«Инферит ИТМен» (ранее iTman Discovery) — это российская система инвентаризации, учёта и контроля IT-инфраструктуры. Решение агрегирует данные из разных источников, нормализует, идентифицирует, обогащает и типизирует их для создания единого источника достоверных данных обо всех IT‑активах организации с автоматизированным обнаружением новых активов и постоянным контролем изменений. Решение включено в реестр отечественного ПО Минцифры (реестровая запись №12289 от 14.12.2021), соответствует требованиям российских регуляторов и фактически применяется с 2011 г. как в коммерческих, так и в государственных структурах. Разработчики отдельно отмечают, что «ИТМен» не является некой надстройкой над какими-либо open source продуктами, а весь код контролируется исключительно ими.

Первое и, наверное, самое главное, что нужно отметить, — это то, что «ИТМен» является в первую очередь поставщиком очищенных и достоверных данных, в том числе по API и через готовые коннекторы, для других систем, например CMDB или ITSM/ITAM/SAM. Да, платформа позволяет быстро составить гибкие отчёты в веб-интерфейсе, чтобы пробежаться по ним глазами и принять какое-то решение (или отложить данные для более глубокого анализа), но не стоит воспринимать её как что-то, что не только заметит аномалии, но и сделает некие выводы и само предпримет упреждающие действия без участия человека. Основная задача платформы — инвентаризация, как можно более гибкая, с возможностью настройки под практически любую инфраструктуру, и масштабируемая до сотен тысяч устройств. По оценкам компании, «ИТМен» позволяет оптимизировать затраты на IT-инфраструктуру до 25 % путём выявления неиспользуемых лицензий, автоматизировать до 70 % ручных операций IT и найти неиспользуемые активы.

Конечно, «ИТМен» может уведомить и вышестоящий ИБ-инструментарий о появлении (или исчезновении) в обозреваемых системах ПО или «железа», но сделает она это не мгновенно, а постфактум при выгрузке журналов и отчётов. Более того, в изолированных контурах данные вообще могут переноситься не так уж часто, пересекая «воздушный зазор» на физических носителях, т. е. даже вне прямой области видимости. То же касается и, например, геораспределённых сетей. При этом в любом случае собираемые данные шифруются, в том числе по ГОСТ’у, есть возможность принести собственные сертификаты и, что самое главное, настроить работу с данными в соответствии с внутренними политиками безопасности. Непосредственно сама платформа интегрируется с LDAP, а также позволяет создавать группы и пользователей с различными правами и задавать им парольные политики. В будущих релизах обещана более гранулярная выдача прав.

Сбор данных

Непосредственно на устройствах, с которых будут собираться данные, рекомендуется заводить отдельные учётные записи с нужными для работы «ИТМен» правами. Это довольно общая формулировка, и она не случайна. Сбором информации занимаются агенты, которые могут передавать данные сразу в «ИТМен» или же через цепочку агентов-посредников. Цепочки полезны и для соблюдения правил безопасности, и просто для распределения нагрузки — например, нет смысла напрямую «гнать» в центральный офис данные со всех агентов филиала. Агенты работают на Linux и Windows и могут собирать данные как локально на тех машинах, где они запущены, так и по сети, в том числе автоматически выявляя новые устройства (но есть и отдельные облегчённые агенты, где вырезана функция сканирования сети). Это могут быть ПК, серверы, МФУ, коммутаторы, ИБП и т. д. Проще говоря, практически всё что угодно, что имеет хоть какой-то сетевой интерфейс и способ общения с внешним миром. И данные собирать можно тоже практически какие угодно, даже базовый список включает десятки пунктов. Ограничением будет не ваша фантазия, а… политики безопасности!

Для дискаверинга и инвентаризации по сети используются протоколы ICMP, ARP, LLDP, SNMP (v1, v2, v3), SSDP, DNS, SSH, WinRM, WMI и IPMI. Для последних четырёх, очевидно, нужно иметь удалённый доступ к хостам. Методы аутентификации поддерживаются самые разнообразные. Агенты «знают» все эти протоколы, а возможность их использования ограничена только поддержкой и доступностью нужного протокола со стороны удалённого хоста. Проще говоря, «ИТМен» изначально поддерживает работу в гибридных окружениях. Первичные данные об устройствах организации можно получить и из Active Directory (а также Samba, FreeIPA и LDAP вообще) или SCCM, а потом регулярно обновлять данные оттуда или же полагаться на сетевой дискаверинг. Но данные можно также собирать посредством SQL-запросов (Microsoft SQL и PostgreSQL) и REST API. Последнее, например, позволяет удобно работать с VMware-хостами. Да-да, «ИТМен» умеет работать и с гипервизорами, и с виртуальными машинами, и с контейнерами.

За сбор данных отвечают т.н. сенсоры, исполняемые агентами. Сенсоры — это фактически скрипты: PowerShell, Shell, SQL или внутренний скрипт «ИТМен». В одном сенсоре может содержаться несколько скриптов, например для последовательного сбора (или добора) данных или для выполнения разных скриптов в зависимости от заданных условий (И/ИЛИ). Условиями могут быть, к примеру, (не)успешное (не)выполнение предыдущего скрипта с (не)получением данных от него, тип ОС (Windows/Linux), наличие в собранных данных какого-то конкретного значения поля (атрибута) одного из объектов (активов): устройств, ПО, пользователей. «ИТМен» предлагает динамическую модель данных, так что для собираемой сенсорами информации можно создавать собственные поля различных типов, а не полагаться только на встроенные, которые, впрочем, покрывают самые часто используемые типы собираемых данных.

Все найденные и вручную добавленные устройства отображаются в специальном разделе, где их можно сгруппировать вручную или по какому-либо свойству, в том числе «раскидать» их по департаментам или филиалам с формированием вложенных подгрупп. У каждого устройства есть системные и настраиваемые поля, для заполнения некоторых из них нужны справочники. Некоторые поля или атрибуты можно заполнить в процессе обогащения данных, но об этом чуть позже. Для каждого устройства формируется карточка, где приведены все собранные о нём данные. В случае ПК/серверов/ВМ это полная аппаратная конфигурация, логические тома, гостевые ОС, сведения о пользователях и последнем входе, список установленного ПО и т. д. А, например, у принтера это будет «пробег» и объём тонера. Но, как и говорилось выше, собирать можно практически всё, что угодно.

Непосредственно процесс инвентаризации заключается в формировании задач с их последующим запуском в соответствии с выставленным приоритетом, вручную или с заданной регулярностью/по расписанию. Для каждой задачи выбираются нужные агенты, у каждого из которых видно наименование устройства, на котором он установлен. Агентам для удобства поиска и выбора можно присвоить теги, в том числе при первичной установке. Затем отбираются сенсоры, которые и предоставят данные. Для этих сведений доступна нормализация по справочнику. Например, Microsoft и Microsoft Corp. будут записаны как просто Microsoft, если в справочнике для этого вендора уже заведены различные варианты написания его имени. Поскольку какие-то получаемые данные могут совпадать у нескольких объектов, например одинаковое имя устройств в разных доменах или в разных сетях, либо, наоборот, одно устройство было обнаружено одновременно, скажем, во время сетевой инвентаризации и при опросе службы каталога, на следующем шаге настраивается идентификация, т. е. такое сочетание нескольких полей, которое будет определять уникальность объекта.

Наконец, опционально можно сделать обогащение данных — дополнить информацию об объектах, отфильтровав (больше/меньше/(не)содержит и т. д.) выбранные данные полей с предыдущих этапов, в том числе теги агентов. Таким образом, например, можно назначить тип устройства (ноутбук, десктоп и т. д.), определить его расположение (филиал, департамент и т. д.), доступность (слишком долго было офлайн) и т. п. Но в целом формировать критерии можно какие угодно — добавив поле и настроив обогащение, можно упростить поиск, фильтрацию и составление отчётов. Помимо задач инвентаризации есть особый класс задач отслеживания, которые в течение заданного времени с заданной регулярностью получают данные от выбранных сенсоров. Таким образом, например, можно отслеживать время и частоту использования выбранного ПО, а также тех, кто им пользовался. «ИТМен» ведёт историю задач, так что можно посмотреть, какие и когда были выполнены или засбоили в процессе.

Работа с данными

Активы — устройства, ПО, пользователи — представлены в одноимённом разделе. Именно сюда после инвентаризации попадают все собранные и обработанные сведения, с которыми можно работать в дальнейшем. Для ПО есть ещё одна крайне полезная функция — нормализация и идентификация данных с помощью каталога ПО, где есть сведения о более чем 315 тыс. приложений и служб. Библиотеку ПО (справочник) можно, конечно, наполнять и вручную, если разнообразие приложений не так велико. Но с готовым каталогом намного удобнее. Вообще работа с ПО в «ИТМен» достаточно продумана. Так, например, установка нескольких языковых версий Microsoft Office засчитывается как одна установка. Также помимо сбора установленного ПО предусмотрена инвентаризация исполняемых файлов на устройствах, позволяющая получать дополнительную информацию (версия, описание и путь к исполняемому файлу). И в целом ведётся учёт количества установок. Отдельно формируется список нераспознанного ПО, о котором нет сведений в библиотеке. Более того, «ИТМен» может отслеживать любое запущенное ПО, так что portable-версии тоже не ускользнут от его ока. Также можно задать списки запрещённого и разрешённого для использования на устройствах ПО. Наконец, для пользователей ведётся учёт, на каких устройствах и когда они входили.

Активы можно сгруппировать и отфильтровать по тому или иному параметру. Например, собрать воедино все устройства с Windows или определённого производителя. Для более глубокого и регулярного анализа предназначен раздел «Анализ данных». В нем находится конструктор отчётов, позволяющий создавать необходимые подборки, сохранять их в виде своих отчётов и настраивать регулярную отправку на определённую почту. Раздел «Исторические данные» позволяет отследить изменения в исторических данных в заданные даты. Например, можно составить отчёт об установке/удалении того или иного приложения, а для самих устройств можно отследить изменения того или иного параметра. В специальном отчёте «Использование ПО» можно отслеживать длительность и частоту использования приложений и их уникальных пользователей, что полезно при наличии конкурентных лицензий на ПО (для этого можно даже построить наглядные графики). Отчёты имеют табличный формат с настраиваемым отображением столбцов. Внутри отчётов доступны группировка, фильтрация и сортировка. Для отчётов доступна регулярная отправка на почту.

Ещё одна важная функция — журналы проверки для регулярного отслеживания выбранных полей (атрибутов) устройств. Для этого используются наборы правил, где каждое правило проверяет соответствие выбранного поля заданному критерию. Дополнительно задаётся уровень критичности: низкий, средний, высокий. На основе одного или нескольких правил формируются задачи проверки, которые исполняются с заданной регулярностью, а затем отправляют результаты на email. При этом можно настроить их так, что при отсутствии изменений отчёт отправляться лишний раз не будет. Всё отчёты складываются в журналы проверки, где с ними можно ознакомиться и потом. Также есть отдельные задачи оповещения, которые будут отслеживать изменения определённых конфигураций устройств и отправлять уведомления на почту или по REST API.

И вот как раз здесь в полную силу проявляется вся гибкость модели данных «ИТМен», потому что можно получать уведомления о практически любых изменениях в активах: появилось нежелательное или неизвестное ПО (например, зловред или запрещённый мессенджер); изменилась конфигурация оборудования (накопитель сломался или был украден); в сети появилось неизвестное ранее устройство (кто-то пронёс личный ноутбук или администратор просто забыл поставить агента на новый ПК) или, наоборот, устройства что-то давно не видно в сети; кто-то слишком долго пользуется каким-либо приложением (хотя в его обязанности это не входит) или зачем-то остановил службу антивируса; на компьютерах в бухгалтерии стало заканчиваться свободное место на накопителях, а на сервере с бэкапами его стало подозрительно много; у МФУ заканчивается тонер, у ИБП низкий заряд, а коммутатора что-то не так с портами и т. д.

Заключение

Если вам на секунду показалось, что «ИТМен» — это довольно сложный продукт, то… нет, вам не показалось. Во всяком случае, на то, чтобы разобраться с ним, придётся потратить время. С другой стороны, освоив хотя бы основные функции, можно донастроить функциональность продукта без обращения к вендору. Базовые коробочные версии для инвентаризации и поставки данных в CMDB обойдутся от 632 руб./год за каждое устройство. В стоимость включены гарантийная техподдержка и обновления в течение года (в среднем пять релизов в год). За возможность модифицировать модель данных придётся доплатить. Каталог ПО, позволяющий не вбивать вручную параметры для выявления и определения ПО и пополняемый вендором не только самостоятельно, но и по запросу от клиентов, распространяется по отдельной подписке. При остановке подписки текущая версия каталога сохранится, но без постоянного обновления смысла в этом немного.

Расширенная техподдержка, которая в том числе включает видеоконференцсвязь с экспертом, обучение внутренней команды заказчика, моделирование проблемы на стенде и удалённое подключение к инфраструктуре для отладки проблем стоит от 399 руб./год за каждое устройство. Доработка функциональности возможна по запросу. Для средних и крупных предприятий внедрение будет скорее проектной историей с обращением к интегратору, доработкой под специфические задачи и требования и т. п., а не просто покупкой лицензии, которую при желании можно напрямую приобрести у «Инферит». Впрочем, интегратор может выбрать вариант поставки и лицензий, и сертификата на внедрение. В этом случае внедрением занимается «ИТМен», и это, вероятно, самый лучший вариант для сложных развёртываний, т. к. никто не знает свой продукт лучше, чем сами разработчики. При этом «ИТМен» в целом уже учитывает специфику российского рынка, поддерживая отечественные дистрибутивы Linux, СУБД, готовые коннекторы (SimpleOne, BPMSoft, ITSM box и т. п.) и т. д.

Ценность «ИТМен» для IT-служб более чем очевидна, но вот экономический эффект заранее предсказать, скорее всего, будет сложно. Реальная польза будет зависеть не от самого продукта, а от качества его внедрения, корректности использования и поддержки всех сценариев в актуальном состоянии. И это как раз тот случай, когда «лучше день потерять, потом за пять минут долететь». А ещё лучше заказать демонстрацию продукта.