ИТ-архитектура от А до Я: Комплексное решение. Первое издание - страница 40

SFA (D) анализ

•CFIA анализ – анализ работы сервиса при отказе компонентов и их влияние. Для физических серверов анализ может включать в себя физические компоненты сервера, такие как процессор, банки оперативной памяти, адаптеры и т п.

CFIA анализ

Стоимость решения

Стоимость решения формируется из стоимости:

•Выделенных компонентов сервиса;

•Совместного использования сетевых компонентов;

•Базового сопровождение сервиса (мониторинг, обновление и т п);

В стоимость решения не входит:

•Стоимость резервного сайта;

•Стоимость «тестовой» и «образцовой» площадки;

•Стоимость по внедрению (планирование, дизайн, и т п);

•Стоимость систем обеспечения;

•Стоимость систем обновления, мониторинга и т п;

•Стоимость поддержки пользователей;

Дополнительная стоимость на доступ к сервису со стороны сотрудников может быть распределена по стоимости между ИТ сервисами и пользователями. Для снижения затрат рекомендуется использовать Microsoft Enterprise CAL Suite. Стоимость сервиса рассчитывается из планового использования в течении 3—5 лет и будет рассмотрена в следующей главе книги.

Индикаторы производительности

Мониторинг состояния параметров компонентов сервиса может включать в себя базовые показатели производительности, указанные далее в книге.

Аудит и контроль логов

Срок хранения логов как правило порядка 12 месяцев. В зависимости от наличия системы централизованного сбора логов или политики ИБ организации, событий могут хранится отдельно или в составе архивных копий виртуальных машин. Журнал логов должен быть доступен сотрудникам департамента Безопасности. Должно быть обеспечена целостность и неизменность логов на всем протяжении жизненного цикла.

Требуется, через групповые политики, настроить следующие механизмы аудита:

•Computer\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy

•Computer\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies

•Computer\Policies\Windows Settings\Security Settings\Local Policies\Security Options

•Audit Account Logon Event

•Audit Account Management

•Audit Directory Service Access

•Audit Logon Events (Local Computer)

•Audit Object Access (Access non-Active Directory objects)

•Audit Policy Changes

•Audit Privilege use

•Audit Process Tracking

•Audit System events

Помимо этого, совместно с подразделением Информационной Безопасности необходимо определить перечень значимых событий для мониторинга или настройки системы SIEM. Как пример для данного сервиса можно использовать следующие события:

Код события | Назначение

12 Смена пароля администратора утилитой LAPS (AdmPwd);

13 Сохранение пароля администратора утилитой LAPS (AdmPwd);

866 Запуск исполняемого файла из запрещенного правила SRP;

1102 Очищен лог журнала аудита;

4706 Создано доверительное отношение домену;

4713 Kerberos политика была изменена;

4715 Аудит политика (SACL) для объекта была изменена;

4724 Попытка сброса пароля;

4727 Создана «security-enabled global» группа;

4739 Изменена политика домена (Domain Policy);

4780 ACL установлена для учетной записи группы администраторов;