В целях безопасности рекомендуется настроить аудит и ведение журнала в системе vRealize Automation в соответствии с инструкциями VMware.

При удаленном ведении журнала на специальном центральном узле обеспечивается безопасное хранение файлов журнала. Собирая файлы журнала на центральном узле, вы можете контролировать среду с помощью единого инструмента. Также можно выполнять общий анализ и поиск признаков угроз, например согласованных атак на нескольких объектах в рамках инфраструктуры. Ведение журнала на едином защищенном сервере поможет избежать нежелательных действий с журналом и в течение длительного времени сохранять необходимые записи аудита.

Обеспечение безопасности сервера удаленного ведения журнала

После взлома системы защиты на узле злоумышленники часто пытаются найти и изменить файлы журнала, чтобы скрыть свои действия и сохранить полученный контроль над системой, оставшись незамеченными. Для предотвращения незаконных изменений журнала следует надлежащим образом защитить сервер удаленного ведения журнала.

Использование авторизованного NTP-сервера

На всех узлах должен использоваться один и тот же источник относительного времени (с учетом смещения вследствие локализации), соответствующий одобренному стандарту времени, например всемирному координированному времени (Coordinated Universal Time, UTC). Правильно организованное использование источников времени позволяет быстро отслеживать и соотносить между собой действия злоумышленников при проверке соответствующих файлов журнала. При неправильных настройках времени усложняются проверка и сопоставление файлов журнала с целью выявления атак, а аудит дает неточные результаты.

Используйте по крайней мере три NTP-сервера на основе внешних источников времени или настройте несколько локальных NTP-серверов в доверенной сети, которые будут получать данные времени как минимум от трех внешних источников времени.