GFI EventsManager. Защищаем сеть предприятия от внутренних и внешних угроз

Автор: Артем Левичев
Опубликовано: 24.09.2013
Источник: SoftKey.info

GFI Software создала свыше двадцати мощных пакетов, помогающих сетевым администраторам решать вопросы сетевой безопасности: защищающих почту сотрудников, архивирующих важные данные, следящих за подключением USB-девайсов, управляющих антивирусами и антишпионами с "облака" и так далее. Разработками фирмы пользуются свыше двухсот тысяч фирм по всему миру. И GFI EventsManager как раз является одним из самых популярных её продуктов. Поэтому и нам на эту программу пора бы уже посмотреть.

Установка

Начнем с того, что системные требования у утилиты не такие уж и маленькие – всё-таки её нужно будет устанавливать на ПК администратора. На жестком диске у вас должно оставаться не меньше десяти гигабайтов свободного места (по большей части он будет использоваться для хранения отчетов о событиях). Процессор должен иметь два ядра и обладать частотой по меньшей мере 2,5 ГГц. Меньше трех гигабайт оперативной памяти также держать не рекомендуется. Помимо этого учтите, что данное ПО работает только на ОС Windows. Конкретнее – на Windows Vista, Windows 7, Windows 8, Windows Server 2003, Windows Server 2008, Windows Server 2012, Windows SBS 2003 и Windows SBS 2008. Новые системы добавляются быстро, программа обновляется буквально каждые несколько месяцев, а вот старые такую мощную утилиту уже никогда поддерживать не будут.

Также программе для работы нужен целый пакет компонентов. В их числе – MDAC 2.8 (или более поздние), Microsoft .NET Framework 4.0, MSQL, MSXML6 и еще с десяток других. Но по этому поводу волноваться не стоит: при запуске инсталлятора поиск этого ПО запускается автоматически. Если чего-то найдено не будет, программа предложит вам установить себе все эти компоненты: они в её архиве заранее присутствуют.

Далее нам остается поставить галочку напротив лицензионного соглашения и ввести лицензионный ключ (да, еще перед установкой!). После этого – еще одна процедура: от вас потребуют ввести логин и пароль от аккаунта администратора. Если аккаунта администратора на компьютере нет (или если у него нет пароля), установка программы попросту не запустится. Всё продумано заранее: вам нужны будут привилегии администратора, для того чтобы просматривать при помощи GFI EventsManager информацию о деятельности сторонних ПК.

Затем, наконец, мы приступаем к выбору папки, в которой будет размещаться программа. В этом плане инсталлятор здесь не самый удобный: папки приходится выбирать из выпадающего списка. Однако остальной процесс проходит так гладко, что жаловаться не приходится.

Сам установщик стандартной версии GFI EventsManager "весит" 240 Мб, а в установленном виде одна только утилита, без всяких созданных отчетов и дополнительных компонентов, занимает порядка 400 Мб. Как нетрудно заметить, само по себе это далеко не самое "тяжелое" ПО.

После установки ярлык с программой появляется в меню "Пуск", а вот на рабочий стол автоматически не ставится (и возможности выбрать это тоже нет). Кроме того, инсталляция производится только на английском языке – по крайней мере, для программы, загруженной с GFI.com. Локализации не предусмотрено. Это жаль.

Интерфейс

Выглядит программа приятно: современная бело-голубая палитра, стилизованные шрифты и оконные меню, которые выглядят как вкладки в браузере. Создается ощущение, что вы лазите в настройках тех же Firefox или Google Chrome. Вот только в GFI EventsManager всё немного сложнее – рассчитано-то на сисадминов и других продвинутых людей, как-никак.

Отсюда выплывают и два главных недостатка интерфейса (которые и недостатками не обязательно нужно считать): отсутствие русского языка и очень бедно, неаккуратно оформленный мануал. В принципе разобраться в утилите несложно, если не вдаваться в меню Actions и не пытаться самостоятельно настраивать "просмотрщик" событий. Однако, для того чтобы понимать, что вообще происходит, всё-таки обязательно нужно знать английский язык. Поэтому не самый сильный помощник – это, в данном случае, почти и не минус. А вот больше языков всё-таки очень хотелось бы увидеть.

Ну а если английский вы знаете – вообще нет проблем. В мануале (который открывается в стороннем приложении – то ли в Word, то ли в браузере) можно обнаружить, как работать с любым пунктом меню. Информации там достаточно много, программа мощная, и за пару дней во всём не разобраться, однако основы становятся понятны благодаря удобно настроенным вкладкам.

В первой, "Общей", вкладке можно посмотреть, кто и как заходил на компьютеры, подключенные в сеть. Причем все входы разбиваются на три большие группы: те, которые совершались в рабочее время, те, что совершались уже после завершения дня, и те, которые не получились. Таким образом, сразу можно выявить нарушителя (если у вас на предприятии не принято задерживаться допоздна), а также определить, если кто-то пытался получить несанкционированный доступ к одному из компьютеров. Потенциально опасные события сразу же помечаются, причем всё это оформляется удобным настраиваемым графиком, так что при загрузке программы нетипичные ситуации просто нельзя будет пропустить.

Здесь же, в разделе "Статус" (Status), можно посмотреть на деятельность сотрудников: когда они включали свои машины, какими данными обменивались с сервером. Третья вкладка, "Статистика", позволяет в виде графика взглянуть на те события, что происходили сегодня. Нижняя ось – время, когда они совершались, верхняя – их количество. При этом все события делятся на те, что были вызваны Windows, на текстовые логи, сообщения серверов Oracle и SQL и так далее. Получается удобная статистика по общей активности ваших сотрудников.

Во второй крупной вкладке, "Конфигурация", мы можем установить те серверы, компьютеры и прочие устройства, за которыми будет осуществляться контроль. Их можно разбить на сколько угодно групп, а еще, что очень радует, можно задать огромное количество правил, по которым они будут отсортировываться. Если вас какая-то информация не интересует, если вы хотите избавиться от "шума" – здесь это можно будет сделать всего в несколько кликов. В то же время, как и в обычном файрволе или антивирусе, можно задать правила, исполняющиеся в том случае, если на сервере или на одном из компьютеров происходит какая-то интересующая вас активность. Причем программа позволяет классифицировать эти события в зависимости от степени их важности и от времени, когда они происходят. Если что-то случается во время рабочего дня – от системы последует одна реакция, а если все сотрудники уже ушли домой – автоматически включится какое-то другое заданное вами действие.

Возможных правил в GFI EventsManager – огромное количество, это одна из сильных сторон утилиты. Можно даже выполнять действия в зависимости от текущего состояния системы: загруженности её жесткого диска, необходимости в обновлении системы Windows, слишком долгого времени работы одного из компьютеров и так далее. А даже если заранее созданного правила под вашу ситуацию в программе не найдется – его, если хочется, можно создать. Различных настроек и опций здесь огромное количество.

Наконец, третья важная большая вкладка – это "Просмотр событий" (Events browser). Здесь отображаются все события, происходившие с БД и ПК. Их можно отсортировать по дате, важности или типу. Для каждого события справа, если вы его выделите, отобразится подробное описание: точное время, когда оно произошло, машина, краткая характеристика, текст, рассказывающий о том, что случилось. А слева вы можете выбрать конкретный тип интересующих вас ситуаций или создать собственные правила для просмотра важных сведений. Также система обеспечивает нас удобными средствами поиска. Более того, выбранные события можно экспортировать в CSV-файл. Все поля тут, как и в других главных вкладках, легко меняются по размерам или даже перемещаются с места на место – если вы того захотите. В результате можно создать именно такой интерфейс, который будет вам максимально удобен.

Для такого мощного инструмента всё сделано очень неплохо. Кое-какие мелочи можно было бы доработать, да и несколько языков здесь бы не помешали, однако в целом интерфейс программы оказывается очень гладким и аккуратным, а главное – понятным с первого взгляда.

Работа

Утилита, как уже говорилось не раз, очень мощная. Она способна обрабатывать более шести миллионов различных записей в час – ставить их в категории, выводить из этого графики и так далее. Программа способна собирать данные со всей вашей локальной сети, расшифровывать и анализировать их, выполнять по ним поиск. Обнаружить любое подозрительное поведение с помощью GFI EventsManager – достаточно простая задача. При этом вся информация содержится в защищенном хранилище, так что подделать её невозможно. А массивами полученных данных легко управлять благодаря удобному интерфейсу с широкими возможностями в плане настроек.

Для каждого узла сети здесь можно задавать проверки – измерять его параметры. Уровень загрузки сетевого канала, качество работы жесткого диска, частота работы процессора, количество используемой оперативной памяти, – всё это также может быть настроено и проверяться в режиме реального времени. При этом утилита автоматически может запускать какой-либо сценарий в зависимости от полученных показаний. Возможности здесь открываются действительно безграничные. При этом предустановленных правил в системе уже есть сотни, так что никаких особых знаний для их запуска не потребуется.

Также GFI EventsManager умеет сообщать о происшествии каких-либо событий в режиме реального времени. И опций в этом плане у программы тоже много: вам может прийти срочное письмо на электронную почту, сообщение по сетевому протоколу Telnet или даже эсэмэска. Оперативное решение проблем так становится очень простым.

Все полученные данные отображаются в виде удобных графиков и диаграмм. Можно строить таблицы самых опасных событий, показывать пользователей, с которыми чаще всех возникают опасные ситуации, смотреть, на чей компьютер заходят в нерабочее время, изучать, кто самовольно производит удаление или установку приложений. Самовольно изменить учетные записи или политики доступа к файлам и папкам, если вы хотите, тоже будет нельзя. Возможностей с GFI EventsManager оказывается целое море. Также стоит отметить, что программа позволяет вести аудит СУБД MySQL, Oracle, SQL. Она взаимодействует не только с серверами и компьютерами, но и с маршрутизаторами, роутерами, телефонными системами... Взломать сеть вашего предприятия, пробить брешь в её безопасности будет невозможно с любой стороны.

Еще одна полезная функция, которую редко встретишь у подобных программных пакетов для предприятий, – это аудит всех подключенных к сети компьютеров на наличие каких-либо отклонений, слабых мест в настройках безопасности. Если где-то есть слабый участок (к примеру, выключенный Microsoft Firewall, слишком малый объем памяти на системных дисках или чересчур высокий сетевой пинг) – система его найдет и обезвредит. Вам остается только запустить такую проверку в настройках программы.

Настолько функциональное ПО найти сложно. Предприятиям с большим количеством ПК и высокими требованиями к безопасности программа GFI EventsManager будет очень полезной. Можно даже сказать – обязательной.

Покупка

У данной утилиты есть бесплатная версия. Можно зайти на сайт разработчика (GFI.ru или GFI.com), ввести название своей фирмы, свои данные и электронный адрес. На почту придет письмо, в котором будет указан ваш тридцатидневный ключ. Его нужно будет ввести во время установки программы. Серьезных ограничений функциональности при этом у GFI EventsManager не будет, так что вы сможете нормально протестировать любые нужные вам возможности этой утилиты.

Платная версия, как и положено корпоративному ПО, стоит недешево – но не настолько, чтобы предприятию этого нельзя было "потянуть". Всё зависит от количества лицензий, которые вы покупаете (то есть от числа компьютеров, которые нужно защищать). Если лицензий несколько – за одну стандартную версию GFI EventsManager Active Monitoring за один год нужно будет отдать 4455 рублей. За GFI EventsManager Complete – 12,555 рублей. Впрочем, цены серьезно спадают при увеличении количества лицензий: к примеру, в случае покупки пятидесяти ключей вам придется заплатить 1755 и 6615 рублей за каждый соответственно. Сто ключей – 1440 и 6300 рублей. И так далее. Для больших предприятий в итоге вариант получается крайне выгодный. Это еще не учитывая того, что на Softkey.ru для этой утилиты есть несколько специальных предложений. К примеру, есть вариант взять годовую лицензию GFI EventsManager Active Monitoring и получить в подарок программу мониторинга GFI LANguard. Защита сети усиливается в разы – а по кошельку это сильно не бьет.

Итоги

У программы есть пара недостатков, в числе которых – отсутствие русификации. Но на практике она оказывается очень удобной, а возможностей, если разобраться, тут нам предоставляется огромное количество. С GFI EventsManager мы можем уменьшить расходы на автоматизацию управления информационными технологиями на своём предприятии и при этом заметно улучшить эффективность работы отдельных сетевых узлов. Сеть компании станет безопасной, на подозрительные события утилита будет автоматически реагировать, а вся остальная информация, которая может оказаться потенциально полезной, будет записываться в специальный защищенный журнал. Если фирма у вас большая – подобное ПО окажется очень выгодным предложением.