VIDEO
HIGHLIGHT
Log InSign up
Блок 2. Обзор возможностей InfoWatch Device Monitor for Windows
SummaryTranscriptChat

Блок 2. Обзор возможностей InfoWatch Device Monitor for Windows

Introductie tot Device Monitor

Wat is Device Monitor?

  • Device Monitor is een client-server applicatie die een beheersconsole vereist op een Windows 7 of hoger systeem.
  • De beheersconsole kan worden geopend via een snelkoppeling op het bureaublad of via het startmenu.

Verbinding met de Server

  • Bij het starten van de console moet het serveradres worden opgegeven; in dit geval wordt 'Local Host' gebruikt.
  • Inloggegevens zijn nodig, waaronder een gebruikersnaam en wachtwoord, om toegang te krijgen tot de interface.

Interface Overzicht

  • De interface bevat een hoofdmenu voor toegang tot functies, navigatiepanelen en werkgebieden die veranderen afhankelijk van de geselecteerde sectie.
  • Er zijn verschillende panelen zoals:
  • Detailpaneel: toont gedetailleerde informatie over geselecteerde elementen.
  • Beveiligingsschema paneel: toont niet-opgeslagen wijzigingen door de huidige gebruiker.
  • Console logboek paneel: geeft systeemmeldingen weer.

Beheer van Gebruikers en Rollen

Gebruikersbeheer

  • Er is één gebruiker aangemaakt tijdens de installatie; nieuwe gebruikers kunnen worden toegevoegd vanuit Active Directory of handmatig.
  • Rollen kunnen aan gebruikers worden toegewezen, zoals 'Administrator' of 'Security Officer', met specifieke bevoegdheden.

Roltoewijzing

  • Bij het creëren van rollen kan men kiezen tussen groepsrollen of algemene rollen, afhankelijk van hun toepassing.
  • Specifieke privileges kunnen worden ingesteld voor elke rol, inclusief beheerrechten over agenten en auditlogs.

Tijdelijke Toegang en Configuratiebeheer

Tijdelijke Toegang Instellen

  • Het systeem kan zo worden ingesteld dat medewerkers tijdelijk toegang krijgen tot externe netwerken wanneer dat nodig is (bijvoorbeeld tijdens zakenreizen).

Importeren en Exporteren van Configuraties

  • Organisaties kunnen configuraties importeren vanuit hoofdsystemen naar subservers om herhaling te voorkomen bij instellingen.

Systeeminstellingen voor Device Monitor

Basisinstellingen

  • Belangrijke instellingen omvatten verbindingsparameters tussen agenten en servers, zoals frequentie van meldingen (600 seconden).

Controle Mechanismen

  • Er zijn opties voor controle over schijfruimte op agenten; bij verlies van verbinding moeten er richtlijnen zijn voor opslagcapaciteit.

Logboekinstellingen

Instellingen voor Toegang en Beveiliging

Sleutelbeheer en Netwerksegmentatie

  • De sleutel voor het genereren van codes moet regelmatig worden bijgewerkt om tijdelijke toegang te bieden aan medewerkers, wat de beveiliging van het systeem verhoogt.
  • Het apparaat kan alleen verbinding maken met het bedrijfsnetwerk via specifieke IP-adressen en Active Directory-instellingen, wat helpt bij het beheren van toegangsrechten.

Monitoring en Analyse

  • Er kan een frequentie worden ingesteld voor het maken van chatkopieën die naar analyse worden verzonden; dit kan zowel op tijd als op basis van het aantal berichten gebeuren.
  • Servers kunnen worden toegevoegd of uitgesloten van monitoring, afhankelijk van de noodzaak om bepaalde gebeurtenissen vast te leggen of niet.

Meldingen en Uitsluitingen

  • Meldingen kunnen worden aangepast voor verschillende soorten gebeurtenissen zoals toegangsovertredingen; ook kan de zichtbaarheid van deze meldingen voor medewerkers in- of uitgeschakeld worden.
  • Uitsluitingen zijn voornamelijk gericht op systeembestanden, maar er is ruimte om andere applicaties toe te voegen om onnodige belasting te voorkomen.

Applicatiebeheer en Schermopnames

Witte en Zwarte Lijsten

  • De modus voor applicatiecontrole kan ingesteld worden op 'witte' of 'zwarte' lijsten, waarbij alleen goedgekeurde applicaties mogen draaien in de witte lijstmodus.
  • Bepaalde regels moeten actief zijn voordat blokkering plaatsvindt; screenshots kunnen automatisch gemaakt worden bij inactiviteit.

Opslaginstellingen

  • Het is belangrijk om instellingen voor screenshotkwaliteit aan te passen afhankelijk van de observatiedoelen; hoge kwaliteit vereist meer opslagcapaciteit.

Invoermonitoring en Gegevensopslag

Voorwaarden voor Invoermonitoring

  • Specifieke voorwaarden moeten voldoen voordat toetsenbordinvoer wordt geregistreerd, zoals tijdslimieten of toetscombinaties.

Gegevensbeheer

  • Instellingen omtrent gegevensopslag omvatten hoe lang evenementen bewaard blijven en wanneer ze verwijderd moeten worden om schijfruimte vrij te houden.

Serverconfiguratie en Integratie

Serverinstellingen

  • Parameters zoals het aantal gelijktijdige agenten dat door de server wordt verwerkt kunnen geconfigureerd worden.

Integratie met Traffic Monitor

Integratie van Device Monitor met Traffic Monitor

Instellingen voor integratie

  • De integratie tussen Device Monitor en de Infowatch-platformen, zoals Activity Monitor, vereist specifieke serverinstellingen en een token voor het ontvangen van commando's.
  • Het is noodzakelijk om de serveradres en token van Activity Monitor in te voeren om de integratie correct uit te voeren.

Synchronisatie van beleid

  • Voor synchronisatie van beleidsregels met Traffic Monitor moet het IP-adres van de Traffic Monitor-server worden opgegeven, evenals het token voor configuratieversies.
  • De actuele versie (configuratie nummer 29) wordt weergegeven in zowel Traffic Monitor als Device Monitor, wat bevestigt dat de informatie-updates correct zijn uitgevoerd.

Activiteitsstatussen instellen

  • Bij het instellen van agentstatussen kan men parameters zoals naam, tijd sinds laatste contact en kleur definiëren.
  • Statusparameters kunnen worden bewerkt door op de statusregel te klikken; echter, de standaardkleur kan niet worden gewijzigd.

Verspreiding en Automatische Updates

Distro-punten creëren

  • Na installatie van de distributieservice worden er directories aangemaakt die dienen als verspreidingspunten voor agentupdates.
  • Extra verspreidingspunten kunnen worden toegevoegd door dezelfde service op andere computers te installeren; FTP of SMB-mappen kunnen ook handmatig distsributies bevatten.

Automatische update-instellingen

  • Er zijn opties beschikbaar om automatische updates in te schakelen met verschillende frequenties (bijv. dagelijks of wekelijks).
  • Parameters zoals aantal pogingen tot downloaden en welke computers uitgesloten moeten worden bij updates kunnen ook ingesteld worden.

Gegevensoverdracht en Regelinstellingen

Geluidsopname instellingen

  • De duur van audioregistraties kan ingesteld worden bij gebruik van Audio Record Control-regels.

Gegevensoverdracht naar producten

  • Gebruikers kunnen specificeren naar welke producten gebeurtenissen moeten worden verzonden; standaard is dit Traffic Monitor en het platform zelf.

Navigatiepaneel Instellingen

Uitsluitingen instellen

  • Het uitsluiten van ongewenste URL's in HTTP/HTTPS-verkeer kan gedaan worden door een nieuw lijstje aan te maken via een knop "Toevoegen".

Validatie van URL's en Bestandsmonitoring

Validatie van URL's

  • Google biedt een functie om de juistheid van reguliere expressies te controleren in het veld voor URL-validatie.
  • Na invoer van een URL, zoals google.com, kan de gebruiker op 'controleren' klikken om te bevestigen dat de validatie succesvol is.

Beheer van Uitzonderingen

  • Gebruikers kunnen uitzonderingen opslaan, bewerken, verwijderen of importeren/exporteren via een lijst met uitzonderingen.
  • Dit functionaliteit is specifiek ontworpen voor Infowatch Activity Monitor en Inf Prediction, waarmee gebruikers acties kunnen volgen die verband houden met bestanden.

Configuratie van Webbronnen

  • In dit gedeelte kunnen lijsten met webbronnen worden aangemaakt voor het instellen van regels voor screenshots en toetsenbordcontrole.
  • Voorbeeld: Een lijst met videohostings kan worden toegevoegd door op 'lijst toevoegen' te klikken en vervolgens de naam in te voeren.

Blokkadefunctionaliteit

  • De blokkadefunctionaliteit stelt apparaten in staat om het lezen en schrijven van bestanden door applicaties te monitoren.
  • Gebruikers kunnen zelf elementen aan deze lijsten toevoegen of gebruik maken van vooraf ingestelde configuraties voor blokkades.

Beheer van Applicaties en Besturingssystemen

  • Voor het toevoegen van een eigen applicatie moet men op 'applicatie toevoegen' klikken en relevante details invullen zoals naam, versie en locatie.
  • Hetzelfde geldt voor besturingssystemen; bijvoorbeeld Windows 11 kan worden toegevoegd door specifieke parameters in te vullen.

Configuratie Technologieën Blokkade

  • In de sectie technologieën blokkade kunnen configuraties worden toegevoegd, bewerkt of verwijderd per applicatie of besturingssysteem.
  • Bij het selecteren van een applicatie zoals WhatsApp kan men instellingen aanpassen over welke bestanden wel of niet moeten worden onderschept.

Monitoring Evenementen

  • Gegevens over gebeurtenissen die zijn onderschept door agents worden opgeslagen; alleen informatie over deze gebeurtenissen wordt verzonden naar de server.
  • Gebruikers hebben toegang tot gedetailleerde informatie over gebeurtenissen inclusief datum, computernaam, type gebeurtenis en status.

Gebruik van Filters in Monitoring

  • Gebruikers kunnen evenementen sorteren op verschillende kolommen door simpelweg op de kolomkoppen te klikken.
  • Er is ook een mogelijkheid om filters toe te passen om specifieke tijdspannes of soorten evenementen weer te geven.

Activiteitenlogboek

  • Het logboek toont acties uitgevoerd door gebruikers binnen Device Monitor; vergelijkbaar met hoe evenementen zijn gesorteerd.

Toepassingen Lijsten Creëren

  • Lijsten met toepassingen kunnen worden samengesteld die gebruikt zullen worden bij het creëren van beleidsregels.
  • Wanneer Device Monitor-agent is geïnstalleerd, verzamelt deze automatisch informatie over hardware/software en registreert alle gelanceerde toepassingen.

Installatie en Beheer van Applicaties

Handmatige Toevoeging van Applicaties

  • Bij het handmatig toevoegen van een applicatie is het essentieel om de juiste bestandsnaam en extensie op te geven, zoals "notepad.exe". Dit helpt bij het creëren en vullen van de lijst met kantoorapplicaties.

Bestandsformaten en Signaturen

  • Het apparaat kan werken met verschillende bestandsformaten. Nieuwe categorieën kunnen worden aangemaakt door bestaande formaten toe te voegen, maar eigen formaten zijn niet toegestaan omdat de detectie op basis van signatuur werkt in plaats van op extensie.

Uitzonderingen voor Apparaten

  • Er kunnen uitzonderingen worden gemaakt voor apparaten die normaal gesproken verboden zijn, zoals CD/DVD-stations. Dit is nuttig wanneer specifieke medewerkers toegang nodig hebben tot bepaalde apparaten voor werkdoeleinden.

Instellen van Uitzonderingen

  • Om een uitzondering in te stellen, selecteert men het apparaat via filters (zoals medewerkers of computers). Na selectie kan men het apparaat aan de witte lijst toevoegen en bevestigen door op 'opslaan' te klikken.

Tijdelijke Toegang tot Apparaten

  • Voor tijdelijke toegang kan men een periode instellen waarin de uitzondering geldig is. Dit biedt flexibiliteit bij het toekennen van toegang voor specifieke taken zonder permanente wijzigingen aan te brengen in beleid.

Groepen Computers en Beleid

Beheer van Computer Groepen

  • In dit gedeelte wordt een lijst met computers weergegeven die zijn verkregen via integratie met Active Directory. Men kan groepen maken en specifieke acties uitvoeren per groep.

Toewijzing van Beleidsregels

  • Elke computer groep kan slechts één standaardbeleid toegewezen krijgen. Dit beleid regelt hoe apparaten binnen die groep functioneren, inclusief agentinstellingen zoals dataverzending snelheid en schijfruimte vereisten.

Diagnostiek en Statusbeheer

  • De diagnostische modus kan worden ingeschakeld om gedetailleerde informatie over de werking van agents te verzamelen. Dit omvat ook logbestanden die inzicht geven in eventuele problemen met werkstations.

Medewerkersgroepen en Beleidsconflicten

Beheer van Medewerkersgroepen

  • Net als bij computer groepen kunnen medewerkersgroepen worden beheerd via Active Directory. Hier kunnen beleidsregels voor schaduwkopieën worden ingesteld, waarbij elke groep slechts één beleid krijgt toegewezen.

Conflict tussen Beleidsregels

Beleid en Prioriteiten in Device Monitoring

Prioriteit van Beleid

  • De resulterende beleidsvoering is gebaseerd op prioriteiten van verschillende beleidsregels. Een beleid dat aan een medewerker is toegewezen, kan het gebruik van externe opslag toestaan, terwijl een beleid dat aan een computer is toegewezen dit verbiedt.

Uitzonderingen en Specifieke Regels

  • Wanneer er expliciet uitzonderingen worden gemaakt, zoals het toestaan van specifieke apparaten of applicaties, heeft de goedkeuringspolitiek voorrang.

Device Monitor Functionaliteit

  • De Device Monitor controleert acties die door medewerkers worden uitgevoerd op werkplekken waar de agent geïnstalleerd is. Bij synchronisatie met Active Directory worden standaardbeleidsregels toegewezen aan groepen medewerkers.

Regelinstellingen in Device Monitor

  • Het creëren van regels begint met het instellen van applicatiemonitoring om de uitvoering van software te controleren. Er kunnen beperkingen worden opgelegd aan bepaalde applicaties via witte of zwarte lijsten.

Verbeterde Controle Mechanismen

  • Naast applicatiebeperkingen kan ook het gebruik van klemborden tussen werkstations en applicaties worden verboden. Dit biedt extra beveiliging bij gevoelige informatieoverdracht.

Geavanceerde Monitoring en Toegangscontrole

Audio Record Control

  • Met deze regel kan geluid opgenomen worden tijdens bezoeken aan geselecteerde webbronnen, waarbij compatibiliteit met populaire browsers wordt gecontroleerd.

Cloud Storage Monitoring

  • Deze regel stelt gebruikers in staat om hun interactie met cloudopslagdiensten zoals Google Drive en Dropbox te monitoren. Toegangsniveaus kunnen individueel per dienst ingesteld worden.

Apparaten Toegangsbeheer

  • Het beleid voor apparaatmonitoring maakt het mogelijk om toegang tot verschillende apparaten te beperken op basis van type apparaat, met specifieke opties voor elk type.

Bestandsmonitoring en Activiteitenregistratie

Bestandsmonitoring Instellingen

  • De bestandsmonitor zorgt ervoor dat er schaduwkopieën gemaakt kunnen worden van bestanden die naar externe opslag of netwerkmiddelen gekopieerd worden. Dit helpt bij gegevensbeveiliging en -herstel.

Acties bij Regelactivatie

  • Bij activatie van regels kan gekozen worden hoe om te gaan met kopieeracties: toestaan zonder gebeurtenisregistratie of registreren met schaduwkopieën voor latere analyse.

Specifieke Bestanden en Bronnen

  • Het systeem laat toe om specifieke bronnen uit te sluiten of juist te monitoren, wat flexibiliteit biedt in gegevensbeheer binnen netwerken.

Controle over Bestandsoperaties

Operaties Monitoren

  • Met de File Operations Monitor kunnen operaties zoals lezen of schrijven gecontroleerd worden binnen populaire toepassingen zoals Chrome en Firefox. Dit verhoogt de veiligheid tegen ongewenste gegevensuitwisseling.

Beheer van Netwerkprotocollen en Monitoring

FTP Regelgeving

  • Bij het opstellen van regels voor FTP kunnen specifieke FTP-adressen worden opgegeven, met de mogelijkheid om bestandsgroottebeperkingen in te stellen.

HTTP/HTTPS Monitoring

  • Het HTTPS-monitoringsysteem maakt schaduwkopieën aan tijdens internetgebruik. Uitzonderingen kunnen worden ingesteld voor interne bronnen, en er kan gekozen worden tussen alleen HTTPS of beide protocollen.

Messenger Controle

  • De Client Monitor controleert het gebruik van verschillende messengers zoals Skype, Telegram en WhatsApp. Er zijn opties om schaduwkopieën van binnenkomend verkeer te maken en het gebruik van bepaalde messengers te verbieden.

Toetsenbordinvoer Monitoring

  • De Cyber Monitor kan toetsenbordinvoer op werkstations onderscheppen. Dit kan voor elk applicatie of webresource worden ingesteld, inclusief screenshot-functies bij gebeurtenissen.

E-mail Controle

  • De Mail Monitor biedt controle over e-mailverkeer via SMTP, POP3 en andere protocollen. Er kunnen beperkingen worden ingesteld op inkomende of uitgaande e-mails en encryptie-instellingen.

Netwerkverbindingen Beheer

  • De Data Monitor staat niet toe dat gegevens via ongeautoriseerde netwerken worden verzonden, behalve naar goedgekeurde externe adressen binnen gedefinieerde segmenten van het bedrijfsnetwerk.

Print Monitoring

  • Het Print Monitor-regel stelt gebruikers in staat om printactiviteiten te volgen en schaduwkopieën te maken van documenten die naar printers zijn gestuurd.

Screenshot Monitoring

  • Het Screenshot Control Monitor maakt automatisch screenshots aan. Gebruikers kunnen instellen welke applicaties moeten worden uitgesloten van deze functie en hoe vaak screenshots moeten worden genomen.

Activiteitsstatistieken Verzamelen

  • Statistics biedt de mogelijkheid om gebruikersactiviteit te monitoren zonder dat statistische gebeurtenissen zichtbaar zijn in de console; gegevens worden doorgegeven aan een platform indien correct geconfigureerd.

Implementatie van Beleid

  • Voorbeeldimplementatie: twee regels toevoegen aan een apparaatbeleid - één voor het blokkeren van applicaties en één voor automatische screenshot creatie.

Configuratie Wijzigingen Opslaan

  • Na wijzigingen in de configuratie is het noodzakelijk deze op te slaan zodat nieuwe regels actief worden; dit verandert ook de beveiligingsschema versie.

Invoering van Beveiligingsregels en Applicatie Monitoring

Toepassing van Beveiligingsregels

  • De nieuwe beveiligingsregels zijn in werking getreden, wat leidt tot beperkingen bij het starten van applicaties zoals Notepad. Er verschijnt een waarschuwing dat de uitvoering van deze applicatie verboden is volgens het beveiligingsbeleid.

Verzamelen van Schermafbeeldingen

  • De spreker gaat naar de website van Infowatch om voldoende schermafbeeldingen te verzamelen, die elke 10 seconden worden gemaakt.

Monitoren van Werknemersactiviteit

  • In de webconsole voor verkeersmonitoring wordt de werknemer Faina Shestakova geselecteerd. De spreker opent haar profiel en bekijkt eerder verzamelde schermafbeeldingen. Na het vernieuwen verschijnen er veel vergelijkbare afbeeldingen door de hoge frequentie van 10 seconden.

Overzicht van Device Monitor Systeem

  • De bespreking verschuift naar het Device Monitor-systeem, inclusief installatie en configuratie. Er wordt gekeken naar hoe de agent op werkstations kan worden geïnstalleerd.

Installatiemethoden voor Device Monitor Agent

  • Drie methoden voor installatie worden besproken: via groepsbeleid in Active Directory, handmatig kopiëren naar een werkstation of via een taak in de Device Monitor-console.

Taakconfiguratie in Console

  • Bij het toevoegen van een taak in de console kunnen verschillende soorten taken worden gekozen, waaronder primaire distributietaken en productupdates.

Selecteren van Installatiepunten

  • Voor primaire distributietaken moet men installatielocaties selecteren; standaard toont het systeem beschikbare servers met de laatste versie van de agent.

Computerselectie voor Installatie

  • Het is mogelijk om specifieke computers of groepen te selecteren voor installatie door IP-adressen of domeinnamen op te geven.

Serververbinding en Lastbalancering

  • Bij installatie moet ook aangegeven worden aan welke server de agent moet verbinden. Dit helpt bij lastbalancering en verhoogt systeemweerbaarheid bij meerdere servers.

Certificaatinstellingen en Proxy-configuraties

  • Instellingen voor proxyservers zijn cruciaal omdat ze helpen bij het onderscheppen van HTTP/HTTPS-verzoeken. Standaardinstellingen kunnen behouden blijven tijdens configuratie.

Beveiliging tegen Verwijdering

  • Een wachtwoord kan ingesteld worden ter bescherming tegen ongeoorloofde verwijdering door gebruikers met lokale admin-rechten. Dit voorkomt dat agents eenvoudig verwijderd kunnen worden zonder toestemming.

Configureren van Netwerkcomponenten

  • Opties omvatten het verbergen van agent aanwezigheid op computers, evenals componenten voor netwerkverkeerinterceptie en controle over netwerksessies instellen om verbinding met bedrijfsresources te waarborgen.

Taakparameters en Herstartopties

Installatie en Configuratie van de Agent

Waarschuwingen en Herstart

  • Het systeem kan worden ingesteld om op specifieke tijden of met een vast interval waarschuwingen te geven aan medewerkers over een geforceerde herstart.
  • Het is cruciaal om het systeem opnieuw op te starten na de installatie van de agent, zodat deze zijn functies volledig kan uitvoeren.
  • Standaardinstellingen worden aanbevolen voor de parameters tijdens de installatie.

Controle van Parameters en Installatiestatus

  • Na het instellen van de parameters wordt gecontroleerd of alles correct is voordat men verder gaat met de installatie.
  • De status van de installatie verandert naar 'uitgevoerd' na het succesvol installeren van de agent en het opnieuw opstarten van het systeem.
Video description

00:02 Введение в Device Monitor 00:57 Интерфейс консоли управления 02:48 Пользователи и роли 04:39 Временный доступ и импорт/экспорт конфигурации 06:35 Основные настройки Device Monitor 10:23 Корпоративная сеть и перехват мессенджеров 12:43 Уведомления и исключение приложений 14:38 Контроль приложений и снимки экрана 16:31 Перехват ввода с клавиатуры 17:25 Логические события и параметры хранения 18:26 Настройки сервера девайс монитор 21:01 Подключение к платформе и интеграция 24:14 Статусы активности и точки распространения 27:07 Автоматическое обновление агентов 29:26 Перехват звукового окружения и отправка данных 31:01 Панель навигации и исключения 34:55 Блокада приложений и операционных систем 37:28 Идентификация операционной системы 39:49 Безопасность событий 41:50 Журнал действий 43:00 Списки приложений 45:33 Категории сигнатур 46:27 Белые списки устройств 49:09 Группы компьютеров 54:02 Группы сотрудников 56:49 Введение в политики безопасности 57:41 Создание правил в политике 01:00:02 Дополнительные правила 01:01:44 Ограничение доступа к устройствам 01:03:31 Контроль копирования файлов 01:05:18 Контроль операций с файлами 01:07:08 Контроль передачи данных по FTP 01:08:03 Контроль использования мессенджеров 01:09:56 Перехват ввода текста 01:11:02 Контроль электронной почты 01:12:08 Контроль сетевых соединений 01:13:07 Контроль печати 01:13:03 Контроль снимков экрана 01:16:25 Создание и настройка правил безопасности 01:17:20 Проверка схемы безопасности на рабочей станции 01:18:41 Получение и анализ скриншотов 01:20:57 Установка агента Device Monitor 01:24:02 Настройка параметров установки 01:28:18 Завершение установки 01:30:07 Итоги установки