VIDEO
HIGHLIGHT
Log InSign up
Блок 2. Обзор возможностей InfoWatch Device Monitor for Windows
SummaryTranscriptChat

Блок 2. Обзор возможностей InfoWatch Device Monitor for Windows

Introducción al Dispositivo Monitor

Configuración Inicial

  • El dispositivo monitor es una aplicación cliente-servidor que requiere la instalación de una consola de gestión en un PC con Windows 7 o superior. La consola se inicia desde el escritorio o el menú de inicio.
  • Se debe especificar la dirección del servidor al que se desea conectar, utilizando "Local Host" si la consola está instalada en el mismo equipo que el servidor.

Interfaz de Usuario

  • Al ingresar a la consola, se presenta un menú principal que da acceso a las funciones básicas del sistema y una barra de navegación para interactuar con diferentes secciones.
  • La interfaz incluye paneles como:
  • Panel detallado para información específica sobre elementos seleccionados.
  • Panel de cambios en la seguridad mostrando modificaciones no guardadas.
  • Panel de registro para mensajes del sistema sobre acciones realizadas por los usuarios.

Gestión de Usuarios y Roles

Administración de Usuarios

  • En la sección "Usuarios y Roles", se puede ver un usuario creado durante la instalación. Es posible añadir nuevos usuarios desde Active Directory o crear cuentas manualmente.
  • Los roles predefinidos incluyen:
  • Administrador: gestiona cuentas de usuario.
  • Oficial de Seguridad: configura el sistema y monitorea eventos, pero sin capacidad para crear políticas.

Creación y Asignación de Roles

  • Al crear un nuevo rol, se define su tipo (grupo específico o general), lo cual determina las acciones permitidas y privilegios asociados a dicho rol.
  • Las opciones incluyen gestión de grupos, agentes en computadoras individuales, sincronización e importación/exportación de configuraciones.

Acceso Temporal y Configuraciones

Acceso Temporal

  • Se puede configurar acceso temporal a recursos fuera del perímetro corporativo bajo circunstancias excepcionales, como viajes laborales donde se necesita conexión Wi-Fi externa.

Importación/Exportación de Configuraciones

  • Para evitar repetir configuraciones en servidores auxiliares, es posible importar configuraciones desde un servidor principal tras realizar ajustes necesarios.

Ajustes del Sistema

Configuración General

  • Las configuraciones principales abarcan parámetros como:
  • Frecuencia con que los agentes envían notificaciones al servidor (600 segundos).
  • Intervalos para verificar disponibilidad del servidor y cambios en esquemas de seguridad.

Control y Comportamiento del Agente

  • Se pueden establecer límites sobre el espacio en disco disponible para copias temporales almacenadas por los agentes cuando pierden conexión con el servidor.

Configuración de Seguridad y Monitoreo en la Red Corporativa

Actualización del Clave de Acceso

  • Se menciona la importancia de actualizar el clave de formación de códigos para proporcionar acceso temporal a los empleados, lo que mejora la seguridad del sistema.

Conexión a la Red Corporativa

  • El monitor del empleado solo puede conectarse a direcciones IP dentro de un rango establecido y debe trabajar con Active Directory para acceder a recursos permitidos.

Frecuencia de Copias de Chat

  • Se establece cómo configurar la frecuencia para crear copias ocultas de chats, ya sea por tiempo o por cantidad de mensajes, para su análisis posterior.

Control sobre Aplicaciones en la Red

  • Es posible agregar servidores que se excluirán del monitoreo o incluir aquellos que deben ser interceptados. Esto se configura mediante una descripción, dirección IP y puerto.

Notificaciones al Empleado

  • Se pueden personalizar las notificaciones enviadas a los empleados sobre eventos específicos como prohibiciones de acceso o escritura en dispositivos. También se puede habilitar o deshabilitar estas notificaciones según el evento.

Exclusiones en el Monitoreo

  • Se permite excluir aplicaciones específicas del monitoreo, principalmente sistemas operativos Windows y Linux, para evitar sobrecargar al oficial de seguridad con eventos irrelevantes.

Modos de Ejecución: Listas Blancas y Negras

  • La configuración permite elegir entre listas blancas (solo aplicaciones permitidas pueden ejecutarse) y listas negras (se prohíben ciertas aplicaciones), asegurando que las reglas sean efectivas solo cuando están activadas.

Captura Automática de Pantallas

  • Se puede programar la creación automática de capturas cuando no hay actividad durante un periodo específico. La calidad visual puede ajustarse según las necesidades del monitoreo intensivo.

Intercepción del Teclado

  • Las condiciones bajo las cuales se registran entradas desde el teclado incluyen tiempos específicos, número mínimo de caracteres ingresados o combinaciones específicas. Estas condiciones son evaluadas lógicamente.

Almacenamiento y Gestión de Eventos

  • Los parámetros para almacenar eventos incluyen decisiones sobre eliminar eventos procesados o enviados al tráfico monitor. Es crucial establecer un periodo adecuado para evitar el crecimiento indefinido del almacenamiento.

Configuración del Servidor Device Monitor

  • Detalles sobre cómo configurar el servidor Device Monitor incluyen especificar cuántas copias ocultas manejará simultáneamente y cómo operar en modo autónomo si no hay conexión con Traffic Monitor.

Integración con Traffic Monitor

  • Para integrar correctamente Device Monitor con Traffic Monitor, es necesario salir del modo autónomo e ingresar los detalles correctos como dirección IP y token obtenido desde la consola correspondiente.

Integración y Configuración de Monitores en la Plataforma Infowatch

Conexión a la Plataforma

  • Se discute cómo configurar el tráfico monitor para eventos pendientes de envío y procesamiento, así como errores. La integración con el dispositivo monitor se realiza mediante ajustes específicos.
  • Es necesario especificar la dirección del servidor y el token de la plataforma para recibir comandos desde Activity Monitor. Esto requiere habilitar opciones específicas.

Sincronización de Políticas

  • Se establece la sincronización de políticas entre Traffic Monitor y Fix Monitor, indicando la dirección IP del servidor Traffic Monitor para obtener configuraciones actualizadas.
  • Se verifica que la versión de configuración (número 29) sea correcta en ambos monitores, asegurando que las actualizaciones se realicen adecuadamente.

Configuración de Estatus de Agentes

  • Se configura el estatus de actividad de los agentes, incluyendo periodicidad y color del estatus. Los parámetros son editables a través de una interfaz gráfica.
  • Para modificar los parámetros del estatus, se selecciona una fila correspondiente y se accede a un menú donde se pueden ajustar los tiempos y colores.

Distribución Automática

  • El servicio de distribución permite crear directorios para distribuir agentes en estaciones laborales. Cuantas más ubicaciones haya, más rápido será el proceso.
  • Para añadir nuevas ubicaciones, es necesario instalar el servicio en otro ordenador; esto también registrará automáticamente el nuevo punto en el sistema.

Actualización Automática

  • Se puede habilitar y configurar la actualización automática para los agentes en estaciones laborales, definiendo frecuencia diaria o semanal.
  • Las opciones permiten establecer intentos fallidos antes de forzar una instalación o reinicio automático sin notificación al usuario.

Control y Envío de Datos

  • La duración del audio grabado puede ser ajustada al utilizar reglas específicas. También se configuran las plataformas a las que se enviarán eventos generados por estas reglas.
  • Existen configuraciones predeterminadas para evitar duplicación al enviar datos a diferentes plataformas; por ejemplo, evitando envíos redundantes entre Traffic Monitor y otras herramientas.

Paneles e Interfaz

  • En la consola del dispositivo monitor, se revisan las opciones para excluir tráfico no deseado mediante listas específicas que evitan ciertos URL.

Validación de URLs y Gestión de Excepciones

Proceso de Validación de URLs

  • Se menciona la funcionalidad de Google para verificar la validez de expresiones regulares en campos específicos, como la validación de direcciones URL.
  • Al ingresar una URL como "google.com" y presionar el botón "verificar", se confirma que la validación fue exitosa.

Gestión de Excepciones

  • Para guardar excepciones, se utiliza el botón "guardar". También se pueden editar, eliminar, importar o exportar listas de excepciones.
  • Se puede crear listas específicas de recursos web que serán utilizados para establecer reglas sobre capturas de pantalla y control del teclado.

Adición y Control de Recursos Web

  • Para añadir un nuevo recurso web, se selecciona "Agregar lista recursos" e ingresamos un nombre como "video hósting".
  • Al agregar un recurso, se debe especificar el tipo (dominio o URL), por ejemplo, al introducir "youtube.com".

Configuración y Monitoreo

Funcionalidades del Dispositivo Monitor

  • El dispositivo monitor intercepta lecturas y escrituras en archivos por parte de aplicaciones. Las secciones para aplicaciones y sistemas operativos están inicialmente vacías.
  • Se recomienda utilizar configuraciones preparadas para bloqueos. Para importar estas configuraciones, hay que seleccionar herramientas e indicar el archivo correspondiente.

Creación y Edición de Perfiles

  • Para añadir un perfil propio a una aplicación (ejemplo: Notepad), es necesario especificar su nombre y otros parámetros relevantes.
  • Similarmente, al agregar un perfil para sistemas operativos (ejemplo: Windows 11), se deben ingresar detalles como nombre del sistema operativo y números de versión.

Configuración Tecnológica

Edición en Tecnología Bloqueada

  • En la sección dedicada a tecnologías bloqueadas, es posible agregar o modificar configuraciones relacionadas con aplicaciones específicas (ejemplo: WhatsApp Desktop).
  • La configuración incluye opciones sobre qué tipos de archivos no interceptar o permitir según su extensión o ubicación.

Registro y Análisis de Eventos

  • Los eventos registrados son almacenados por el dispositivo monitor. Solo se conserva información sobre los eventos ocurridos.
  • Los datos son enviados al servidor Traffic Monitor donde pueden ser organizados según diferentes criterios como fecha o tipo evento.

Filtrado y Visualización

Uso Efectivo del Filtro

  • En Traffic Monitor es posible aplicar filtros para limitar el rango visible a eventos específicos mediante selección en columnas.
  • También existe la opción para crear filtros personalizados estableciendo rangos deseados.

Registro Detallado del Usuario

  • El registro permite observar las acciones realizadas por los usuarios bajo monitoreo. Esto incluye información sobre hardware/software instalado.

Creación de Listas Personalizadas

  • Se pueden formar listas personalizadas basadas en las aplicaciones utilizadas durante las sesiones laborales. Por ejemplo, creando una lista llamada “aplicaciones oficina”.

Instalación y Configuración de Aplicaciones

Agregar Aplicaciones Manualmente

  • Se explica cómo instalar una aplicación en el ordenador y agregarla manualmente a la lista, enfatizando la importancia de especificar la extensión y el nombre correcto del archivo. Se utiliza como ejemplo el "notepad.exe".

Formatos de Archivos y Categorías

  • Se discuten los formatos de archivos que puede manejar el dispositivo monitor, mencionando que no se pueden añadir nuevos formatos, ya que la detección se basa en las firmas de los archivos.

Gestión de Dispositivos Excluidos

  • Se aborda la creación de listas blancas para dispositivos, permitiendo excepciones en políticas restrictivas. Por ejemplo, se menciona un caso donde se permite el uso del CD/DVD para un empleado específico.

Selección y Confirmación de Dispositivos

  • El proceso para seleccionar un dispositivo específico mediante filtros es detallado. Una vez seleccionado, se debe confirmar su inclusión en la lista blanca.

Modificación del Acceso Temporal

  • Se describe cómo establecer un período de validez para las excepciones creadas, lo cual es útil para otorgar acceso temporal a dispositivos específicos según necesidades laborales.

Gestión de Grupos y Políticas

Integración con Directorios Activos

  • Al integrar con Active Directory, se puede visualizar una jerarquía de grupos informáticos y asignar políticas específicas a cada grupo.

Asignación Única de Políticas

  • Cada grupo informático solo puede tener una política asignada. Esto limita las configuraciones pero simplifica la gestión.

Personalización del Comportamiento del Agente

  • Es posible redefinir parámetros operativos del agente en computadoras específicas, como velocidad máxima o visibilidad al usuario final.

Diagnóstico y Mantenimiento del Agente

  • La funcionalidad diagnóstica permite verificar el estado operativo del agente mediante logs e información detallada sobre su funcionamiento.

Políticas para Empleados

Jerarquía entre Políticas Asignadas

  • Las políticas asignadas a grupos de empleados pueden entrar en conflicto con aquellas asignadas a grupos informáticos. Es crucial entender cuál prevalece al aplicar reglas a un empleado específico.

Visualización de Políticas Resultantes

Políticas de Seguridad y Monitoreo de Dispositivos

Prioridades en Políticas de Seguridad

  • La política asignada a un empleado permite el uso de dispositivos externos, mientras que la política del computador lo prohíbe. Esto significa que el empleado no podrá usar dispositivos externos en ese computador.

Excepciones en Políticas

  • Se pueden hacer excepciones explícitas para permitir el uso de ciertos dispositivos o aplicaciones, priorizando así las políticas que permiten su uso.

Configuración del Monitor de Dispositivos

  • El monitor de dispositivos controla las acciones realizadas por los empleados en sus estaciones de trabajo mediante un conjunto de reglas. Las políticas se asignan automáticamente desde Active Directory.

Creación y Gestión de Reglas

  • Al crear una regla, como la del monitor de aplicaciones, se puede prohibir el lanzamiento de ciertas aplicaciones activando opciones específicas.
  • Se puede elegir entre listas blancas o negras para definir qué aplicaciones están permitidas o prohibidas.

Restricciones Adicionales

  • Es posible restringir el uso del portapapeles entre estaciones o para ciertas aplicaciones, así como prohibir la impresión en determinadas circunstancias.

Control y Monitoreo Avanzado

Grabación y Monitoreo Ambiental

  • La regla "Audio Record Control" permite grabar el sonido ambiental al visitar sitios web específicos, con compatibilidad para varios navegadores.

Monitoreo del Almacenamiento en Nube

  • La regla "Cloud Storage Monitor" controla cómo los usuarios interactúan con servicios como Google Drive y Dropbox, permitiendo ajustar niveles individuales de acceso.

Limitaciones sobre Dispositivos Conectados

  • Se pueden establecer restricciones sobre qué tipos de dispositivos pueden ser utilizados por los empleados, con opciones específicas según el tipo (por ejemplo: solo lectura).

Gestión Detallada de Archivos

Copias Sombra y Transferencias

  • La regla "File Monitor" permite obtener copias sombra de archivos transferidos a medios extraíbles o recursos compartidos durante sesiones terminales.

Control sobre Operaciones con Archivos

  • El "File Operations Monitor" permite controlar operaciones específicas (lectura/escritura) dentro aplicaciones seleccionadas como navegadores y mensajería instantánea.

Monitoreo y Control de Actividades en la Red

Protocolo FTP y Reglas de Monitoreo

  • Se pueden establecer direcciones FTP específicas para las cuales se aplican reglas, permitiendo restricciones sobre el tamaño de los archivos transferidos.
  • El monitoreo HTTP/HTTPS permite crear copias "sombras" de las actividades del usuario en Internet, con opciones para excluir recursos internos y decidir si interceptar tráfico solo HTTPS o ambos protocolos.

Monitoreo de Mensajería Instantánea

  • El "Client Monitor" controla el uso de mensajeros como Skype, Telegram y WhatsApp, permitiendo la creación automática de copias del tráfico entrante.
  • Existen restricciones específicas según el mensajero; por ejemplo, solo Skype permite copiar tráfico de voz. También se debe considerar la compatibilidad con diferentes sistemas operativos.

Captura de Teclado y Pantallas

  • El "Cyborg Monitor" puede interceptar entradas del teclado en cualquier aplicación o recurso web, además permite configurar la captura de pantallas al crear eventos.
  • El "Mail Monitor" supervisa el envío y recepción de correos electrónicos a través de varios protocolos (SMTP, POP3), permitiendo restricciones sobre qué correos deben ser copiados.

Control General del Tráfico

  • Se pueden imponer límites sobre el tamaño máximo del tráfico interceptado. Además, se puede restringir la transmisión a conexiones corporativas autorizadas.
  • El "Print Monitor" supervisa las operaciones relacionadas con la impresión en impresoras locales y en red, permitiendo definir qué documentos deben ser copiados.

Estadísticas y Ejecución de Políticas

  • La regla "Statistics" recopila datos sobre la actividad del usuario sin mostrarlos en consola. Los datos son enviados a una plataforma si está configurada correctamente.
  • Se demostró cómo agregar reglas a una política existente para prohibir aplicaciones específicas y habilitar capturas automáticas de pantalla.

Implementación Práctica

  • Para implementar nuevas reglas, se selecciona una política existente y se crean nuevas reglas utilizando herramientas como "Application Monitor".
  • Las configuraciones deben guardarse para que entren en vigor; esto incluye cambios en esquemas de seguridad que afectan a dispositivos específicos.

Implementación de Políticas de Seguridad y Monitoreo

Introducción a la Política de Seguridad

  • Se discute la implementación de reglas que han entrado en vigor, lo que afecta el lanzamiento de aplicaciones como Notepad.
  • Se menciona un intento fallido de abrir Notepad debido a restricciones impuestas por la política de seguridad.

Captura de Pantallas

  • El presentador accede a una consola para monitorear las capturas de pantalla tomadas cada 10 segundos.
  • Se observa que hay muchas capturas similares debido a la alta frecuencia establecida para su obtención.

Uso del Sistema Device Monitor

  • Se inicia una discusión sobre cómo instalar el Agente Device Monitor en estaciones de trabajo, mencionando diferentes métodos disponibles.
  • Se explican los pasos para crear un paquete de instalación utilizando políticas grupales o instalándolo directamente en la estación.

Proceso Detallado para Instalar el Agente

  • El presentador describe cómo seleccionar tareas específicas dentro del sistema para facilitar la instalación del agente.
  • Se detalla cómo elegir computadoras o grupos específicos donde se instalará el agente, incluyendo opciones avanzadas como importar direcciones IP.

Configuración Avanzada del Agente

  • La configuración incluye seleccionar servidores Device Monitor y establecer prioridades para asegurar conectividad.
  • Se discuten parámetros adicionales como certificados y configuraciones proxy necesarias para interceptar solicitudes HTTP/HTTPS.

Protección y Configuraciones Finales

  • El presentador menciona la importancia de establecer contraseñas para proteger contra desinstalaciones no autorizadas.

Proceso de Instalación del Agente

Configuración Inicial

  • Se establece un intervalo para notificar a los empleados sobre la necesidad de reiniciar sus estaciones de trabajo, lo cual es crucial para que el Agente funcione correctamente.
  • Es importante decidir si se debe advertir al empleado antes de realizar una reinicialización forzada del sistema.
  • Se recomienda mantener los parámetros por defecto durante la instalación del Agente y proceder con el siguiente paso.

Verificación y Finalización

  • Después de configurar los parámetros, se verifica su correcta instalación; si todo está en orden, se procede a finalizar la configuración.
  • El proceso de instalación comienza y se puede observar el estado actual en una ventana dedicada. Inicialmente, el estado es "preparación".
Video description

00:02 Введение в Device Monitor 00:57 Интерфейс консоли управления 02:48 Пользователи и роли 04:39 Временный доступ и импорт/экспорт конфигурации 06:35 Основные настройки Device Monitor 10:23 Корпоративная сеть и перехват мессенджеров 12:43 Уведомления и исключение приложений 14:38 Контроль приложений и снимки экрана 16:31 Перехват ввода с клавиатуры 17:25 Логические события и параметры хранения 18:26 Настройки сервера девайс монитор 21:01 Подключение к платформе и интеграция 24:14 Статусы активности и точки распространения 27:07 Автоматическое обновление агентов 29:26 Перехват звукового окружения и отправка данных 31:01 Панель навигации и исключения 34:55 Блокада приложений и операционных систем 37:28 Идентификация операционной системы 39:49 Безопасность событий 41:50 Журнал действий 43:00 Списки приложений 45:33 Категории сигнатур 46:27 Белые списки устройств 49:09 Группы компьютеров 54:02 Группы сотрудников 56:49 Введение в политики безопасности 57:41 Создание правил в политике 01:00:02 Дополнительные правила 01:01:44 Ограничение доступа к устройствам 01:03:31 Контроль копирования файлов 01:05:18 Контроль операций с файлами 01:07:08 Контроль передачи данных по FTP 01:08:03 Контроль использования мессенджеров 01:09:56 Перехват ввода текста 01:11:02 Контроль электронной почты 01:12:08 Контроль сетевых соединений 01:13:07 Контроль печати 01:13:03 Контроль снимков экрана 01:16:25 Создание и настройка правил безопасности 01:17:20 Проверка схемы безопасности на рабочей станции 01:18:41 Получение и анализ скриншотов 01:20:57 Установка агента Device Monitor 01:24:02 Настройка параметров установки 01:28:18 Завершение установки 01:30:07 Итоги установки