Информационная безопасность в событиях в StaffCop Enterprise. Часть 2

Информационная безопасность в событиях в StaffCop Enterprise. Часть 2

Аналитическая система StaffCop Enterprise собирает данные и упорядочивает их в события. В статье рассказывается, какие угрозы информационной безопасности попадают в события, какие действия возможны для событий разных типов, а также как влиять на угрозы.

 

 

 

 

 

  1. Введение
  2. События ИБ в StaffCop Enterprise
    1. 2.1. Вход/выход из системы
    2. 2.2. Время активности
    3. 2.3. Ввод с клавиатуры
    4. 2.4. Запись с микрофона
    5. 2.5. Снимок с веб-камеры
    6. 2.6. Снимок экрана
    7. 2.7. Видео рабочего стола и удаленное управление
    8. 2.8. Установка программного обеспечения
    9. 2.9. Реестр софта
    10. 2.10. Устройства
    11. 2.11. Реестр оборудования
  3. Выводы

 

Введение

Материал описывает преимущества событийной архитектуры и упорядочивает представления о видах событий в аналитической системе StaffCop Enterprise.

В первой части обзора мы рассказали о событиях в области файлов и интернета. Сейчас читатели узнают о событиях, которые связаны с пользовательской активностью, учетом программ и оборудования.

Для удобства ссылок события получили порядковые номера и стали сгруппированы по тематике.

 

События ИБ в StaffCop Enterprise

Вход/выход из системы

Факты входа и выхода пользователя из системы заносятся в лог StaffCop Enterprise. Информация помогает администратору системы в решении задач расследования инцидентов информационной безопасности и учета рабочего времени пользователей.

 

Рисунок 1. Зафиксированные факты входа и выхода из системы в StaffCop Enterprise

Зафиксированные факты входа и выхода из системы в StaffCop Enterprise

Время активности

Система формирует онлайн-отчеты в браузере администратора. Отчеты показывают активность пользователя за компьютером в течение всего дня.

Администратор видит время прихода и ухода пользователя с рабочего места. Отдельным показателем отображается время простоя компьютера.

Для сравнения пользователей между собой администратор использует отчеты. Сводный отчет содержит в себе Топы по времени опозданий, переработки и активности на рабочих местах. Топы позволяют быстро выявить самых продуктивных и непродуктивных сотрудников.

 

Рисунок 2. Время активности в StaffCop Enterprise

Время активности в StaffCop Enterprise

 

Активность делится на виды приложений. Работа в текстовом или табличном редакторе относится к виду «Офисные приложения» и условно обозначается как продуктивная. Работа пользователя, например, в приложении solitare.exe будет отнесена к непродуктивной деятельности.

Виды и названия приложений сортируются в список по популярности. Администратор понимает, какое приложение пользуется популярностью у пользователя.

При необходимости списки приложений и сайтов изменяются и дополняются.

Группа отчетов для учета рабочего времени содержит наибольшее число вариаций среди групп отчетов Staffcop Enterprise.

Ввод с клавиатуры

Нажатые клавиши сохраняются в логе системы (если эта опция была включена). Когда сотрудник увольняется, то у работодателя не возникнет проблем с восстановлением логинов и паролей к рабочим учетным записям.

 

Рисунок 3. Ввод с клавиатуры в StaffCop Enterprise

Ввод с клавиатуры в StaffCop Enterprise

 

В системе настраиваются оповещения по стоп-словам. Комбинации с применением функциональных клавиш Cmd, Ctrl, Alt, Shift выделяются отдельно.

Например, можно увидеть все перехваченные файлы, которые были созданы на рабочих станциях пользователей с помощью клавиши Print Screen.

Для ведения лога нажатых клавиш — включите модуль «Ввод с клавиатуры» в конфигурации сервера.

Стандартные фильтры-словари по нескольким тематикам позволяют выявить сотрудников, которые нарушают дисциплину в команде.

Эти события системы можно выделить в особую категорию инцидентов и получать оперативные сведения о том, что происходит не только в рабочем поле деятельности компании, но и понимать настроение коллектива. Анализ позволяет оперативно решать еще не возникшие проблемы и повышать эффективность работы и улучшать микроклимат в коллективе.

Начиная с версии 4.2, события «Нажатия клавиш» можно сопоставить с «URL» или «Именами сайтов», на которых эти нажатия клавиш происходили, тем самым значительно ограничив область поиска.

Запись с микрофона

Прослушивание записей окружающего звука дает представление о занятиях сотрудников в рабочее время. Запись покажет, кто работает, кто болтает, а кто «сливает» информацию. При расследовании инцидентов администратор сопоставляет звук с другими событиями на компьютере пользователя с помощью конструктора отчетов и может восстановить картину происходивших событий на компьютере пользователя.

 

Рисунок 4. Записи с микрофона в StaffCop Enterprise

Записи с микрофона в StaffCop Enterprise

 

Запись звука начинается по расписанию, которое задает администратор, или в нужный момент по реакции на превышение шумового порога.

Чтобы сохранять записи, необходимо включить модуль «Запись с микрофона».

Снимок с веб-камеры

Взгляд на рабочее место пользователя подтвердит факт его наличия или отсутствия в период рабочего времени. Это особенно важно при расследовании событий информационной безопасности в системе.

Администратор может сделать вывод о состоянии, работоспособности и производительности пользователя. Для снимков доступна настройка разрешения и интервал захвата.

 

Рисунок 5. Снимки с веб-камер в StaffCop Enterprise

Снимки с веб-камер в StaffCop Enterprise

 

По умолчанию после активации этого модуля снимки с веб-камеры будут производиться в моменты входа и выхода пользователя из системы.

Снимок экрана

Система сохраняет снимки экрана с компьютера пользователя. Администратор сопоставляет снимки экрана с записями активности пользователя, логами копирования информации или подключения устройств.

Для сохраняемых скриншотов администратор задает интервал захвата и качество. При снятии их с нескольких дисплеев на одном компьютере снимки склеиваются в один.

 

Рисунок 6. Скриншот экрана в StaffCop Enterprise

Скриншот экрана в StaffCop Enterprise

 

Доступен «особый контроль» для снятия скриншотов — он позволяет настроить интервал создания снимков для приложений, указанных в правиле, и снимать скриншоты при использовании этих приложений чаще, чем обычно.

Также снимки экрана можно делать и при смене активного окна приложения.

Начиная с версии 4.2, снимки экрана можно связать с событием «URL» или «Адрес сайта», что позволяет дополнительно отфильтровать полученные данные.

Видео рабочего стола и удаленное управление

Видеозапись экранов пользователей ведется непрерывно после включения опции в конфигурации системы. Администратор воспроизводит записи за промежуток времени по нажатию на кнопку Play прямо в веб-интерфейсе. Несколько экранов, подключенных к компьютеру, склеиваются в одну видеозапись.

 

Рисунок 7. Просмотр видео рабочего стола в StaffCop Enterprise

Просмотр видео рабочего стола в StaffCop Enterprise

 

При включении опции «Удаленное управление» система позволяет подключаться к компьютеру пользователя и наблюдать за его действиями в режиме онлайн. Подключение происходит к рабочим столам и вне локальной сети. Администратор может переключаться между несколькими рабочими столами для наблюдения.

Удаленное подключение незаметно для пользователя, при необходимости можно перехватить управление удаленным рабочим столом, а если возникла внештатная ситуация, можно осуществить блокировку удаленного рабочего места.

Установка программного обеспечения

В список событий «Установка ПО» попадают события установки и удаления программ.

 

Рисунок 8. Список событий типа «Установка ПО» в StaffCop Enterprise

Список событий типа «Установка ПО» в StaffCop Enterprise

 

Отслеживая такие события, администратор обнаруживает несанкционированные установки и удаления программ на компьютере пользователя.

Можно настроить уведомления, оповещающие, когда подобные события происходят на рабочих станциях пользователей.

Реестр софта

Событие «Реестр софта» позволяет получать актуальную информацию об установленных программах на рабочей станции пользователя.

 

Рисунок 9. Реестр софта в StaffCop Enterprise

Реестр софта в StaffCop Enterprise

 

Система сохраняет в логе установленные программы, которые установлены на компьютере в момент формирования отчета.

Список учета программ показывает программные модификации компьютера. Администратор выявляет несоответствия после сверки списка.

Устройства

В список событий «Устройства» попадают все устройства, которые подключаются к компьютеру по шине USB. В логе системы устройства сохраняются под уникальным HID, с помощью которого система выстраивает маршрут подключений.

 

Рисунок 10. События типа «Устройства» в StaffCop Enterprise

События типа «Устройства» в StaffCop Enterprise

Администратор может увидеть, в какие компьютеры подключалась конкретная флешка или жесткий диск, и составить отчет на основе этих данных или продолжить расследование, если подключения нарушают политику компании.

Реестр оборудования

В отличие от списка устройств, событие «Реестр оборудования» — не отчет с онлайн-обновлением. Система сохраняет в логе аппаратное обеспечение рабочей станции пользователя, которое подключено к компьютеру в момент формирования отчета. В лог системы кроме внешних устройств попадают и внутренние компоненты системного блока компьютера.

 

Рисунок 11. Реестр оборудования в StaffCop Enterprise

Реестр оборудования в StaffCop Enterprise

 

Список учета компонентов и оборудования показывает аппаратные модификации компьютера. Администратор выявляет несоответствия после сверки списка.

 

Выводы

События информационной безопасности StaffCop Enterprise отслеживают пользовательскую активность, учитывают изменения в наборе программ и периферийного оборудования.

Администратор может отследить местонахождение и действия пользователя в течение рабочего дня, месяца, года с точностью до секунды.

Офицер безопасности получит уведомления, если пользователь самостоятельно попытается установить программу или подключить устройство без санкции на это.

23 типа событий аналитической системы StaffCop Enterprise станут полезным инструментом в руках специалиста по информационной безопасности при правильной настройке и регулярном мониторинге.

Бесплатно скачать полифункциональную версию на 5 агентов можно на сайте производителя.

Полезные ссылки: 
Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новые статьи на Anti-Malware.ru