Проблемы с безопасностью в CRM редко начинаются громко. Чаще — с незаметного входа «не тем» пользователем. Поэтому первый базовый контроль — посмотреть историю авторизаций и понять, кто, когда и откуда заходил.
Ниже — прикладной чек-лист: что сверить в журнале, где искать, какие сигналы считать тревожными и как настроить регулярный контроль входов в Битрикс24 без героизма.
Какие записи входов стоит проверить сразу
Начните с рисковых зон. На практике чаще всего «стреляет» доступ администратора и сервисные аккаунты интеграций. Если эти записи в журнале «шумят» — порядок в остальном списке видим только наполовину.
Далее — сотрудники, у которых есть право экспорта базы, изменения сделок и задач, а также те, кто работает из поля: регионы, командировки, фриланс. Не потому что они «опасны», а потому что меняют устройства и сети чаще других. Хороший признак — когда у ключевых менеджеров видна стабильная география и повторяемые устройства.
Проверьте уволенных и заблокированных. Обычно всплывает одна и та же ошибка: человека вывели из отдела, но активные сессии и вебхуки не закрыли. Потом в журнале появляются «успехи» от его имени, а вы списываете это на инерцию системы.
Отдельно посмотрите входы партнёров и внешних консультантов. Если их учетные записи используются реже раза в неделю — разумно переводить такие доступы в «по запросу» и быстро отключать после задач. Это уменьшает шум и снижает риск.
Где искать историю авторизаций в Битрикс24
- Администраторский путь (портал в облаке): откройте «Настройки» — «Безопасность» — «История входов». Здесь общий журнал по всем пользователям с фильтрами по периоду, сотруднику, результату, способу входа.
- Точечно по человеку: «Компания» — «Сотрудники» — выберите профиль — вкладка «Безопасность» — «Устройства и сессии». Удобно для разговоров один на один: видно, где и с какого браузера сотрудник был в системе.
- Для коробочной версии: административная часть — разделы «Безопасность/Журналы» — «Журнал авторизаций». Названия пунктов могут незначительно отличаться в зависимости от релиза, но логика та же: общий лог + фильтры + выгрузка.
- Экспорт для анализа: используйте выгрузку в CSV/Excel и сохраненные фильтры по «администраторам», «ошибкам входа», «новым устройствам за 7 дней».
Микросценарий: пришёл сигнал, что ночью «гуляли» права сделок. Заходите в общий журнал, ставите фильтр по периоду 00:00–06:00 и по ролям «Администратор/Руководитель». Дальше — сортировка по IP и способу входа. Пять минут — и у вас картина ночи.
Какие данные в журнале входов важны бизнесу
Смотреть просто на «успешно/неуспешно» недостаточно. Для управленческих решений важен контекст: кто вошел, каким методом, откуда и насколько это соответствует вашим правилам доступа. Если система настроена правильно, лог даёт быстрые ответы.
| Поле | Что это даёт бизнесу | Норма и тревожный флажок |
|---|---|---|
| Дата/время | Сопоставление с графиками работы и ночными задачами | Норма: в рабочие часы; Флажок: входы глубокой ночью без задач/согласований |
| Пользователь/роль | Приоритизация проверок: админы и владельцы вверенных данных | Норма: ожидаемые роли; Флажок: расширенные права у рядовых аккаунтов |
| IP/география | Контроль удалёнки и доступов из других стран/городов | Норма: предсказуемые адреса/регион; Флажок: «скачущие» страны за день |
| Устройство/браузер | Отслеживание корпоративных и личных девайсов | Норма: повторяемые устройства; Флажок: постоянная ротация «новых» устройств |
| Метод авторизации | Оценка зрелости: пароль, SSO, 2FA, токены приложений | Норма: SSO/2FA; Флажок: входы паролем там, где 2FA обязательно |
| Результат/причина ошибки | Поиск брутфорса, блокировок, неверных токенов интеграций | Норма: редкие ошибки; Флажок: серии отказов по одному пользователю/IP |
Если вы делаете регулярную проверку авторизаций в Битрикс24 и фиксируете свои «нормы» (например, часовые окна и белые IP), разбор журнала занимает минуты, а не полдня.
Как отличить штатный вход от подозрительной активности
Картина складывается из повторяемости. Чем более предсказуемы устройства и время, тем проще ловить аномалии.
- Один аккаунт заходит из разных стран в течение 2–3 часов — почти всегда прокси/компрометация.
- Входы администратора ночью с метода «пароль» без 2FA — высокий риск, даже если IP «знакомый».
- Сервисный пользователь интеграции не заходил месяцами — и вдруг «успешные входы браузером».
- Серии неудачных попыток со схожих IP против нескольких сотрудников — признак перебора паролей.
- Смена устройства у ключевого менеджера в пиковый день продаж без предварительных уведомлений.
Хороший признак — когда у сотрудников видны редкие уведомления о «новом устройстве», и они подтверждаются комментариями в задачах («сменил ноутбук», «работаю из командировки»). А вот молчаливые «новые браузеры» по критичным ролям — это повод замораживать доступы до выяснения.
На практике чаще всего три сценария: забытые активные сессии после увольнения, сервисные учетные записи без 2FA и «размытые» права, когда менеджер может всё. Все три лечатся политиками и регулярным обзором журнала входов Битрикс24.
Что настроить, чтобы контроль входов работал регулярно
Во-первых, обязательная двухфакторная авторизация для администраторов и руководителей, а лучше — для всех. Это снижает ценность украденного пароля почти до нуля. Во-вторых, по возможности включите SSO через корпоративный провайдер: единые правила паролей, отзыв доступа одним кликом и меньше разноса «теневых» учёток.
Далее — разграничение прав и отдельные сервисные пользователи под интеграции. Не «всемогущий» общий логин, а несколько узких: телефония, BI, рассылки. Так вы видите в журнале, кто именно ходит, и быстрее отрубаете только лишнее. Если интегратор закончил работу — закрывайте его доступы и токены в тот же день, а не «после релиза».
Сохраните фильтры в журнале: «Админы за 24 часа», «Ошибки входа за неделю», «Новые устройства за 7 дней». Назначьте ответственного, который раз в N дней просматривает сохранённые выборки и оставляет короткий отчёт. Это дисциплинирует и уменьшает зависимость от «героев-админов».
И ещё: настройте время жизни сессий и проверьте, что почтовые уведомления о входе с нового устройства приходят сотрудникам. Если эти уведомления тонут в общем ящике, заведите отдельное правило/метку. Это мелочь, но с ней вы быстрее замечаете аномалии.
Как выстроить чек-лист безопасности для отдела продаж
Ежедневно: короткий обзор входов администраторов и руководителей за последние 24 часа, проверка серий неудачных попыток и «новых устройств» у ключевых аккаунтов. Если что-то выглядит нетипично — временная блокировка доступа и звонок пользователю. Одно правило: быстрее остановить, чем расследовать утечку.
Еженедельно: сравните географию входов с командировками, закройте висящие сессии «без движения», пройдитесь по сервисным пользователям: использовались ли они по назначению, не появились ли ручные входы браузером. Сохраните и приложите в чат админов скрин с основными фильтрами — чтобы был общий контекст.
Ежемесячно: ревизия ролей и прав: кто стал администратором «временно» и остался навсегда, где 2FA отключена «на пару дней», какие IP в белом списке устарели. Перегенерируйте ключи интеграций, если срок давно не меняли, и проверьте, что история входов в Битрикс24 не хранит сюрпризы по ночам.
После увольнений/перестановок: немедленно закрывайте активные сессии, меняйте пароли сервисных аккаунтов, удаляйте лишние вебхуки. Это триггеры, которые нельзя откладывать до плановой проверки.
Если нужно быстро навести порядок и выстроить понятные правила, действуйте просто: запросите аудит журнала авторизаций и внедрите 2–3 базовые политики доступа. Готовы помочь: проведём диагностику и настроим защиту «под ваш процесс» — от MFA до отчётности. Обратитесь в AMSALES за внедрением Битрикс24 https://amsales.ru/services/crm/ или настройкой автоматизаций и интеграций https://amsales.ru/services/integracii/ — покажем на примере, как организовать контроль входов в Битрикс24 без лишних действий.
