Журналы действий пользователей: расследование инцидентов
Журналы действий пользователей: как использовать их для расследования инцидентов
Журнал действий пользователей — это автоматически ведущийся реестр всех значимых операций в информационной системе: авторизации, просмотры учётных данных, изменения паролей, экспорт данных, изменения прав доступа. Каждая запись содержит точное время события, тип действия, имя пользователя и IP-адрес.
При расследовании инцидентов информационной безопасности журнал событий позволяет установить кто, когда и с какого адреса получил доступ к учётным данным — и является основным источником доказательной базы при взаимодействии с регулятором.
Что такое журналирование событий безопасности и зачем оно нужно
Журналирование событий безопасности (security event logging) — это процесс автоматической записи всех действий пользователей и системных событий с целью последующего анализа, обнаружения аномалий и расследования инцидентов.
В контексте корпоративного менеджера паролей журналирование решает три задачи:
🔹 Расследование инцидентов — восстановить хронологию событий после утечки или несанкционированного доступа
🔹 Проактивный мониторинг — обнаруживать аномальное поведение до того, как инцидент произошёл
🔹 Соответствие требованиям регуляторов — документировать принятые технические меры защиты для ФСТЭК, Роскомнадзора и других контролирующих органов
Какие события фиксирует журнал корпоративного менеджера паролей
Корпоративный менеджер паролей BearPass фиксирует шесть типов событий. Каждое событие содержит дату и время с точностью до секунды, тип события, имя пользователя и его IP-адрес.
Как расследовать инцидент с помощью журнала: пошаговый алгоритм
Шаг 1. Определить период и тип инцидента
Перед открытием журнала нужно установить временные рамки: когда мог произойти инцидент, какие системы или данные затронуты. Это позволяет сразу применить нужные фильтры вместо просмотра миллионов записей.
Шаг 2. Фильтрация по типу события
В BearPass журнал фильтруется по типу события, пользователю и дате. Для расследования утечки — фильтр по «Экспорт» и «Пароль просмотрен». Для расследования несанкционированного доступа — «Авторизация» и «Изменены права доступа».
Шаг 3. Анализ истории конкретной записи
Для каждого пароля в BearPass доступна вкладка «Журнал» — полная история обращений именно к этому объекту. Не нужно фильтровать общий журнал: открыли карточку пароля, перешли во вкладку «Журнал» — видите всех, кто к нему обращался, и когда.
Шаг 4. Выявление аномалий
Ключевые признаки нетипичного поведения в журнале:
🔸 Авторизация с IP-адреса, нетипичного для пользователя
🔸 Два входа с разных IP-адресов в течение короткого времени — признак компрометации учётной записи
🔸 Активность в нерабочее время — ночные просмотры паролей или изменения
🔸 Всплеск количества просмотренных паролей — сотрудник обычно открывает 2–3 пароля в день, вдруг открыл 40
🔸 Экспорт данных незадолго до увольнения
Шаг 5. Восстановление хронологии
Отсортируйте отфильтрованные события по времени для конкретного пользователя или системы. В большинстве инцидентов подготовка начинается за 1–3 дня до основного события — смотрите не только на дату инцидента, но и на период до него.
Есть ли у вас журнал того, кто и когда открывал корпоративные пароли?
BearPass фиксирует каждое действие с учётными данными с точностью до секунды. До 5 пользователей бесплатно навсегда.
Что проверять: события «Экспорт» и «Пароль просмотрен» для папок с CRM и базами данных клиентов за период предполагаемой утечки. Нетипичный IP или экспорт в нерабочее время — основные маркеры.
Инцидент 2: несанкционированные изменения инфраструктуры
Что проверять: события «Изменены права доступа» и «Пароль просмотрен» для папок с серверными учётными данными. Кто получил доступ к привилегированным учёткам незадолго до инцидента?
Инцидент 3: действия уволенного сотрудника
Что проверять: авторизации с учётной записи после даты увольнения. Если Kill Switch применён — авторизаций не будет. Отдельно — активность в последние 3–5 дней работы: всплеск просмотров паролей как признак подготовки к уходу.
Инцидент 4: компрометация действующего аккаунта
Что проверять: авторизации с нетипичных IP-адресов, два входа с разных адресов в течение короткого времени, активность в ночное время. Аномальное количество просмотренных паролей за короткий период.
Инцидент 5: несанкционированное расширение прав
Что проверять: события «Изменены права доступа» — кто выдал расширенный доступ, кому, к каким папкам. Особое внимание на выдачу прав к привилегированным учёткам пользователям, которым это не положено по роли.
Настройка хранения журнала: сколько держать
В BearPass настройки срока хранения находятся в разделе «Настройки» → «Журнал действий».
Важно: требования ФСТЭК (меры РСБ.1 и РСБ.3) обязывают не только хранить журнал, но и защищать его от изменения и удаления. В BearPass записи журнала защищены — отредактировать или удалить запись незаметно невозможно.
Как настроить интеграцию журнала BearPass с SIEM
SIEM-интеграция (Security Information and Event Management) позволяет передавать события журнала BearPass в централизованную систему мониторинга для корреляции с другими логами.
Протокол: syslog — стандартный протокол передачи журналов, поддерживаемый всеми современными SIEM.
Настройка:
Установите переменную окружения в конфигурационном файле сервера BearPass:
Для Docker-установки: /opt/bearpass/app/.env
Для нативной установки: /var/www/bearpass/.env
ADDITIONAL_LOG_CHANNELS=syslog
Совместимые SIEM-системы: KUMA, MaxPatrol SIEM, QRadar, Splunk, ELK Stack, и любая другая система с поддержкой syslog.
Пример корреляции событий: SIEM фиксирует вход в корпоративный VPN с нестандартного IP в 03:15. В журнале BearPass — авторизация того же пользователя и просмотр паролей от серверов в то же время. Каждое событие по отдельности — аномалия. Вместе — инцидент, требующий немедленной реакции.
BearPass
Полная история действий с учётными данными — с первого дня
Авторизации · Просмотры паролей · Экспорт · Изменения прав · IP-адреса Интеграция с SIEM через syslog · Модуль Правила · On-premise · Реестр РФ №15427
Приказы ФСТЭК №17 и №21 содержат обязательные меры в части журналирования:
РСБ.1 — сбор, запись и хранение информации о событиях безопасности. Обязывает вести журнал авторизаций, доступа к данным, изменений прав и конфигурации.
РСБ.3 — защита информации о событиях безопасности. Журнал должен быть защищён от несанкционированного изменения и удаления.
Требования 152-ФЗ
Постановление Правительства №1119 обязывает операторов персональных данных обеспечивать регистрацию и учёт всех действий, совершаемых с персональными данными в информационной системе. Журнал событий менеджера паролей закрывает это требование применительно к учётным данным, через которые осуществляется доступ к ИСПДн.
Судебная практика 2025–2026 годов
Дело РЖД (февраль 2026 года) — апелляционный суд отменил штраф, в том числе потому что компания не смогла быть обвинена в несоблюдении требований к защите: у неё были технические меры. Журнал событий в таких случаях — одно из ключевых свидетельств принятых мер. Компании с задокументированным журналированием находятся в принципиально другом положении при проверке Роскомнадзора.
Проактивный мониторинг: модуль «Правила» в BearPass
Модуль «Правила» — это инструмент автоматических уведомлений и блокировок при наступлении заданных событий. Переводит мониторинг из реактивного в проактивный: администратор узнаёт об аномалии в момент её возникновения, а не при следующем плановом аудите.
Примеры правил для ИБ-мониторинга:
🔸 Отправить уведомление при просмотре пароля из папки «Production-серверы»
🔸 Отправить уведомление при любом экспорте данных
🔸 Заблокировать удаление записей для определённых ролей
🔸 Отправить уведомление при авторизации конкретного сервисного аккаунта в нерабочее время
🔸 Отправить уведомление при изменении прав доступа к чувствительным папкам
Правила настраиваются в разделе «Администрирование» → «Правила». Работают в реальном времени.
Чеклист настройки журналирования
Используйте этот список чтобы убедиться, что журналирование настроено правильно до инцидента.
✅ Журнал включён и охватывает все типы событий
✅ Срок хранения установлен: для регулируемых отраслей не менее 6 месяцев, в идеале бессрочно
✅ Доступ к просмотру журнала ограничен ролью — не каждый сотрудник видит историю других
✅ Настроена интеграция с SIEM через syslog
✅ Настроены правила автоматических уведомлений для критических событий
✅ Политика запрета экспорта применена к чувствительным папкам
✅ Проведён тестовый сеанс расследования — команда знает как быстро найти нужные записи
✅ Хранение журнала задокументировано как часть технических мер защиты по ФСТЭК и 152-ФЗ
Часто задаваемые вопросы
Что такое журнал действий пользователей в корпоративной системе? Журнал действий пользователей — это автоматически ведущийся реестр всех значимых операций в информационной системе: авторизации, просмотры и изменения учётных данных, экспорт данных, изменения прав доступа. Каждая запись содержит время события, тип действия, имя пользователя и IP-адрес.
Какие события должен фиксировать журнал корпоративного менеджера паролей? Корпоративный менеджер паролей должен фиксировать: авторизации пользователей, просмотр и копирование паролей, изменение паролей и настроек, экспорт данных, изменение прав доступа, импорт данных.
Как журнал событий помогает при расследовании утечки данных? При расследовании утечки журнал позволяет установить кто и когда открывал пароли от скомпрометированных систем, выявить факты экспорта данных, обнаружить несанкционированные авторизации с нетипичных IP-адресов и восстановить хронологию событий.
Сколько хранить журнал событий безопасности? Для компаний в регулируемых отраслях — не менее 12 месяцев, в идеале бессрочно. Для остальных — не менее 6 месяцев. Требования ФСТЭК (меры РСБ.1, РСБ.3) обязывают не только хранить журнал, но и защищать его от изменения.
Как интегрировать журнал менеджера паролей с SIEM? В BearPass интеграция с SIEM настраивается через syslog: установите переменную окружения ADDITIONAL_LOG_CHANNELS=syslog в конфигурационном файле сервера. Совместимость с KUMA, MaxPatrol SIEM, QRadar, Splunk, ELK Stack.
Обязательно ли вести журнал событий по требованиям ФСТЭК? Да. Приказы ФСТЭК №17 и №21 содержат меры РСБ.1 и РСБ.3, обязывающие вести и защищать журнал событий безопасности. Для ГИС и ИСПДн это обязательное требование.
BearPass — корпоративный менеджер паролей
Полный журнал событий с первого дня. Ответьте на любой вопрос регулятора за минуты.
Авторизации · Просмотры паролей · Экспорт · Изменения прав · IP-адреса Интеграция с SIEM · Модуль Правила · On-premise · Реестр РФ №15427