«Инферит ИТМен» (прежнее название — iTman Discovery) представляет собой российское решение для инвентаризации, учёта и мониторинга IT-инфраструктуры. Система собирает информацию из разнообразных источников, приводит её к единому формату, распознаёт, дополняет и классифицирует, формируя тем самым целостную и надёжную базу данных обо всех IT-активах компании. При этом обеспечивается автоматическое обнаружение новых объектов и непрерывный отслеживание любых изменений. Продукт зарегистрирован в реестре российского ПО Минцифры (запись №12289 от 14.12.2021), отвечает требованиям отечественных регуляторов и успешно используется с 2011 года как в бизнес-среде, так и в государственных учреждениях. Разработчики особо подчёркивают, что «ИТМен» — это не надстройка над какими-либо open source-продуктами, а полностью самостоятельное решение, исходный код которого находится под их полным контролем.
Источник изображений: «Инферит ИТМен»
Ключевой особенностью «ИТМен» является то, что платформа в первую очередь служит поставщиком проверенных и структурированных данных — через API или готовые коннекторы — для других систем, таких как CMDB или решения класса ITSM/ITAM/SAM. Да, с её помощью можно оперативно создавать гибкие отчёты в веб-интерфейсе, чтобы ознакомиться с ситуацией и принять решение (или отложить данные для детального изучения), однако не стоит ожидать, что система самостоятельно проанализирует аномалии, сделает выводы и предпримет превентивные действия без участия специалистов. Основная цель платформы — обеспечить максимально гибкую и настраиваемую под любую инфраструктуру инвентаризацию, масштабируемую до сотен тысяч устройств. По оценкам разработчика, использование «ИТМен» помогает сократить расходы на IT-инфраструктуру до 25% за счёт выявления неиспользуемых лицензий, автоматизировать до 70% ручных IT-операций и обнаружить активы, которые простаивают без дела.
Безусловно, «ИТМен» способна информировать вышестоящие системы информационной безопасности о появлении или удалении программного и аппаратного обеспечения в отслеживаемых системах, однако делает это не в реальном времени, а после факта, при экспорте журналов и формировании отчётов. Кроме того, в изолированных сегментах передача информации может происходить нерегулярно, преодолевая «воздушный зазор» с помощью физических носителей, то есть оставаясь вне зоны прямого наблюдения. Это же относится и к географически распределённым сетям. При этом вся собираемая информация шифруется, в том числе с использованием ГОСТ, предусмотрена возможность загрузки собственных сертификатов и, что особенно важно, настройки обработки данных в соответствии с внутренними правилами безопасности. Сама платформа поддерживает интеграцию с LDAP, позволяет формировать группы и учётные записи с разными уровнями доступа, а также устанавливать политики управления паролями. В следующих версиях планируется внедрение более детального разграничения прав.
Сбор данных
На устройствах, с которых планируется получать информацию, рекомендуется создавать отдельные учётные записи с минимально необходимыми для функционирования «ИТМен» привилегиями. Это намеренно общая формулировка. Сбором сведений занимаются агенты, которые могут передавать данные напрямую в «ИТМен» или через цепочку промежуточных агентов. Такие цепочки полезны как для обеспечения безопасности, так и для балансировки нагрузки — например, нет необходимости отправлять данные со всех агентов филиала прямиком в центральный офис. Агенты функционируют под управлением Linux и Windows и могут собирать информацию локально на машинах, где они установлены, а также по сети, в том числе автоматически обнаруживая новые устройства (существуют и облегчённые версии агентов без функции сетевого сканирования). Это могут быть компьютеры, серверы, многофункциональные устройства, коммутаторы, источники бесперебойного питания и т.д. Иными словами, практически любое оборудование, имеющее сетевой интерфейс и способное к коммуникации. Собирать можно практически любые данные, даже базовый перечень включает множество пунктов. Единственным ограничением служат не возможности системы, а… внутренние политики безопасности!
Для обнаружения устройств и составления сетевой инвентаризации применяются такие протоколы, как ICMP, ARP, LLDP, SNMP (версии 1, 2, 3), SSDP, DNS, SSH, WinRM, WMI и IPMI. Работа с последними четырьмя, разумеется, требует наличия удалённого доступа к целевым хостам. Поддерживается широкий спектр методов аутентификации. Агенты системы обладают встроенной поддержкой всех этих протоколов, и их применение ограничено лишь тем, поддерживает ли удалённый хост нужный протокол и доступен ли он. Иными словами, «ИТМен» из коробки готов к работе в гибридных средах. Первичную информацию об устройствах компании можно также импортировать из Active Directory (а также из Samba, FreeIPA и других LDAP-источников) или из SCCM, с последующим регулярным обновлением данных оттуда, либо же полностью положиться на сетевое сканирование. Кроме того, данные можно получать через SQL-запросы (к Microsoft SQL и PostgreSQL) и REST API. Последний вариант, например, удобен для взаимодействия с хостами VMware. Именно так, «ИТМен» способен работать с гипервизорами, виртуальными машинами и контейнерами.
Сбор информации осуществляют специальные модули — сенсоры, которые выполняются агентами. По сути, сенсоры представляют собой скрипты: это могут быть сценарии PowerShell, Shell, SQL или внутренний язык скриптования «ИТМен». В рамках одного сенсора может быть размещено несколько скриптов, например, для последовательного сбора или дополнения данных, либо для выбора разных скриптов в зависимости от заданных условий (логические И/ИЛИ). В качестве условий могут выступать, например, (не)успешное выполнение предыдущего скрипта и (не)получение от него данных, тип операционной системы (Windows/Linux), наличие в собранных данных определённого значения поля (атрибута) у одного из объектов (активов): устройств, программного обеспечения, пользователей. «ИТМен» использует динамическую модель данных, поэтому для информации, собираемой сенсорами, можно создавать собственные поля разных типов, не ограничиваясь лишь встроенными, которые, впрочем, покрывают наиболее распространённые типы собираемых сведений.
Все обнаруженные и введённые вручную устройства отображаются в отдельной области, где их можно сгруппировать вручную или по определённому признаку, например, распределить по отделам или филиалам, создавая при этом вложенные подразделы. Каждое устройство обладает системными и пользовательскими полями, для заполнения части из которых требуются справочники. Отдельные поля или характеристики можно заполнить в ходе обогащения информации, но об этом подробнее далее. Для любого устройства создаётся профиль, содержащий всю собранную о нём информацию. В случае компьютеров, серверов или виртуальных машин это полная аппаратная конфигурация, логические диски, гостевые операционные системы, данные о пользователях и последнем сеансе, перечень установленных программ и т.д. Например, для принтера это будут данные о количестве отпечатанных страниц и уровне тонера. Однако, как уже упоминалось, можно собирать практически любые сведения.
Сам процесс инвентаризации состоит в создании задач и их последующем запуске согласно установленному приоритету — вручную, по расписанию или с заданной периодичностью. Для каждой задачи выбираются необходимые агенты, причём для каждого отображается имя устройства, на котором он размещён. Агентам для удобства поиска и выбора можно назначать метки, в том числе при первоначальной установке. Затем выбираются сенсоры, которые и будут поставлять данные. Для этих данных доступна нормализация по справочнику. К примеру, варианты «Microsoft» и «Microsoft Corp.» будут записаны просто как «Microsoft», если в справочнике для этого поставщика уже указаны различные формы его названия. Поскольку некоторые получаемые данные могут совпадать у нескольких объектов (например, одинаковые имена устройств в разных доменах или сетях) или, наоборот, одно устройство может быть обнаружено одновременно (скажем, при сетевом сканировании и опросе службы каталогов), на следующем этапе настраивается идентификация — то есть такое сочетание нескольких полей, которое будет определять уникальность объекта.
В качестве дополнительного шага можно выполнить обогащение данных — расширить сведения об объектах, применив фильтры (больше/меньше/содержит или не содержит и др.) к выбранным полям, полученным на предыдущих этапах, включая метки агентов. Это позволяет, к примеру, классифицировать тип оборудования (ноутбук, настольный компьютер и др.), указать его местонахождение (филиал, отдел и т.д.), оценить доступность (например, если устройство слишком долго не в сети) и прочие параметры. Фактически, критерии можно формировать любые — добавив новое поле и настроив процедуру обогащения, вы упростите поиск, фильтрацию и подготовку отчётов. Помимо инвентаризационных задач, существует отдельная категория — задачи мониторинга, которые в течение заданного периода с определённой периодичностью собирают информацию с выбранных датчиков. Так, например, можно отслеживать продолжительность и частоту использования конкретного программного обеспечения, а также идентифицировать пользователей, которые его применяли. «ИТМен» сохраняет историю всех задач, поэтому вы всегда можете проверить, какие из них были выполнены, а какие столкнулись с ошибками в процессе работы.
Обработка информации
Активы — такие как оборудование, программы и пользователи — отображаются в соответствующем разделе. Именно сюда после проведения инвентаризации поступают все собранные и обработанные данные, с которыми можно продолжить работу. Для программного обеспечения предусмотрена особенно полезная возможность — нормализация и распознавание сведений с помощью каталога ПО, содержащего информацию о более чем 315 тысячах приложений и служб. Безусловно, библиотеку программ (справочник) можно пополнять и вручную, если ассортимент приложений не слишком широк. Однако использование готового каталога значительно удобнее. Вообще, работа с ПО в «ИТМен» хорошо продумана. Например, установка нескольких языковых версий Microsoft Office учитывается как одна инсталляция. Кроме сбора данных об установленных программах, предусмотрена инвентаризация исполняемых файлов на устройствах, что даёт дополнительную информацию (версия, описание и путь к файлу). Также ведётся учёт общего количества установок. Отдельно формируется перечень нераспознанного ПО, отсутствующего в библиотеке. Более того, «ИТМен» способен отслеживать любое запущенное программное обеспечение, поэтому даже portable-версии не останутся незамеченными. Дополнительно можно настроить списки запрещённого и разрешённого к использованию ПО на устройствах. Наконец, для пользователей ведётся учёт: фиксируется, на каких устройствах и когда они осуществляли вход.
Объекты можно объединять в группы и фильтровать по различным критериям. К примеру, можно выделить все компьютеры под управлением Windows или от конкретного поставщика. Для детального и систематического изучения информации предназначен блок «Анализ данных». В нём доступен инструмент для формирования отчётов, который помогает подготавливать нужные выборки, сохранять их как персональные отчёты и настраивать их автоматическую рассылку на указанный адрес электронной почты. Раздел «Исторические данные» даёт возможность проследить, как менялись данные за выбранный период. Например, можно сформировать отчёт об инсталляции или удалении конкретного программного обеспечения, а для оборудования — отследить динамику изменения отдельных параметров. В специальном отчёте «Использование ПО» можно анализировать продолжительность и интенсивность работы с приложениями, а также количество уникальных пользователей, что особенно важно при работе с ограниченными лицензиями на программное обеспечение (для наглядности здесь же можно построить графики). Все отчёты представлены в табличном виде с возможностью настройки отображаемых колонок. Внутри отчётов поддерживаются группировка, фильтрация и упорядочивание данных. Для отчётов также можно настроить периодическую отправку по электронной почте.
Ещё одна ключевая возможность — ведение журналов проверки для постоянного мониторинга выбранных характеристик (атрибутов) устройств. Для этого применяются наборы правил, где каждое правило оценивает соответствие определённого поля установленному условию. Дополнительно можно указать уровень важности: низкий, средний или высокий. На основе одного или нескольких правил создаются задания для проверки, которые выполняются с заданной периодичностью, а затем направляют результаты на email. При этом можно настроить их таким образом, чтобы отчёт не отправлялся, если изменений не обнаружено. Все отчёты сохраняются в журналах проверки, где с ними можно ознакомиться позже. Также существуют отдельные задачи для оповещений, которые отслеживают изменения в определённых конфигурациях устройств и отправляют уведомления по электронной почте или через REST API.
Именно в этом аспекте раскрывается вся мощь адаптивной модели данных «ИТМен», поскольку она позволяет отслеживать практически любые изменения в инфраструктуре: обнаружение нежелательного или неопознанного программного обеспечения (например, вредоносных программ или запрещённых мессенджеров); изменения в конфигурации оборудования (выход из строя или кража накопителя); появление в сети ранее неизвестных устройств (кто-то подключил личный ноутбук или администратор не установил агент на новый компьютер) либо, напротив, длительное отсутствие устройства в сети; чрезмерно долгое использование приложений, не входящих в обязанности сотрудника, или несанкционированная остановка антивирусной службы; сокращение свободного места на дисках в бухгалтерском отделе или подозрительный рост свободного пространства на сервере резервного копирования; низкий уровень тонера в МФУ, разрядка ИБП, неисправности портов коммутатора и многое другое.
Итоги
Если у вас возникло впечатление, что «ИТМен» — достаточно сложное решение, то… вы не ошиблись. Безусловно, для его освоения потребуется время. Однако, овладев базовыми возможностями, вы сможете адаптировать функционал продукта самостоятельно, без помощи поставщика. Стандартные версии для инвентаризации и наполнения CMDB данными стартуют от 632 рублей в год за одно устройство. В стоимость входят гарантийная техническая поддержка и обновления в течение года (в среднем пять выпусков). За возможность изменять модель данных предусмотрена дополнительная плата. Каталог программного обеспечения, который избавляет от ручного ввода параметров для обнаружения и идентификации ПО и пополняется поставщиком как самостоятельно, так и по запросам клиентов, доступен по отдельной подписке. При её отмене текущая версия каталога останется, но без регулярных обновлений его практическая ценность значительно снижается.
Расширенная служба технической поддержки, предусматривающая видеоконсультации со специалистом, обучение штатных сотрудников клиента, воспроизведение сбоев на тестовом стенде и удалённый доступ к системам для диагностики, оценивается от 399 рублей в год за одно рабочее место. Дополнительная настройка функций выполняется по индивидуальному запросу. Для организаций среднего и крупного масштаба внедрение чаще представляет собой комплексный проект, предполагающий обращение к системному интегратору, адаптацию под особые нужды и условия, а не просто приобретение лицензии, которую при необходимости можно купить напрямую у «Инферит». Впрочем, интегратор может организовать поставку как лицензий, так и сертификата на внедрение. В такой ситуации внедрением занимается «ИТМен», что, вероятно, является оптимальным решением для сложных инсталляций, поскольку никто не разбирается в собственном продукте лучше, чем его создатели. При этом «ИТМен» изначально учитывает особенности российского ИТ-ландшафта, обеспечивая совместимость с отечественными дистрибутивами Linux, системами управления базами данных, готовыми модулями интеграции (SimpleOne, BPMSoft, ITSM box и др.) и так далее.
Практическая ценность «ИТМен» для IT-подразделений не вызывает сомнений, однако точный экономический результат заранее оценить, по всей видимости, непросто. Фактическая эффективность будет определяться не столько самим программным обеспечением, сколько грамотностью его внедрения, правильностью эксплуатации и своевременной актуализацией всех рабочих процессов. Это как раз та ситуация, когда «лучше потратить время на подготовку, чтобы потом быстро достичь цели». Ещё разумнее — запросить демонстрацию возможностей системы.
