«Инферит ИТМен» (прежнее название — iTman Discovery) представляет собой российскую платформу для инвентаризации, учёта и мониторинга IT-инфраструктуры. Система собирает информацию из разнообразных источников, затем обрабатывает, унифицирует, классифицирует и дополняет её, формируя единый надёжный реестр всех IT-ресурсов компании с автоматическим выявлением новых объектов и непрерывным отслеживанием изменений. Продукт внесён в реестр российского ПО Минцифры (запись №12289 от 14.12.2021), отвечает требованиям отечественных регуляторов и успешно используется с 2011 года как в бизнес-секторе, так и в государственных учреждениях. Разработчики особо подчёркивают, что «ИТМен» не является надстройкой над какими-либо open source решениями, а весь исходный код полностью находится под их контролем.
Источник изображений: «Инферит ИТМен»
Ключевой особенностью «ИТМена» является то, что он выступает поставщиком проверенных и структурированных данных, в том числе через API и готовые интеграции, для внешних систем, таких как CMDB или решения класса ITSM/ITAM/SAM. Да, платформа даёт возможность оперативно создавать настраиваемые отчёты в веб-интерфейсе для беглого ознакомления и принятия решений (или для последующего углублённого анализа), однако не стоит рассматривать её как инструмент, который не только обнаружит отклонения, но и самостоятельно сделает выводы и предпримет превентивные действия без участия специалиста. Главная цель системы — обеспечить максимально гибкую и адаптируемую под любую инфраструктуру инвентаризацию, масштабируемую до сотен тысяч устройств. По оценкам разработчика, использование «ИТМена» помогает сократить расходы на IT-инфраструктуру до 25% за счёт выявления неиспользуемых лицензий, автоматизировать до 70% рутинных IT-операций и обнаружить не задействованные в работе активы.
Безусловно, «ИТМен» способна информировать и вышестоящие системы информационной безопасности о появлении или исчезновении программного обеспечения и оборудования в отслеживаемых системах. Однако это происходит не в реальном времени, а после факта, при экспорте журналов и формировании отчётов. Кроме того, в изолированных сегментах передача данных может осуществляться нерегулярно, преодолевая «воздушный зазор» с помощью физических носителей, то есть оставаясь вне зоны прямой видимости. Это актуально и для географически распределённых сетей. При этом все собираемые сведения шифруются, в том числе по ГОСТ, поддерживается использование собственных сертификатов и, что ключевое, настройка обработки данных в соответствии с внутренними правилами безопасности. Сама платформа интегрируется с LDAP, позволяет формировать группы и учётные записи с разными полномочиями и устанавливать для них политики паролей. В следующих версиях планируется внедрение более детального управления правами доступа.
Сбор данных
На устройствах, с которых планируется сбор информации, рекомендуется создавать специальные учётные записи с необходимыми для функционирования «ИТМен» привилегиями. Это намеренно общая формулировка. Сбором сведений занимаются агенты, которые могут передавать данные напрямую в «ИТМен» или через цепочку промежуточных агентов. Такие цепочки полезны как для соблюдения требований безопасности, так и для балансировки нагрузки — например, нет необходимости отправлять данные со всех агентов филиала прямиком в центральный офис. Агенты функционируют под Linux и Windows и могут собирать информацию локально на машинах, где они установлены, а также по сети, в том числе автоматически обнаруживая новые устройства (существуют и облегчённые версии агентов без функции сетевого сканирования). Это могут быть компьютеры, серверы, многофункциональные устройства, коммутаторы, источники бесперебойного питания и прочее. Иными словами, практически любое оборудование, имеющее сетевой интерфейс и возможность коммуникации. Собирать можно практически любые данные, даже базовый перечень включает множество пунктов. Ограничением служит не воображение, а… политики безопасности!
Для обнаружения устройств и составления сетевой инвентаризации применяются такие протоколы, как ICMP, ARP, LLDP, SNMP (версии 1, 2 и 3), SSDP, DNS, SSH, WinRM, WMI и IPMI. Разумеется, для работы последних четырёх необходим удалённый доступ к целевым машинам. Поддерживается широкий спектр методов проверки подлинности. Агенты системы «понимают» все перечисленные протоколы, а возможность их применения зависит исключительно от того, поддерживает ли удалённый хост нужный протокол и доступен ли он. Иными словами, «ИТМен» из коробки готов к работе в смешанных средах. Первичную информацию об устройствах компании можно также извлечь из Active Directory (а также Samba, FreeIPA или любого другого LDAP-сервера) или из SCCM, с последующим регулярным обновлением данных из этих источников либо использованием сетевого обнаружения. Кроме того, данные доступны для сбора через SQL-запросы (к Microsoft SQL и PostgreSQL) и REST API. Последний вариант, к примеру, обеспечивает удобное взаимодействие с хостами VMware. Именно так, «ИТМен» способен работать как с гипервизорами, так и с виртуальными машинами и контейнерами.
Сбор информации осуществляют так называемые сенсоры, которые выполняются агентами. По сути, сенсоры представляют собой скрипты: на PowerShell, Shell, SQL или на внутреннем языке «ИТМен». В рамках одного сенсора может находиться несколько скриптов, например, для последовательного сбора (или дополнения) данных или для запуска различных скриптов в зависимости от заданных условий (И/ИЛИ). В качестве условий могут выступать, например, (не)успешное выполнение предыдущего скрипта с (не)получением от него данных, тип операционной системы (Windows/Linux), наличие в собранных данных определённого значения поля (атрибута) одного из объектов (активов): устройств, программного обеспечения, пользователей. «ИТМен» предоставляет динамическую модель данных, позволяя создавать для собираемой сенсорами информации собственные поля разных типов, а не ограничиваться только встроенными, которые, впрочем, охватывают наиболее распространённые типы собираемых сведений.
Все обнаруженные и добавленные вручную устройства выводятся в отдельном блоке интерфейса. Здесь их можно организовать в группы вручную или на основе определённых характеристик, например, распределить по отделам или филиалам, создавая при необходимости многоуровневые подразделы. Каждое устройство содержит набор системных и пользовательских полей, часть из которых заполняется с помощью предустановленных справочников. Отдельные атрибуты могут быть автоматически заполнены в ходе процесса обогащения данных — об этом мы расскажем далее. По каждому устройству формируется детальная карточка, где собрана вся полученная о нём информация. Для компьютеров, серверов или виртуальных машин это включает полные данные об аппаратной конфигурации, логических разделах, гостевых операционных системах, сведениях о пользователях и последних сеансах, перечне установленных программ и многое другое. В случае с принтером, например, будут отображаться данные о количестве отпечатанных страниц и уровне тонера. Как уже отмечалось, система позволяет собирать практически любые сведения об оборудовании.
Процедура инвентаризации начинается с создания и запуска задач, которые могут выполняться вручную, по расписанию или с определённой периодичностью, в зависимости от установленного приоритета. Для каждой задачи выбираются необходимые агенты, при этом отображается имя устройства, на котором каждый из них размещён. Чтобы упростить поиск и выбор, агентам можно назначать метки, в том числе во время первоначальной установки. Далее выбираются сенсоры, которые будут собирать информацию. Полученные данные можно стандартизировать с помощью справочника. К примеру, если в справочнике для вендора уже указаны различные варианты написания, то «Microsoft» и «Microsoft Corp.» будут приведены к единой форме «Microsoft». Поскольку некоторые данные могут дублироваться для разных объектов (например, одинаковые имена устройств в различных доменах или сетях) или, наоборот, одно устройство может быть обнаружено несколькими методами (скажем, при сетевом сканировании и опросе службы каталогов), следующий шаг — настройка идентификации. Это означает определение уникальной комбинации полей, которая будет однозначно характеризовать каждый объект.
Затем, при необходимости, можно выполнить обогащение данных — дополнить сведения об объектах, применяя фильтры (больше/меньше/содержит/не содержит и т.д.) к информации, полученной на предыдущих этапах, включая метки агентов. Это позволяет, например, указать тип устройства (ноутбук, настольный компьютер и др.), определить его местоположение (филиал, отдел и т.п.) или статус доступности (например, если устройство долго не было в сети). В целом, критерии можно задавать любые — добавление нового поля и настройка обогащения упрощают поиск, фильтрацию и формирование отчётов. Помимо задач инвентаризации, существует отдельная категория — задачи отслеживания. Они в течение заданного периода с определённой периодичностью собирают информацию от выбранных сенсоров. Это позволяет, например, мониторить время и частоту использования конкретного программного обеспечения, а также идентифицировать пользователей. «ИТМен» сохраняет историю задач, поэтому можно просмотреть, какие задачи были выполнены или завершились с ошибкой, и когда это произошло.
Управление информацией
В специальном разделе «Активы» систематизируются данные об оборудовании, программном обеспечении и учётных записях пользователей. Именно сюда поступают все материалы после проведения инвентаризации, где с ними можно выполнять различные операции. Для программ особенно ценна возможность автоматической нормализации и распознавания через встроенный каталог, содержащий данные о свыше 315 тысячах приложений и служб. При необходимости справочник можно пополнять и вручную, если перечень используемых программ не слишком обширен, однако готовый каталог существенно упрощает эту задачу. В целом, подход к работе с ПО в системе «ИТМен» отличается продуманностью. К примеру, несколько языковых редакций Microsoft Office учитываются как единая установка. Помимо сбора данных об инсталлированных программах, предусмотрен анализ исполняемых файлов на устройствах, что позволяет извлекать дополнительные сведения: версию, описание и местоположение файла. Также ведётся подсчёт общего числа инсталляций. Формируется отдельный перечень неопознанного программного обеспечения, отсутствующего в библиотеке. Кроме того, «ИТМен» способен отслеживать активные процессы, поэтому даже портативные версии программ остаются под контролем. Существует возможность настройки списков запрещённого и разрешённого ПО для устройств. Наконец, для каждого пользователя регистрируется история входов с указанием устройств и времени.
Оборудование можно классифицировать и отбирать по различным критериям. К примеру, объединить все компьютеры под управлением Windows или от конкретного поставщика. Для детального и систематического изучения информации служит блок «Анализ данных». В нём доступен инструмент для формирования отчётов, который помогает готовить нужные выборки, сохранять их как персональные отчёты и настраивать их периодическую рассылку на указанный электронный адрес. В разделе «Исторические данные» можно проследить, как менялись сведения за выбранный период. Например, можно сформировать отчёт об инсталляции или удалении конкретного программного обеспечения, а для оборудования — отследить динамику изменения определённых характеристик. В специальном отчёте «Использование ПО» можно анализировать продолжительность и интенсивность использования приложений, а также количество уникальных пользователей, что особенно важно при работе с конкурентными программными лицензиями (для наглядности можно построить графики). Отчёты представлены в табличном виде с возможностью настройки отображаемых колонок. Внутри отчётов доступны функции группировки, фильтрации и упорядочивания. Также для отчётов можно настроить их регулярную отправку по электронной почте.
Ещё одна ключевая возможность — журналы аудита для постоянного мониторинга выбранных параметров (атрибутов) устройств. Для этого применяются наборы правил, где каждое правило проверяет, соответствует ли выбранный параметр заданному условию. Дополнительно указывается уровень важности: низкий, средний или высокий. На основе одного или нескольких правил создаются задачи проверки, которые выполняются с заданной периодичностью, а затем отправляют итоги на email. При этом можно настроить их таким образом, что отчёт не будет отправляться, если изменений не обнаружено. Все отчёты сохраняются в журналах проверки, где с ними можно ознакомиться позже. Также существуют отдельные задачи для оповещений, которые будут отслеживать изменения определённых конфигураций устройств и отправлять уведомления на почту или через REST API.
Именно в этом и раскрывается главное преимущество гибкой модели данных «ИТМен»: система способна оповещать вас практически о любых изменениях в ваших активах. Например, при обнаружении нежелательного или неопознанного программного обеспечения (вредоносного кода или запрещённого приложения для общения); при изменении конфигурации оборудования (выходе из строя или пропаже накопителя); при появлении в сети нового, ранее неизвестного устройства (кто-то подключил личный ноутбук или администратор забыл установить агент на новый компьютер) или, напротив, при длительном отсутствии какого-либо устройства в сети; если сотрудник слишком долго использует программу, не входящую в его обязанности, или без причины отключает антивирусную службу; когда на компьютерах в бухгалтерии начинает заканчиваться свободное место на дисках, а на сервере резервного копирования его неожиданно становится слишком много; при низком уровне тонера в МФУ, разряде ИБП или неполадках с портами коммутатора и так далее.
Итоги
Если у вас возникло впечатление, что «ИТМен» — продукт со сложной структурой, то… вы абсолютно правы. Для его полноценного освоения действительно потребуется время. Однако, разобравшись с основными возможностями, вы сможете самостоятельно адаптировать функционал, не прибегая к помощи поставщика. Базовая коробочная версия для инвентаризации и интеграции данных в CMDB оценивается от 632 рублей в год за одно устройство. В эту сумму входит гарантийная техническая поддержка и обновления в течение года (в среднем около пяти выпусков). За возможность кастомизировать модель данных предусмотрена дополнительная плата. Каталог программного обеспечения, который избавляет от ручного ввода параметров для обнаружения и идентификации ПО и пополняется поставщиком как самостоятельно, так и по запросам клиентов, доступен по отдельной подписке. Если подписка прекращается, текущая версия каталога остаётся у вас, но без регулярных обновлений её практическая ценность значительно снижается.
Расширенная служба технической поддержки, предусматривающая видеоконсультации со специалистом, обучение персонала клиента, воспроизведение сбоев на тестовом стенде и удалённый доступ к системам для диагностики, оценивается от 399 рублей в год за одно рабочее место. Дополнительная настройка функций выполняется по индивидуальному запросу. Для организаций среднего и крупного масштаба внедрение чаще представляет собой комплексный проект с привлечением интегратора, адаптацией под особые нужды и условия, а не просто приобретение лицензии, которую при необходимости можно купить напрямую у «Инферит». Впрочем, интегратор может организовать поставку как лицензий, так и сертификата на внедрение. В такой ситуации развёртыванием занимается «ИТМен», что, вероятно, является оптимальным решением для сложных инсталляций, поскольку никто не разбирается в продукте лучше его создателей. При этом «ИТМен» изначально ориентирован на российский рынок, поддерживая отечественные дистрибутивы Linux, системы управления базами данных, готовые модули интеграции (SimpleOne, BPMSoft, ITSM box и др.) и так далее.
Полезность «ИТМен» для IT-подразделений не вызывает сомнений, однако точный экономический результат заранее оценить, по всей видимости, непросто. Фактическая выгода будет определяться не столько самим программным обеспечением, сколько грамотностью его внедрения, правильностью эксплуатации и своевременным обновлением рабочих процессов. Это как раз та ситуация, когда «лучше потратить время на подготовку, чтобы потом быстро достичь цели». Ещё более разумным шагом будет заказать презентацию возможностей продукта.
