Como Criar um Serviço de Segurança Cibernética sem Sobrecarga na Infraestrutura de TI
Um artigo detalhado sobre como a Staffcop, um serviço de segurança, minimiza o impacto na infraestrutura de TI dos clientes. Aborda a otimização de agentes, gerenciamento de rede e servidor, e a importância da experiência do usuário e administração.
MundiX News·02 de maio de 2026·8 min de leitura·👁 4 views
32K+
Alcance em 30 dias
Contour
Fazendo serviços para empresas
4,7
Avaliação do empregador
133,33
Classificação
88 897
Assinantes
Assinar
Chepliev
Há 55 minutos
Como criar um serviço de segurança cibernética sem sobrecarga na infraestrutura de TI
Simples
8 min
2.2K
Blog da empresa Contour
Segurança da Informação
*
Empresas de TI
Caso
Olá! Sou Maxim Chepliev, gerente de produto da Staffcop, um dos serviços de segurança cibernética da Contour. Vou contar como desenvolvemos o Staffcop para que ele não sobrecarregue desnecessariamente a infraestrutura de TI do cliente. Devo dizer de antemão que não vou falar sobre a implementação técnica no nível do código, mas vou chamar a atenção para o nível da arquitetura e das decisões estratégicas.
Staffcop é um serviço para investigar incidentes de segurança cibernética e monitorar as ações dos funcionários em computadores. Funciona da seguinte forma: "agentes" são colocados nos dispositivos dos funcionários, que transmitem dados sobre suas ações para o servidor do serviço, implantado na infraestrutura do cliente. Portanto, o trabalho do Staffcop está relacionado não apenas à infraestrutura técnica, mas também ao trabalho de especialistas em segurança que usam o serviço conforme pretendido, especialistas em TI que estão envolvidos em sua implantação e funcionários comuns em cujos computadores os agentes estão instalados.
Isenção de responsabilidade: a instalação do Staffcop é legal. Os agentes são instalados apenas em computadores de trabalho - esta é propriedade do empregador e ele tem o direito de controlar as ações do funcionário em PCs de serviço. Além disso, os funcionários assinam um acordo com a política de segurança cibernética da empresa.
A arquitetura da solução consiste em
agentes, servidor e rede
, pela qual as informações dos agentes são transmitidas ao servidor. Portanto, em seguida, vou falar sobre como cada um dos elementos pode sobrecarregar a infraestrutura e como lidamos com isso. No final, falarei sobre como tentamos reduzir a carga sobre as pessoas, e não apenas sobre a tecnologia.
Primeiro elemento: agentes
Por que eles são necessários
A principal tarefa do serviço é
investigação de incidentes de segurança cibernética
. Um incidente é, por exemplo, o vazamento de dados devido à sua transferência por meio de um mensageiro. Os agentes são instalados nos computadores dos funcionários e registram as ações dos usuários, por exemplo, a transferência de arquivos para terceiros.
Problema 1: alta carga na memória
Como o agente é instalado no computador do funcionário, seu trabalho pode sabotar as ações do usuário. Por exemplo, um agente muito grande ou uma carga na memória de acesso aleatório pode impedir que o funcionário execute suas tarefas. Além disso, o agente interage com outros aplicativos, e é importante que isso não leve a um crescimento em cascata da carga: um arquivo é transferido para o Telegram, o agente o copia e isso sobrecarrega adicionalmente o local de trabalho do usuário.
Como salvamos a situação
Para não bloquear o trabalho do usuário, tornamos os agentes
leves
, e também definimos limites para trabalhar com memória e tráfego.
O que são agentes leves
O agente coleta dados de quase todos os canais, interagindo com o sistema operacional, recursos de rede, certificados e registro. Para não aumentar a carga e não desperdiçar recursos que são necessários para o trabalho de aplicativos, imediatamente tornamos o agente do tamanho mínimo. Mesmo no estágio de desenvolvimento da arquitetura, levamos em consideração que ele deve ter um mínimo de módulos que consomem memória e, com antecedência, estabelecemos um pequeno tamanho de pacotes para instalação.
Ferramentas para gerenciar o trabalho do agente
O agente não apenas coleta dados, mas também os transmite ao servidor, para que possam ser usados para investigar incidentes. Mas se o servidor não estiver disponível ou um funcionário remoto estiver usando a estação de trabalho, você precisará salvar os dados na estação de trabalho.
Para reduzir a carga, regulamos, controlamos e limitamos o volume de dados armazenados. Além disso, organizamos sua rotação, de modo que, quando a memória estiver cheia, os arquivos serão excluídos, e não os eventos - e isso não afetará as estatísticas sobre as ações do usuário.
Além disso, essas restrições são úteis não apenas para registro, mas também para interceptação de arquivos. O usuário transfere um arquivo proibido por meio de mensageiros, o agente salva o arquivo para, em seguida, transferi-lo para o servidor e gasta memória de acesso aleatório.
Otimização de funções
A função de
gravação de vídeo das ações do usuário
carrega mais recursos do que qualquer outra coisa. E carrega não apenas a memória de acesso aleatório do PC, mas também a rede e o servidor final. A otimização do fluxo não resolve o problema fundamentalmente. Portanto, substituímos a gravação de vídeo pela gravação de capturas de tela. Na verdade, esta é uma série de capturas de tela tiradas com uma diferença de milissegundos, e não são capturas de tela completas, mas um registro de alterações.
Além disso, usamos um algoritmo de compressão variável para reduzir ainda mais o volume de capturas de tela. A ferramenta de criação de pacotes altera o algoritmo por conta própria, dependendo dos recursos disponíveis na estação de trabalho final. Quanto mais processos forem executados, mais os dados serão compactados.
Como resultado, isso permite reduzir o volume da mesma parte de informações de 500 MB para vídeo para 10 MB para uma série de capturas de tela.
Problema 2. Conflitos ao controlar o tráfego
Os agentes analisam os apelos dos aplicativos aos recursos da rede substituindo o certificado, através do qual interceptam os fatos da transferência de dados por meio de canais de rede. Esse tipo de análise pode potencialmente levar a um conflito com outras soluções ou a um problema no processo de transferência de dados pela rede.
Como salvamos a situação
Às vezes, ocorrem conflitos entre o agente Staffcop e outras soluções que controlam o tráfego, ou entre a criptografia padrão em um recurso da web. Para que esse conflito não leve ao bloqueio do recurso, implementamos
configuração de exceções de recursos
, onde a análise de dados transmitidos pela rede não será realizada. A configuração de exceções é um processo principalmente manual, mas graças ao mecanismo MITM, ele é necessário apenas em casos raros, quando o serviço da web exige estritamente a conformidade de certificados (por exemplo, "Serviços Públicos") ou quando o MITM é realizado por outra solução. Se o agente não puder verificar automaticamente a possível presença de conflitos, implementamos amplas configurações de exceção - o administrador do sistema pode inserir todos os recursos necessários na "lista branca". Por exemplo, aqueles recursos que não representam riscos no âmbito das políticas de segurança cibernética (recursos bancários, "Serviços Públicos").
Segundo elemento: rede
Por que o elemento é necessário
Como o sistema é implementado na arquitetura agente-servidor, o processo de interação entre esses componentes se torna extremamente crítico. É muito importante ser capaz de responder rapidamente a eventos de segurança e alterações nas regras de trabalho do agente. A rede aqui atua como uma ferramenta de interação: o agente se conecta ao servidor, transmite os dados coletados, recebe comandos, novas regras, se necessário. E, como resultado, - um pequeno volume de dados que circulam entre o agente e o servidor, bem como a capacidade de gerenciar esse fluxo - são importantes para organizações onde o canal de transmissão tem restrições ou é usado por vários serviços.
Problema 1. Carga na rede
Como a rede é compartilhada e é usada não apenas por soluções de segurança cibernética, mas também por quaisquer aplicativos de produção, é importante que a transferência de dados sobre as ações do usuário não sobrecarregue a rede.
Como nos protegemos disso
Volume
As informações sobre as ações dos usuários, os chamados "eventos", consistem em 90% de arquivos de texto. Seu volume é pequeno - mesmo a transferência de 1000 eventos por dia de cada agente (em média, não mais de 200 MB) não dará uma grande carga na rede.
Além disso, podemos regular o volume de transferência de dados do agente para o servidor usando três parâmetros:
Quantidade de dados e sua regularidade.
O administrador pode escolher se os dados são transmitidos em pequenos pacotes, mas com frequência, ou em grandes, mas raramente.
A quantidade de dados que entram no servidor.
Na maioria das vezes, o Staffcop é instalado em um servidor virtual e é importante não sobrecarregar todos os recursos do servidor com a transferência de dados, que é mais crítico gastar em antivírus e NGFW.
Essa regulamentação permite configurar o trabalho do Staffcop para um cliente específico - afinal, cada empresa tem sua própria estrutura de rede (com e sem filiais), seu próprio conjunto de aplicativos que carregam a rede.
Terceiro elemento: servidor
Por que o elemento é necessário
O servidor é a principal ferramenta do sistema. Se os agentes são as mãos, o servidor é o resto. Ele gerencia e interage com os agentes, recebe e grava dados, transmite novas regras e comandos para os agentes. Ele analisa os dados coletados, processa-os com políticas de segurança, identifica incidentes, analisa o conteúdo. Ele armazena as informações coletadas e fornece acesso a elas para especialistas em segurança. E, como resultado, fornece aos especialistas muitas ferramentas para análise de dados, administração e configuração do próprio sistema.
Problema 1. Armazenamento e análise automática de dados
Os requisitos de um ou outro regulador e políticas internas de segurança cibernética especificam quais dados devem ser armazenados nos servidores e por quanto tempo. Quanto mais dados, mais ele carrega o servidor.
Como nos salvamos
A carga nos volumes de memória, memória de acesso aleatório e processador central depende de quantos dados são armazenados no servidor. E para otimizar os processos, o próprio "hardware" não é importante, mas o uso eficaz desse hardware com distribuição de energia, para que não haja uma corrida por recursos entre os vários componentes do sistema.
Para reduzir a carga, usamos exclusão e autolimpeza. Por exemplo, o usuário pode excluir dados desnecessários não apenas por período, mas também excluir automaticamente eventos que são procurados para investigação. A mesma situação com a filtragem - você pode instruir o agente a excluir a coleta de uma série de dados que não têm valor.
Além disso, nosso suporte tem alta qualificação para trabalhar com o banco de dados Postgres e, muitas vezes, pode ajudar o cliente a reconfigurá-lo, dependendo das características dos dados coletados pelo cliente. Por exemplo, configurar o uso de um cluster e arquivamento de dados para distribuir a carga. Também podemos duplicar dados em um banco de dados adicional do Clickhouse - isso requer mais espaço de armazenamento, mas aumenta significativamente a velocidade de carregamento de dados na interface da web.
Quarto elemento: usuários e administradores
Por que o elemento é importante
O usuário final do sistema é um especialista do serviço de segurança que recebe dados do servidor Staffcop sobre as ações dos usuários na forma de relatórios e painéis. O administrador é um especialista em TI que mantém o sistema. Ele não deve ter problemas ao configurar o Staffcop.
Problema 1. Relatórios para o usuário sem sobrecarregar a infraestrutura
O usuário final deve receber notificações e relatórios do Staffcop em tempo hábil e com o mínimo de falsos positivos. Uma das possíveis soluções é o ML, que interpreta automaticamente grandes volumes de dados e produz resultados na forma de relatórios. Mas o ML requer recursos adicionais para processar dados.
Como nos salvamos
Basicamente, para investigar incidentes, muitas vezes é necessário analisar dados mais recentes, recorrendo aos antigos apenas em caso de necessidade. Para isso, parte dos dados antigos pode ser levada para um armazenamento frio, reduzindo assim a carga durante a pesquisa. Além disso, você pode distribuir a carga entre vários servidores do cluster: as solicitações serão passadas para cada um separadamente, pesquisando um volume menor de dados e produzindo em um único relatório.
Para aumentar a velocidade de exibição de dados e carregar relatórios, usamos o Clickhouse. Este é um SGBD colunar, as consultas para as quais, devido à estrutura de armazenamento de informações, são executadas mais rapidamente. Os dados do Postgres são sincronizados com o Clickhouse, como resultado, todo o arquivo de dados é armazenado no Postgres, mas a pesquisa rápida é realizada no Clickhouse.
Problema 2. Manutenção técnica do sistema.
O sistema deve registrar o processo de trabalho e possíveis problemas. Os logs devem armazenar todos os dados necessários, sem ocupar muito espaço. Caso contrário, você terá que alocar discos separados e canais separados de transferência de informações para eles.
Além disso, deve ser conveniente trabalhar com esses logs.
Como lidamos com isso
Existem soluções especiais para trabalhar com logs, por exemplo, Grafana. Recomendamos e ajudamos com as configurações. Isso permite identificar rapidamente anomalias e desvios na infraestrutura do cliente, tanto no nível do funcionamento do sistema quanto no nível da influência desse sistema na infraestrutura do cliente. O administrador pode ver qual volume de tráfego está ocupado, o que está ocupado, como os dados são usados. Como resultado, nosso suporte técnico tem informações dos logs com as quais pode resolver os problemas do cliente.
Por exemplo, fazer alterações nos arquivos de configuração ou no produto. Por exemplo, eles mudaram o spooler porque o single-threaded parou de lidar com o volume de dados do cliente.
Problema 3. Gerenciamento das configurações do Staffcop
O administrador deve gerenciar dados, configurar seu armazenamento, distribuir agentes e monitorar seu status. Isso está relacionado ao registro, mas não apenas. Por exemplo, o Staffcop controla a correspondência dos usuários no mensageiro. Se os desenvolvedores de um determinado mensageiro alterarem os protocolos, os dados não estarão disponíveis para o Staffcop. No pior dos casos, um conflito começará, o que levará ao bloqueio do mensageiro no computador do funcionário.
Como lidamos com isso
Monitoramos as alterações nas configurações dos aplicativos com os quais o Staffcop interage e as levamos em consideração nas novas versões de nossa solução. Além disso, notificamos os administradores sobre a disponibilidade de novas versões de agentes e recomendamos a atualização. Enviamos notificações no produto, mala direta ou diretamente por meio do gerente atribuído ao cliente.
Também contamos aos clientes que resolvemos os problemas identificados anteriormente.
Tags:
investigação de incidentes
staffcop
insider
segurança da informação
Hubs:
Blog da empresa Contour
Segurança da informação
Empresas de TI
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
32K+
Alcance em 30 dias
Contour
Fazendo serviços para empresas
4,7
Avaliação do empregador
133,33
Classificação
88 897
Assinantes
Assinar
Chepliev
Há 55 minutos
Como criar um serviço de segurança cibernética sem sobrecarga na infraestrutura de TI
Simples
8 min
2.2K
Blog da empresa Contour
Segurança da Informação
*
Empresas de TI
Caso
Olá! Sou Maxim Chepliev, gerente de produto da Staffcop, um dos serviços de segurança cibernética da Contour. Vou contar como desenvolvemos o Staffcop para que ele não sobrecarregue desnecessariamente a infraestrutura de TI do cliente. Devo dizer de antemão que não vou falar sobre a implementação técnica no nível do código, mas vou chamar a atenção para o nível da arquitetura e das decisões estratégicas.
Staffcop é um serviço para investigar incidentes de segurança cibernética e monitorar as ações dos funcionários em computadores. Funciona da seguinte forma: "agentes" são colocados nos dispositivos dos funcionários, que transmitem dados sobre suas ações para o servidor do serviço, implantado na infraestrutura do cliente. Portanto, o trabalho do Staffcop está relacionado não apenas à infraestrutura técnica, mas também ao trabalho de especialistas em segurança que usam o serviço conforme pretendido, especialistas em TI que estão envolvidos em sua implantação e funcionários comuns em cujos computadores os agentes estão instalados.
Isenção de responsabilidade: a instalação do Staffcop é legal. Os agentes são instalados apenas em computadores de trabalho - esta é propriedade do empregador e ele tem o direito de controlar as ações do funcionário em PCs de serviço. Além disso, os funcionários assinam um acordo com a política de segurança cibernética da empresa.
A arquitetura da solução consiste em
agentes, servidor e rede
, pela qual as informações dos agentes são transmitidas ao servidor. Portanto, em seguida, vou falar sobre como cada um dos elementos pode sobrecarregar a infraestrutura e como lidamos com isso. No final, falarei sobre como tentamos reduzir a carga sobre as pessoas, e não apenas sobre a tecnologia.
Primeiro elemento: agentes
Por que eles são necessários
A principal tarefa do serviço é
investigação de incidentes de segurança cibernética
. Um incidente é, por exemplo, o vazamento de dados devido à sua transferência por meio de um mensageiro. Os agentes são instalados nos computadores dos funcionários e registram as ações dos usuários, por exemplo, a transferência de arquivos para terceiros.
Problema 1: alta carga na memória
Como o agente é instalado no computador do funcionário, seu trabalho pode sabotar as ações do usuário. Por exemplo, um agente muito grande ou uma carga na memória de acesso aleatório pode impedir que o funcionário execute suas tarefas. Além disso, o agente interage com outros aplicativos, e é importante que isso não leve a um crescimento em cascata da carga: um arquivo é transferido para o Telegram, o agente o copia e isso sobrecarrega adicionalmente o local de trabalho do usuário.
Como salvamos a situação
Para não bloquear o trabalho do usuário, tornamos os agentes
leves
, e também definimos limites para trabalhar com memória e tráfego.
O que são agentes leves
O agente coleta dados de quase todos os canais, interagindo com o sistema operacional, recursos de rede, certificados e registro. Para não aumentar a carga e não desperdiçar recursos que são necessários para o trabalho de aplicativos, imediatamente tornamos o agente do tamanho mínimo. Mesmo no estágio de desenvolvimento da arquitetura, levamos em consideração que ele deve ter um mínimo de módulos que consomem memória e, com antecedência, estabelecemos um pequeno tamanho de pacotes para instalação.
Ferramentas para gerenciar o trabalho do agente
O agente não apenas coleta dados, mas também os transmite ao servidor, para que possam ser usados para investigar incidentes. Mas se o servidor não estiver disponível ou um funcionário remoto estiver usando a estação de trabalho, você precisará salvar os dados na estação de trabalho.
Para reduzir a carga, regulamos, controlamos e limitamos o volume de dados armazenados. Além disso, organizamos sua rotação, de modo que, quando a memória estiver cheia, os arquivos serão excluídos, e não os eventos - e isso não afetará as estatísticas sobre as ações do usuário.
Além disso, essas restrições são úteis não apenas para registro, mas também para interceptação de arquivos. O usuário transfere um arquivo proibido por meio de mensageiros, o agente salva o arquivo para, em seguida, transferi-lo para o servidor e gasta memória de acesso aleatório.
Otimização de funções
A função de
gravação de vídeo das ações do usuário
carrega mais recursos do que qualquer outra coisa. E carrega não apenas a memória de acesso aleatório do PC, mas também a rede e o servidor final. A otimização do fluxo não resolve o problema fundamentalmente. Portanto, substituímos a gravação de vídeo pela gravação de capturas de tela. Na verdade, esta é uma série de capturas de tela tiradas com uma diferença de milissegundos, e não são capturas de tela completas, mas um registro de alterações.
Além disso, usamos um algoritmo de compressão variável para reduzir ainda mais o volume de capturas de tela. A ferramenta de criação de pacotes altera o algoritmo por conta própria, dependendo dos recursos disponíveis na estação de trabalho final. Quanto mais processos forem executados, mais os dados serão compactados.
Como resultado, isso permite reduzir o volume da mesma parte de informações de 500 MB para vídeo para 10 MB para uma série de capturas de tela.
Problema 2. Conflitos ao controlar o tráfego
Os agentes analisam os apelos dos aplicativos aos recursos da rede substituindo o certificado, através do qual interceptam os fatos da transferência de dados por meio de canais de rede. Esse tipo de análise pode potencialmente levar a um conflito com outras soluções ou a um problema no processo de transferência de dados pela rede.
Como salvamos a situação
Às vezes, ocorrem conflitos entre o agente Staffcop e outras soluções que controlam o tráfego, ou entre a criptografia padrão em um recurso da web. Para que esse conflito não leve ao bloqueio do recurso, implementamos
configuração de exceções de recursos
, onde a análise de dados transmitidos pela rede não será realizada. A configuração de exceções é um processo principalmente manual, mas graças ao mecanismo MITM, ele é necessário apenas em casos raros, quando o serviço da web exige estritamente a conformidade de certificados (por exemplo, "Serviços Públicos") ou quando o MITM é realizado por outra solução. Se o agente não puder verificar automaticamente a possível presença de conflitos, implementamos amplas configurações de exceção - o administrador do sistema pode inserir todos os recursos necessários na "lista branca". Por exemplo, aqueles recursos que não representam riscos no âmbito das políticas de segurança cibernética (recursos bancários, "Serviços Públicos").
Segundo elemento: rede
Por que o elemento é necessário
Como o sistema é implementado na arquitetura agente-servidor, o processo de interação entre esses componentes se torna extremamente crítico. É muito importante ser capaz de responder rapidamente a eventos de segurança e alterações nas regras de trabalho do agente. A rede aqui atua como uma ferramenta de interação: o agente se conecta ao servidor, transmite os dados coletados, recebe comandos, novas regras, se necessário. E, como resultado, - um pequeno volume de dados que circulam entre o agente e o servidor, bem como a capacidade de gerenciar esse fluxo - são importantes para organizações onde o canal de transmissão tem restrições ou é usado por vários serviços.
Problema 1. Carga na rede
Como a rede é compartilhada e é usada não apenas por soluções de segurança cibernética, mas também por quaisquer aplicativos de produção, é importante que a transferência de dados sobre as ações do usuário não sobrecarregue a rede.
Como nos protegemos disso
Volume
As informações sobre as ações dos usuários, os chamados "eventos", consistem em 90% de arquivos de texto. Seu volume é pequeno - mesmo a transferência de 1000 eventos por dia de cada agente (em média, não mais de 200 MB) não dará uma grande carga na rede.
Além disso, podemos regular o volume de transferência de dados do agente para o servidor usando três parâmetros:
Quantidade de dados e sua regularidade.
O administrador pode escolher se os dados são transmitidos em pequenos pacotes, mas com frequência, ou em grandes, mas raramente.
A quantidade de dados que entram no servidor.
Na maioria das vezes, o Staffcop é instalado em um servidor virtual e é importante não sobrecarregar todos os recursos do servidor com a transferência de dados, que é mais crítico gastar em antivírus e NGFW.
Essa regulamentação permite configurar o trabalho do Staffcop para um cliente específico - afinal, cada empresa tem sua própria estrutura de rede (com e sem filiais), seu próprio conjunto de aplicativos que carregam a rede.
Terceiro elemento: servidor
Por que o elemento é necessário
O servidor é a principal ferramenta do sistema. Se os agentes são as mãos, o servidor é o resto. Ele gerencia e interage com os agentes, recebe e grava dados, transmite novas regras e comandos para os agentes. Ele analisa os dados coletados, processa-os com políticas de segurança, identifica incidentes, analisa o conteúdo. Ele armazena as informações coletadas e fornece acesso a elas para especialistas em segurança. E, como resultado, fornece aos especialistas muitas ferramentas para análise de dados, administração e configuração do próprio sistema.
Problema 1. Armazenamento e análise automática de dados
Os requisitos de um ou outro regulador e políticas internas de segurança cibernética especificam quais dados devem ser armazenados nos servidores e por quanto tempo. Quanto mais dados, mais ele carrega o servidor.
Como nos salvamos
A carga nos volumes de memória, memória de acesso aleatório e processador central depende de quantos dados são armazenados no servidor. E para otimizar os processos, o próprio "hardware" não é importante, mas o uso eficaz desse hardware com distribuição de energia, para que não haja uma corrida por recursos entre os vários componentes do sistema.
Para reduzir a carga, usamos exclusão e autolimpeza. Por exemplo, o usuário pode excluir dados desnecessários não apenas por período, mas também excluir automaticamente eventos que são procurados para investigação. A mesma situação com a filtragem - você pode instruir o agente a excluir a coleta de uma série de dados que não têm valor.
Além disso, nosso suporte tem alta qualificação para trabalhar com o banco de dados Postgres e, muitas vezes, pode ajudar o cliente a reconfigurá-lo, dependendo das características dos dados coletados pelo cliente. Por exemplo, configurar o uso de um cluster e arquivamento de dados para distribuir a carga. Também podemos duplicar dados em um banco de dados adicional do Clickhouse - isso requer mais espaço de armazenamento, mas aumenta significativamente a velocidade de carregamento de dados na interface da web.
Quarto elemento: usuários e administradores
Por que o elemento é importante
O usuário final do sistema é um especialista do serviço de segurança que recebe dados do servidor Staffcop sobre as ações dos usuários na forma de relatórios e painéis. O administrador é um especialista em TI que mantém o sistema. Ele não deve ter problemas ao configurar o Staffcop.
Problema 1. Relatórios para o usuário sem sobrecarregar a infraestrutura
O usuário final deve receber notificações e relatórios do Staffcop em tempo hábil e com o mínimo de falsos positivos. Uma das possíveis soluções é o ML, que interpreta automaticamente grandes volumes de dados e produz resultados na forma de relatórios. Mas o ML requer recursos adicionais para processar dados.
Como nos salvamos
Basicamente, para investigar incidentes, muitas vezes é necessário analisar dados mais recentes, recorrendo aos antigos apenas em caso de necessidade. Para isso, parte dos dados antigos pode ser levada para um armazenamento frio, reduzindo assim a carga durante a pesquisa. Além disso, você pode distribuir a carga entre vários servidores do cluster: as solicitações serão passadas para cada um separadamente, pesquisando um volume menor de dados e produzindo em um único relatório.
Para aumentar a velocidade de exibição de dados e carregar relatórios, usamos o Clickhouse. Este é um SGBD colunar, as consultas para as quais, devido à estrutura de armazenamento de informações, são executadas mais rapidamente. Os dados do Postgres são sincronizados com o Clickhouse, como resultado, todo o arquivo de dados é armazenado no Postgres, mas a pesquisa rápida é realizada no Clickhouse.
Problema 2. Manutenção técnica do sistema.
O sistema deve registrar o processo de trabalho e possíveis problemas. Os logs devem armazenar todos os dados necessários, sem ocupar muito espaço. Caso contrário, você terá que alocar discos separados e canais separados de transferência de informações para eles.
Além disso, deve ser conveniente trabalhar com esses logs.
Como lidamos com isso
Existem soluções especiais para trabalhar com logs, por exemplo, Grafana. Recomendamos e ajudamos com as configurações. Isso permite identificar rapidamente anomalias e desvios na infraestrutura do cliente, tanto no nível do funcionamento do sistema quanto no nível da influência desse sistema na infraestrutura do cliente. O administrador pode ver qual volume de tráfego está ocupado, o que está ocupado, como os dados são usados. Como resultado, nosso suporte técnico tem informações dos logs com as quais pode resolver os problemas do cliente.
Por exemplo, fazer alterações nos arquivos de configuração ou no produto. Por exemplo, eles mudaram o spooler porque o single-threaded parou de lidar com o volume de dados do cliente.
Problema 3. Gerenciamento das configurações do Staffcop
O administrador deve gerenciar dados, configurar seu armazenamento, distribuir agentes e monitorar seu status. Isso está relacionado ao registro, mas não apenas. Por exemplo, o Staffcop controla a correspondência dos usuários no mensageiro. Se os desenvolvedores de um determinado mensageiro alterarem os protocolos, os dados não estarão disponíveis para o Staffcop. No pior dos casos, um conflito começará, o que levará ao bloqueio do mensageiro no computador do funcionário.
Como lidamos com isso
Monitoramos as alterações nas configurações dos aplicativos com os quais o Staffcop interage e as levamos em consideração nas novas versões de nossa solução. Além disso, notificamos os administradores sobre a disponibilidade de novas versões de agentes e recomendamos a atualização. Enviamos notificações no produto, mala direta ou diretamente por meio do gerente atribuído ao cliente.
Também contamos aos clientes que resolvemos os problemas identificados anteriormente.
Tags:
investigação de incidentes
staffcop
insider
segurança da informação
Hubs:
Blog da empresa Contour
Segurança da informação
Empresas de TI
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
