช่น agent ที่ติดตั้งในองค์กรมีจำนวนมาก และป้องกันความเสี่ยงที่มากขึ้นตามผู้ใช้งานที่เพิ่มมากขึ้น

  • ในกรณีที่เป็น VDI Environment. ObserveIT จะทำการ unregister ตัว VDI agents ที่ไม่ได้ใช้งานโดยอัตโนมัติ ด้วยรูปแบบนี้ floating license model จะช่วยท่านในกรณีที่มีการสร้างหรือลบ VDIs บ่อยๆ
  • Exporting ObserveIT Web Console configuration changes (policy audit) to your SIEM allows you to integrate and correlate recording policy modification events with other security events
  • สนับสนุน RODC สำหรับ environments ที่อนุญาตให้ read-only เข้าสู่ Active Directory domain controllers

NEW SUPPORTED PLATFORMS

  • MS SQL Server 2014 is now supported as the ObserveIT Database Server
  • DBA Activity now supports MS SQL Management Studio 2012 and 2014
  • RHEL/CentOS/Oracle Linux 7.1
  • RHEL/CentOS/Oracle Linux 4
  • Debian 8

About the Author

Comments are closed.