Детальный анализ действий злоумышленника в системе ДБО можно осуществить на основе анализа архивных файлов дампа трафика (см. также раздел 5.1.8 «Подсистема журналирования»).
В штатном режиме работы, модуль фильтрации трафика формирует единый файл дампа трафика всех клиентов. В процессе еженочного переключения журналов событий, ранее созданный файл дампа переименовывается, а новое имя файла содержит информацию о времени переключения файла во временной зоне UTC.
В целях экономии места на архивном носителе, после переименования файл дампа сжимается архиватором rar (если установлен) либо tar (со сжатием bzip2), которые перед анализом необходимо распаковать во временную директорию.
Для удобства анализа действий злоумышленников, которые были в момент создания мошеннического документа, в FraudWall предусмотрена возможность создания на основе большого файла дампа нескольких небольших файлов, содержащих информацию только по заданному клиенту банка (либо по заданному компьютеру клиента банка).
Извлеченные файлы дампа трафика создаются с учетом времени аутентификации (как успешной, так и не успешной) по маске: ЛогинПользователяКлиента[_ЛогинЮрЛица ]-ГГГГММДД_ЧЧММСС_UTC.dat
Значение поля «ЛогинЮрЛица» указывается только в том случае, если в ДБО предусмотрен не только логин пользователя клиента, но и логин юридического лица (например, в этом случае для разных логинов юр.лиц CORP1 и CORP2 могут быть созданы пользователи с одинаковыми логинами director).
Дата и время, указанные в имени файла, являются временем аутентификации во временной зоне UTC.
Файлы дампа, как правило, занимают на диске много места. Поэтому работу с ними лучше осуществлять в директории /var/tmp
.
Предварительно убедитесь, что на соответствующем разделе достаточно места командой: df /var -H
Перед началом анализа данных необходимо определить, за какой период будут обрабатываться данные:
дамп за текущий день находится в директории /var/log/fraudwall
дамп за предыдущие периоды помещаются в архивные файлы (один файл архива содержит дампы всех сайтов за одни сутки) в директорию /var/log/archive
.
При восстановлении архивов с дампами трафика необходимо учитывать, что время, указанное в имени архивного файла, является не началом времени формирования архива, а временем его завершения (во временной зоне UTC).
Согласно разделу 5.1.9 «Регламентные процедуры», файлы из директории /var/log/archive должны переносится на внешний носитель (сетевой диск, DVD-диск и т.д.)
в кластерной установке (если один и тот же сайт системы ДБО обслуживается несколькими серверами FraudWall с модулем анализа трафика), дампы за текущий день и их архивы необходимо скопировать на один сервер.
Для разархивирования файлов с расширением .tar.bz2
, в SSH-консоли необходимо выполнить команду: tar -x -j -f ИмяФайла.tar.bz2 -C ДиректорияАнализа
Пример 1.
tar -x -j -f srv1-dump-20120903_180001.tar.bz2 -C /var/tmp/dump/srv1
tar -x -j -f srv2-dump-20120903_180001.tar.bz2 -C /var/tmp/dump/srv2
В кластерной установке распакованные файлы дампов разных серверов называются одинаково (например, site1-dump.dat
). Поэтому при распаковке архивов разных серверов необходимо указывать разные поддиректории (например, /var/tmp/dump/srv1
и /var/tmp/dump/srv2
).
Файл дампа содержит информацию по сессиям всех клиентов банка. Чтобы работать только с нужной информацией, необходимо выбрать критерии извлечения данных.
Критерии фильтрации указываются как опции в командной строке при вызове утилиты формирования файлов дампа.
Можно указать один или одновременно несколько фильтров:
Таблица 16. Критерии фильтрации сессий клиентов
Критерий фильтрации | Опция |
---|---|
логин пользователя клиента | -u ЛогинПользователяКлиента |
логин юр. лица | -g ЛогинЮрЛица |
IP адрес компьютера клиента | -i IP_адрес |
CID (внутренний ID компьютера клиента) | -c CID_компьютера |
Обратите внимание, что для некоторых систем ДБО логин пользователя и юр.лица могут быть регистрозависимы (например, это ДБО BSClient), поэтому их необходимо указывать в соответствующем регистре.
Если указано два и более критерия отбора, они работают по принципу "ИЛИ".
В зависимости от системы ДБО, используются разные утилиты обработки файлов дампа:
Таблица 17. Утилиты анализа файлов дампов
Система ДБО | Наименование утилиты |
---|---|
BS-Client | fw_bsclient |
iSimpleBank 2.0 | fw_isimple |
Finacle eBanking | fw_finacle |
При вызове утилиты анализа дампов необходимо указать следующие опции:
Таблица 18. Обязательные опции запуска утилиты анализа файлов дампов
Опция | Назначение |
---|---|
-w | Признак того, что необходимо записать файл дампа в соответствии с критериями |
-s ДиректорияАнализа | Директория, в которой находятся распакованные файлы (внутри нее могут находится поддиректории, например, от разных серверов системы FraudWall) |
-d ДиректорияРезультата | Директория, в которую будут записаны результирующие файлы |
-l ЛогФайл | (опционально) файл журнала событий обработки файлов дампа. Если опция не указывается, журнал событий будет выведен на экран |
Необходимо убедится, что директория, в которую будут сохранены обработанные данные, пуста, или вообще отсутствует.
Результатом работы утилиты будет набор файлов, содержащих дамп работы каждой из сессий клиентов с учетом заданных критериев фильтрации.
Примеры использования утилиты обработки файла дампа:
Пример 2. Создание файла с сессиями клиента с логином user01
fw_bsclient -w -s /var/tmp/a -d /var/tmp/result -l result.log -u user01
Пример 3. Создание файла с сессиями клиентов с логинами user01 или user02
fw_bsclient -w -s /var/tmp/a -d /var/tmp/result -l result.log -u user01 -u user02
Пример 4. Создание файла с сессиями клиента с логином user01 или с IP адреса 198.3.45.89
fw_bsclient -w -s /var/tmp/a -d /var/tmp/result -l result.log -u user01 -i 198.3.45.89
Пример 5. Создание файла с сессиями всех клиентов, которые были с IP адреса 198.3.45.89
fw_bsclient -w -s /var/tmp/a -d /var/tmp/result -l result.log -i 198.3.45.89
После обработки данных не забудьте удалить директорию с распакованными дампами трафика, т.к. они занимают много места и не нужны для работы системы FraudWall в штатном режиме.
Авторские права © 2020 ООО "Фродекс"