1. Splashtop On-Prem - 支持中心
  2. 安全相关
  3. 通用

Splashtop On-Prem:审计和日志概述

Avatar
Splashtop

简介

Splashtop On-Prem 提供全面的审计和日志记录功能,帮助组织维护安全合规性、排查问题并监控远程访问活动。本文介绍 Splashtop On-Prem 中可用的关键审计功能以及如何有效使用它们。

可用的审计功能

1. 团队日志

概述

团队日志为管理员提供用户活动、身份验证事件和 Splashtop 部署中系统操作的详细记录。这些日志对于监控用户行为、识别安全事件以及维护组织政策合规性至关重要。

记录的内容

团队日志捕获各种事件,包括:

  • 用户登录和注销事件
  • 远程会话连接和断开连接
  • 管理员进行的配置更改
  • 权限和角色修改
  • 设备添加和移除
  • 身份验证失败和安全事件
  • 文件传输活动(如果启用)
  • 用户管理操作(创建、删除、修改)

如何访问团队日志

  1. 以管理员身份登录 Splashtop On-Prem 管理 Web 控制台
  2. 导航到 日志 > 会话类型
  3. 使用筛选选项缩小结果范围:
    • 无人值守会话 / 有人值守会话
    • 日期范围
    • 执行的操作

最佳实践

  • 定期检查团队日志以发现异常活动模式
  • 制定日志审查计划作为安全程序的一部分
  • 定期导出日志以进行长期存档
  • 使用筛选器快速识别特定事件或排查问题

2. 集中式会话录制

概述

集中式会话录制自动捕获远程会话的视频录像,提供远程访问连接期间执行的所有活动的完整视觉记录。此功能对于安全审计、合规性要求和调查安全事件至关重要。

主要功能

  • 自动录制:根据配置的策略自动录制会话
  • 集中存储:所有录像存储在您的 On-Prem 服务器基础设施上
  • 播放控制:使用标准视频播放控制查看录像
  • 保留策略:根据存储容量和合规性要求配置自动清理

如何启用和配置

  1. 导航到 设置 > 团队设置 > 集中式会话录制
  2. 启用集中式会话录制
  3. 配置录制设置:
    • 设置哪个角色可以访问录像
    • 设置哪个角色可以删除录像
  4. 保存配置

如何访问录制的会话

  1. 转到 日志 > 远程桌面会话 > 录制
  2. 使用搜索筛选器查找特定会话:
    • 日期和时间范围
    • 用户名
    • 计算机名称
    • 会话持续时间
  3. 点击录像进行播放
  4. 使用播放控制查看会话的特定部分

存储注意事项

  • 会话录像可能会消耗大量存储空间,具体取决于持续时间和质量设置
  • 根据预期的会话量规划足够的存储容量
  • 实施保留策略以自动删除旧录像
  • 如果需要长期保留以满足合规性要求,请考虑扩展存储

3. Syslog 和 SIEM 集成

概述

Splashtop On-Prem 可以将审计日志转发到外部 syslog 服务器或安全信息和事件管理 (SIEM) 系统。这种集成可实现集中式日志管理、与其他安全事件的关联以及整个 IT 基础设施的高级分析。

支持的集成类型

  • Syslog:标准 syslog 协议 (UDP/TCP)
  • SIEM 平台:与主要 SIEM 解决方案兼容,包括:
    • Splunk
    • IBM QRadar
    • ArcSight
    • LogRhythm
    • Azure Sentinel
    • 其他兼容 syslog 的 SIEM 系统

配置步骤

  1. 导航到 系统 > Syslog
  2. 启用 syslog 转发
  3. 配置连接详细信息:
    • Syslog 服务器地址:syslog/SIEM 服务器的 IP 地址或主机名
    • 端口:通常为 514 (UDP) 或 6514 (TCP/TLS)
    • 协议:根据您的要求选择 UDP、TCP 或 TLS
    • 设施:选择适当的 syslog 设施(通常为 Local0-Local7)
    • 严重性级别:选择要转发的严重性级别
  4. 测试连接以验证是否正在接收日志
  5. 保存配置

日志格式

Splashtop 以标准 syslog 格式 (RFC 5424 或 RFC 3164) 转发日志,包括:

  • 时间戳
  • 事件类型
  • 用户信息
  • 源和目标计算机
  • 会话详细信息
  • 操作的结果/状态

SIEM 集成优势

  • 集中可见性:与其他安全日志一起查看 Splashtop 事件
  • 关联:通过将远程访问与其他安全事件关联来识别模式
  • 警报:为可疑活动设置自动警报
  • 合规性报告:跨所有系统生成综合报告
  • 长期保留:利用 SIEM 的存储进行扩展日志保留

故障排除

  • 验证 Splashtop On-Prem 与 syslog 服务器之间的网络连接
  • 检查防火墙规则以确保 syslog 端口已打开
  • 确认 syslog 服务器配置为接受来自 Splashtop 的日志
  • 检查 syslog 格式与 SIEM 解析规则的兼容性

4. 会话记录

会话记录类型

Splashtop Gateway 支持三种类型的会话记录:

1. 聊天记录

  • 记录远程支持会话期间技术人员与远程用户之间的所有聊天对话
  • 捕获会话内和会话外聊天消息(如果启用)
  • 用于审查支持交互和验证通信

2. 远程命令记录

  • 捕获通过远程命令功能执行的所有命令
  • 提供远程执行的命令行操作的完整审计跟踪
  • 对安全审计和合规性至关重要

3. SSH 记录

  • 记录通过 Splashtop 启动的 SSH 会话的终端输入/输出
  • 捕获完整的终端会话,包括命令及其输出
  • 对于审计对服务器和网络设备的特权访问至关重要

主要优势

  • 可搜索:与视频录像不同,记录完全可进行文本搜索
  • 轻量级:与视频录像相比,所需存储空间最少
  • 便于审计:无需观看整个会话即可轻松查看特定命令或对话
  • 合规性:提供特权命令执行和用户交互的证据
  • 取证:能够详细调查运行了哪些命令以及进行了哪些通信

如何启用聊天记录

团队所有者可以在团队设置中启用或禁用将会话内和会话外聊天记录保存到会话日志的选项。

要求:On-Prem Streamer v3.7.4.5 或更高版本

对于无人值守访问:

  1. 在 Splashtop Gateway 中导航到 [设置] > [团队设置] > [无人值守访问]
  2. 找到会话安全选项
  3. 根据需要启用相关的记录选项

对于有人值守访问:

  1. 在 Splashtop Gateway 中导航到 [设置] > [团队设置] > [有人值守访问]
  2. 滚动到会话安全部分
  3. 切换 "将会话内聊天记录保存到会话日志" 以启用聊天记录日志记录
  4. 保存设置

如何查看会话记录

启用记录保存后,您可以通过 Web 控制台日志部分访问保存的记录。

查看聊天记录:

  1. 在 Web 控制台中导航到 [日志] > [聊天]
  2. 查看技术人员与远程用户之间保存的聊天记录
  3. 根据需要按日期、用户或会话进行筛选

查看远程命令记录:

  1. 在 Web 控制台中导航到 [日志] > [远程命令]
  2. 查看通过远程命令功能执行的所有命令
  3. 搜索特定命令或按时间段筛选

查看 SSH 记录:

  1. 在 Web 控制台中导航到 [日志] > [SSH]
  2. 查看完整的 SSH 会话终端输入/输出
  3. 按日期、用户或目标服务器筛选记录

使用场景

  • 支持质量保证:审查聊天记录以确保技术人员提供适当的支持
  • 安全审计:通过 SSH 和远程命令记录监控特权命令执行
  • 合规性要求:维护所有远程访问活动的记录以满足法规合规性
  • 事件调查:快速搜索记录以识别安全事件期间采取的操作
  • 故障排除:审查命令历史记录以了解执行了哪些操作

合规性和保留最佳实践

定义保留策略

根据以下内容制定明确的保留策略:

  • 法规要求(HIPAA、SOC 2、GDPR、PCI-DSS 等)
  • 行业标准
  • 组织政策
  • 存储容量

定期审计审查

  • 安排定期审查审计日志和录像
  • 分配日志监控责任
  • 记录审查程序
  • 调查并记录任何异常

访问控制

  • 仅限授权人员访问审计日志和录像
  • 为审计功能实施基于角色的访问控制 (RBAC)
  • 记录对审计数据的所有访问以增加问责制

备份和存档

  • 定期备份审计日志、录像和记录
  • 将备份存储在安全的独立位置
  • 定期测试恢复程序
  • 考虑用于长期合规性保留的存档解决方案

与安全运营集成

  • 将 Splashtop 审计数据纳入您的安全监控工作流程
  • 为高优先级安全事件设置警报
  • 在事件响应程序中包含 Splashtop 日志
  • 使用审计数据进行威胁追踪和主动安全

 

1 人中有 1 人觉得有帮助

此组别内的文章