VIDEO
HIGHLIGHT
Log InSign up
Блок 2. Обзор возможностей InfoWatch Device Monitor for Windows
SummaryTranscriptChat

Блок 2. Обзор возможностей InfoWatch Device Monitor for Windows

Настройки и функции Device Monitor

Обновление ключа формирования кодов

  • Агент на компьютере позволяет обновить ключ формирования кодов, необходимый для временного доступа сотрудников. Обновление ключа следует проводить по мере необходимости для повышения уровня защищенности системы.

Настройка Active Directory

  • Монитор сотрудника подключается только к корпоративной сети по IP адресам из установленного диапазона и работает с соответствующей Active Directory. Для определения параметров необходимо нажать кнопку "Добавить", после чего система автоматически определит параметры домена.

Перехват мессенджеров

  • Указывается частота формирования копий чата для анализа. Можно задать время или количество сообщений, по достижении которого будет сформирована теневая копия чата.

Контроль сетевых приложений

  • В настройках можно добавить серверы, которые будут исключены из перехвата. При работе с этими ресурсами события создаваться не будут, либо наоборот — можно включить серверы для обязательного перехвата.

Настройка уведомлений

  • Здесь настраивается текст уведомления сотруднику для различных типов событий (например, запрет доступа к устройству). Также можно отключить или включить показ уведомлений в зависимости от событий.

Исключения и режимы работы

Исключенные приложения из перехвата

  • Исключаются системные приложения и другие по усмотрению пользователя, чтобы избежать перегрузки системы лишним трафиком и упростить работу офицера безопасности при рассмотрении событий.

Режимы белых и черных списков

  • Система может работать в одном из режимов: белых списков (разрешены только указанные приложения) или черных списков (разрешены все кроме указанных). Блокировка запуска приложений осуществляется при действующих правилах.

Настройки мониторинга активности

Создание снимков экрана

  • Можно настроить автоматическое создание скриншотов при отсутствии активности от мыши и клавиатуры. Указывается интервал неактивности и качество снимков (низкое или высокое).

Перехват ввода с клавиатуры

  • Указываются условия формирования события ввода: прошло определенное количество секунд, введено минимальное количество символов или нажата комбинация клавиш. Эти условия объединяются логическим "или".

Управление событиями и взаимодействие с серверами

Параметры хранения событий

  • Указываются параметры хранения событий: удалять ли обработанные события, период хранения и возможность разделения событий по периодам. Без указания продолжительности база данных будет расти бесконечно.

Настройки взаимодействия серверов Device Monitor

  • Указываются параметры работы сервера Device Monitor: количество теневых копий и агентов одновременно обрабатывающих данные. Возможна работа в автономном режиме с сохранением теневых копий до подключения к Traffic Monitor.

Интеграция с Traffic Monitor

Интеграция и настройка системы мониторинга

Настройка подключения к платформе

  • Для интеграции Device Monitor с продуктом InfoWatch, развернутым на универсальной платформе InfoWatch, необходимо настроить подключение к Traffic Monitor.
  • Указание адреса сервера и токена платформы является обязательным для получения управляющих команд от Activity Monitor.

Синхронизация политик

  • Настройка синхронизации политик между Traffic Monitor и Fix Monitor включает указание IP адреса сервера Traffic Monitor для получения конфигурации.
  • Проверяется актуальная версия конфигурации Fix Monitor, которая должна совпадать с версией на сервере Device Monitor.

Статусы активности агентов

  • Важность настройки статусов активности агентов: периодичность пересчета активности, название статуса и цвет.
  • Изменение параметров статуса осуществляется через редактирование строки в интерфейсе, где задаются название статуса и период времени.

Распространение дистрибутивов

  • Использование сервиса распространения для установки дистрибутивов на рабочих станциях. Чем больше точек распространения, тем быстрее обновления.
  • Добавление новых точек распространения требует установки сервиса на других компьютерах с регистрацией в системе.

Автоматическое обновление агентов

  • Параметры автоматического обновления включают частоту проверок (ежедневно или по расписанию).
  • Возможность исключения определенных компьютеров из процесса обновления и параметры установки обновлений после загрузки пакетов.

Перехват звукового окружения

  • Настройка продолжительности аудиозаписи при использовании правила Audio Record Control.

Передача данных в продукты

  • Указание продуктов для передачи событий при срабатывании правил. Можно избежать дублирования данных путем изменения настроек отправки снимков экрана.

Панель навигации консоли управления

  • Раздел "Исключение мусорного трафика" позволяет указать URL адреса, которые не нужно перехватывать.

Проверка регулярных выражений и управление исключениями

Проверка URL адресов

  • Google позволяет проверить правильность регулярного выражения для валидации вводимых URL адресов.
  • Примером является ввод "google.com" и нажатие кнопки проверки, что подтверждает успешную проверку.

Управление исключениями

  • Для сохранения исключений необходимо нажать кнопку "Сохранить".
  • Также доступны функции редактирования, удаления, импорта и экспорта списка исключений.

Файловая статистика и мониторинг действий

Функционал файловой статистики

  • Данный функционал предназначен для Infowatch Activity Monitor и Inf Prediction.
  • Позволяет отслеживать действия пользователей при работе с файлами.

Создание списков веб-ресурсов

  • В разделе можно формировать списки веб-ресурсов для создания правил контроля ввода с клавиатуры.
  • Например, добавление списка видеохостингов через кнопку "Добавить список ресурса".

Блокировка приложений и конфигурация

Блокада приложений

  • Девайс монитор перехватывает чтение и запись файлов приложениями.
  • Рекомендуется использовать подготовленную конфигурацию блокады для упрощения процесса настройки.

Добавление профилей приложений

  • Для добавления собственного профиля приложения нужно указать имя приложения (например, Notepad).
  • Аналогично добавляется профиль операционной системы с указанием названия (например, Windows 11).

Конфигурация технологий блокады

Редактирование конфигураций

  • В секции конфигурации технологии блокады можно редактировать или удалять существующие настройки.
  • Например, редактирование конфигурации блокировки для приложения WhatsApp Desktop.

Сохранение изменений

  • После внесения изменений необходимо сохранить схему безопасности.
  • Информация о событиях хранится только о произошедших событиях.

Мониторинг событий и фильтрация данных

Упорядочивание событий

  • В трафик мониторе можно упорядочить события по любому из столбцов.

Использование фильтров

  • Можно установить собственные фильтры для ограничения диапазона отображаемых событий.

Журнал действий пользователей

Просмотр действий пользователей

  • Журнал позволяет видеть действия пользователей девайс монитора администратора.

Формирование списков приложений

  • Здесь формируются списки приложений, используемых при создании политик.
  • Информация о запущенных приложениях фиксируется агентом девайс монитора на рабочих станциях.

Создание списка офисных приложений

Наполнение списка офисных приложений

Установка и настройка приложений на компьютере

Добавление приложения вручную

  • Для добавления приложения в список необходимо указать его расширение и правильное имя файла. В качестве примера используется приложение notepad.exe, что позволяет создать и заполнить список офисных приложений.

Работа с сигнатурами файлов

  • Девайс монитор может работать с различными форматами файлов, которые определяются по сигнатуре, а не по расширению. Это аналогично тому, как реализовано в трафик монитор. Можно создавать собственные категории для работы с предустановленными форматами.

Управление устройствами и исключениями

  • Белые списки устройств необходимы для создания политики, запрещающей использование определенных устройств, но позволяющей делать исключения для отдельных сотрудников. Например, можно разрешить доступ к приводу CD/DVD для конкретного сотрудника.

Настройка белого списка устройств

  • Для добавления устройства в белый список нужно выбрать его из списка обнаруженных на компьютере. Важно помнить о динамическом изменении идентификаторов некоторых устройств; рекомендуется использовать код модели устройства.

Период действия исключений

  • При создании исключения можно установить период действия доступа к устройству. Это удобно для временного предоставления доступа к устройствам для решения конкретных задач.

Управление группами компьютеров

Назначение политик группам компьютеров

  • Группам компьютеров можно назначать политику по умолчанию, при этом одна группа может иметь только одну политику. Также возможно переопределение параметров работы агента на уровне группы.

Действия со списком компьютеров

  • В работе со списком компьютеров доступны различные действия: добавление нового компьютера, просмотр настроек и результирующей политики, обновление статусов состояния агента и диагностика работы агента.

Диагностика работы агента

Проведение диагностики

  • Для диагностики работы агента необходимо щелкнуть правой кнопкой мыши на нужном компьютере и выбрать пункт "диагностика". Можно включить или выключить диагностический режим и собрать лог-файлы о работе агента.

Остановка работы агента

  • Остановка агента может быть необходима для устранения вопросов по функционированию рабочей станции. После остановки работу агента можно будет удалённо запустить снова.

Управление группами сотрудников

Назначение политик группе сотрудников

  • Каждой группе сотрудников назначается политика теневого копирования. Политики могут конфликтовать между собой; чтобы понять какие правила применяются к сотруднику на рабочей станции, нужно посмотреть результирующую политику.

Результирующая политика

Политики безопасности и их приоритеты

Приоритеты политик

  • Результирующая политика основывается на приоритетах, где политика, назначенная сотруднику, имеет более высокий приоритет по сравнению с политикой, назначенной компьютеру. Это означает, что если политика разрешает использование внешних носителей для сотрудника, а для компьютера запрещает, то сотрудник не сможет использовать внешние носители на этом компьютере.

Исключения в политике

  • В случае явного разрешения использования устройства из списка или исключения приложения из перехвата приоритет будет у разрешающей политики.

Политики девайс монитора

  • Каждая политика безопасности девайс монитора состоит из набора правил для контроля действий сотрудников на рабочем месте. При синхронизации с Active Directory назначаются политики по умолчанию для групп сотрудников.

Создание правил

  • Первое правило - Application Monitor - позволяет контролировать запуск программного обеспечения и запрещать запуск определённых приложений. Для этого необходимо активировать соответствующую опцию.

Настройка режимов списков

  • Можно выбрать режим белых или чёрных списков для управления доступом к приложениям. В текущий момент действует режим чёрных списков; можно создать список офисных приложений и сохранить его.

Дополнительные правила мониторинга

Запрет буфера обмена и печати

  • Можно запретить использование буфера обмена между рабочими станциями или для определённых приложений. Также возможно ограничение печати на конкретные принтеры.

Запись звукового окружения

  • Правило Audio Record Control позволяет вести запись звукового окружения при посещении выбранных веб-ресурсов с проверкой браузеров (Google Chrome, Яндекс Браузер и др.).

Мониторинг облачных хранилищ

  • Правило Cloud Storage Monitor контролирует работу пользователей с облачными хранилищами (Google Drive, Dropbox и др.), позволяя настроить параметры доступа индивидуально.

Контроль операций с файлами

Ограничение доступа к устройствам

  • Правило девайс монитора позволяет ограничивать доступ пользователя к различным устройствам с настройкой параметров доступа в зависимости от типа устройства.

Получение теневых копий файлов

  • Правило File Monitor позволяет получать теневые копии файлов, которые пользователь копирует на съёмные носители или сетевые ресурсы. Можно указать маску файла или категорию файлов для контроля.

Исключения в правилах копирования

  • При выборе опции "разрешить копирование и не создавать события" создаётся правило исключения, что удобно для исключения определённых файлов из перехвата данных.

Мониторинг операций с файлами

Контроль операций чтения и записи

Настройка правил мониторинга в системе

Правила для протоколов FTP и HTTP/HTTPS

  • Протокол FTP позволяет указать адреса, для которых создаются правила, с возможностью ограничения размера передаваемого файла.
  • Правило HTTPS монитор создает теневые копии при работе пользователей в интернете по протоколам HTTP и HTTPS, с возможностью исключения внутренних ресурсов.

Мониторинг мессенджеров

  • Client монитор контролирует использование мессенджеров (Skype, Telegram, WhatsApp и др.), включая возможность запрета их использования.
  • Опции настройки могут варьироваться в зависимости от мессенджера; например, для Skype доступно создание копий голосового трафика.

Кибербезопасность и контроль ввода

  • Кибор монитор перехватывает ввод текста с клавиатуры на рабочих станциях и может настраивать получение скриншотов.
  • Mail монитор контролирует отправку и получение электронной почты через различные протоколы (SMTP, POP3 и др.) с возможностью создания теневых копий.

Ограничения на сетевые соединения

  • Monitor позволяет запрещать передачу данных по неразрешенным сетевым соединениям, сохраняя связь только с корпоративной сетью.

Мониторинг печати и скриншотов

  • Принт монитор отслеживает операции печати документов на принтерах с возможностью создания теневых копий.
  • Скриншот Контрол монитор автоматически создает снимки экрана; можно настроить периодичность получения скриншотов.

Статистика активности пользователя

  • Statistics собирает данные о активности пользователя за компьютером без отображения статистических событий в консоли.

Создание правил безопасности

  • Для добавления новых правил необходимо сохранить изменения конфигурации; демонстрация работы политик включает запрет запуска приложений.

Обновление схемы безопасности

Запуск редактора и мониторинг экрана

Запуск приложения Notepad

  • Правила безопасности вступили в силу, что препятствует запуску приложения Notepad. Появляется предупреждение о запрете запуска согласно политике безопасности.

Снимки экрана

  • Переход на сайт компании Infowatch для получения снимков экрана, которые будут формироваться каждые 10 секунд.
  • Открытие веб-консоли "Трафик монитор" для просмотра ранее полученных снимков экрана сотрудника Шестаковой Фаины.

Обзор системы Device Monitor

  • Завершение рассмотрения возможностей работы системы Device Monitor и переход к системе Vision. Начало обсуждения установки агента Device Monitor.

Установка агента Device Monitor

Способы установки агента

  • Установка агента может быть выполнена через групповые политики Active Directory или путем копирования пакета установки непосредственно на рабочую станцию.
  • Третий вариант — установка через выполнение задачи в консоли Device Monitor, где выбирается тип задачи (например, первичное распространение).

Настройка параметров установки

  • Выбор сервера для установки агента и указание его названия. Определяются точки распространения и последняя версия агента.
  • Возможность выбора компьютеров или групп компьютеров из домена для установки агента.

Параметры подключения и настройки

Подключение к серверу

  • Указание сервера Device Monitor, к которому будет подключаться агент. Важно обеспечить балансировку нагрузки при большом количестве пользователей.

Сертификаты и прокси-серверы

  • Агент работает как локальный прокси-сервер для перехвата запросов по протоколам HTTP и HTTPS с изменением сертификата прокси-сервера.

Настройки защиты и конфигурации

Защита от удаления

  • Установка пароля для защиты от удаления агента даже при попытке удалить его от имени администратора. Это важно при наличии прав локального администратора у пользователей.

Конфигурация задач

  • Опции скрытия присутствия агента на компьютере до получения конфигурации сервера Device Monitor. Также обсуждаются параметры контроля сетевых соединений и интервал времени между задачами.

Завершение процесса установки

Установка Агента и Перезагрузка Рабочей Станции

Процесс уведомления и перезагрузки

  • Уведомление о необходимости перезагрузки рабочей станции происходит в заданное время или с определённым интервалом.
  • Важно определить, нужно ли предупреждать сотрудника перед принудительной перезагрузкой системы.
  • После установки Агента необходимо выполнить полную перезагрузку рабочей станции для реализации всех функций.
  • Параметры по умолчанию оставляются, после чего нажимается кнопка "далее".

Проверка установленных параметров

  • После завершения настройки проверяются установленные параметры; если всё в порядке, нажимается "готово".
  • Запускается процесс установки, который отображается в следующем окне с текущим статусом задачи "подготовка".
  • После установки Агента и перегрузки рабочей станции статус задачи изменяется на "выполненный".
Video description

00:02 Введение в Device Monitor 00:57 Интерфейс консоли управления 02:48 Пользователи и роли 04:39 Временный доступ и импорт/экспорт конфигурации 06:35 Основные настройки Device Monitor 10:23 Корпоративная сеть и перехват мессенджеров 12:43 Уведомления и исключение приложений 14:38 Контроль приложений и снимки экрана 16:31 Перехват ввода с клавиатуры 17:25 Логические события и параметры хранения 18:26 Настройки сервера девайс монитор 21:01 Подключение к платформе и интеграция 24:14 Статусы активности и точки распространения 27:07 Автоматическое обновление агентов 29:26 Перехват звукового окружения и отправка данных 31:01 Панель навигации и исключения 34:55 Блокада приложений и операционных систем 37:28 Идентификация операционной системы 39:49 Безопасность событий 41:50 Журнал действий 43:00 Списки приложений 45:33 Категории сигнатур 46:27 Белые списки устройств 49:09 Группы компьютеров 54:02 Группы сотрудников 56:49 Введение в политики безопасности 57:41 Создание правил в политике 01:00:02 Дополнительные правила 01:01:44 Ограничение доступа к устройствам 01:03:31 Контроль копирования файлов 01:05:18 Контроль операций с файлами 01:07:08 Контроль передачи данных по FTP 01:08:03 Контроль использования мессенджеров 01:09:56 Перехват ввода текста 01:11:02 Контроль электронной почты 01:12:08 Контроль сетевых соединений 01:13:07 Контроль печати 01:13:03 Контроль снимков экрана 01:16:25 Создание и настройка правил безопасности 01:17:20 Проверка схемы безопасности на рабочей станции 01:18:41 Получение и анализ скриншотов 01:20:57 Установка агента Device Monitor 01:24:02 Настройка параметров установки 01:28:18 Завершение установки 01:30:07 Итоги установки