- Введение
- Блокировка передачи защищённых паролем / повреждённых архивов
- Где применяется
- Достоинства
- Контроль cisco webex teams
- Контроль буфера обмена
- Контроль веб-трафика
- Контроль внешних устройств
- Контроль мессенджеров
- Контроль переписки в мессенджере skype
- Контроль переписки в мессенджере whatsapp
- Контроль печати
- Контроль электронной почты
- Мгновенная деактивация агентов для конечных точек
- Модуль dozor file crawler: новые возможности
- Модуль dozor uba: новые возможности
- Обход анонимайзеров
- Отчёты с данными о поведении персон
- Перехват сетевых протоколов smtp, pop3, imap
- Поиск webex-сообщений
- Политика и параметры перехвата для комплексной проверки банковских карт на агенте для конечных точек
- Применение в правилах политики безопасности
- Прозрачное вскрытие ssl на прокси-сервере
- Просмотр webex-сообщений и истории их изменения
- Просмотр статистики по webex-сообщениям
- Работа модуля в территориально распределённых организациях
- Ред софт | solar dozor получил сертификат совместимости с ред ос
- Снятие снимков экрана
- Совместное использование поисковых запросов
- Статус активности агента
- Считывание структуры внешнего носителя
- Технические характеристики
- Трансляция видео с экрана рабочей станции
- Функции
- Новый dozor endpoint agent для macos
- Выводы
Введение
С выходом версии Solar Dozor 7.2 для территориально распределённых организаций в мае 2020 года возникла необходимость модернизации и доработки модулей анализа поведения пользователей (Dozor UBA) и инспектирования файловых хранилищ (Dozor File Crawler), что и было реализовано в новой версии 7.5.
Кроме того, в системе появилась функция онлайн-трансляции экрана рабочей станции, востребованная заказчиками для сбора доказательной базы при проведении расследований. Новую версию также отличает большое количество нововведений, реализованных в модуле Dozor Endpoint Agent.
Так, агентский модуль научился считывать структуру каталогов и файлов со внешнего подключённого носителя — это помогает выявить признаки наличия там конфиденциальных документов. Также в Dozor Endpoint Agent появилась комплексная проверка банковских карт, которая ранее осуществлялась лишь на уровне ядра DLP-системы.
Это снижает количество ложноположительных срабатываний и уменьшает нагрузку на инфраструктуру заказчика. Дополнительно модуль агентского перехвата Dozor Endpoint Agent обрёл функциональность по блокировке передачи зашифрованных и повреждённых архивов, а также мгновенному выключению агентов в экстренных случаях.
Блокировка передачи защищённых паролем / повреждённых архивов
Пересылка конфиденциальной информации в «замаскированном» виде — нередко встречающийся сценарий нарушения ИБ-политики компании. Для этого может использоваться архив, защищённый паролем или умышленно повреждённый с помощью текстового редактора (с целью восстановления после передачи).
Модуль Dozor Endpoint Agent в новой версии Solar Dozor 7.5 позволяет заблокировать передачу защищённых паролем или повреждённых архивов и таким образом предотвратить утечку уже на рабочей станции сотрудника. Для этого достаточно создать правило политики, в котором задать условие с атрибутами «Защищённый паролем архив» и / или «Повреждённый архив». Поддерживаются наиболее распространённые форматы архивов: ZIP (.zip), RAR4, RAR5 (.rar), 7-ZIP (.7z), ARJ.
Рисунок 35. Раздел «Политика» в Solar Dozor 7.5: правило блокировки передачи защищённого паролем или повреждённого архива
Где применяется
ДОЗОР-С применяется на объектах:
Достоинства
Среди всех достоинст газоанализатора вредных веществ можно отметить:
Контроль cisco webex teams
В Solar Dozor версии 7.5 появилась возможность контролировать ещё один канал обмена информацией — корпоративный мессенджер Cisco WebEx Teams. Теперь с помощью функциональности модуля Dozor File Crawler можно настроить систему так, что все сообщения и файлы, отправленные сотрудниками в личных или общих чатах Cisco WebEx Teams, будут поступать в Solar Dozor и проходить проверку по условиям политики безопасности организации.
Можно получить историю WebEx-сообщений, отправленных сотрудниками организации даже до того, как в ней был установлен Solar Dozor 7.5. При этом учитываются ограничения мессенджера: по умолчанию WebEx хранит историю сообщений за 90 дней, при наличии пакета WebEx Control Hub сохраняется вся история с момента установки мессенджера. Соответственно, можно получить либо историю за конкретный период (максимум 90 дней), либо всю.
Рисунок 7. Раздел «Система», настройки получения истории сообщений Cisco WebEx Teams в Solar Dozor 7.5
Далее офицер безопасности может:
- быстро найти и просмотреть WebEx-переписку;
- просмотреть историю изменений (отредактировано / удалено) конкретного WebEx-сообщения, включая его исходный текст;
- просмотреть статистику по WebEx-сообщениям;
- настроить политику безопасности с учётом новых возможностей.
Контроль буфера обмена
Контроль файлов, передаваемых через приложения веб-сервисов, включая облачные хранилища Dropbox, Яндекс.Диск и прочие.
Контроль веб-трафика
Контроль внешних устройств
Блокировка работы с внешними устройствами на основе черных и белых списков как по типам устройств, так и по их идентификаторам.
Перехват, анализ и блокировка копирования файлов на внешние USB-устройства и сетевые диски, в т. ч. по протоколу MTP, а также контроль содержимого внешних устройств (флеш-накопителей, карт памяти и внешних жестких дисков), подключенных через USB-порт к рабочим станциям сотрудников компании.
Контроль мессенджеров
Переписка через мессенджеры:
Контроль переписки в мессенджере skype
Также Dozor Endpoint Agent для macOS осуществляет перехват входящих и исходящих сообщений и файлов в Skype — как в приложении, так и в веб-версии мессенджера. Аналогично перехвату в WhatsApp файлы можно просматривать в виде сообщений или в виде бесед.
Контроль переписки в мессенджере whatsapp
Новый maсOS-агент позволяет контролировать переписку пользователей как в настольном приложении WhatsApp, так и в его веб-версии. Мониторингу подлежат мгновенные сообщения, голосовые сообщения, передаваемые файлы (изображения, видео, документы и т. п.), пересылаемые сообщения (цитаты), данные отправляемых абоненту контактов.
В интерфейсе Solar Dozor 7.5 сообщения и файлы, отправленные сотрудником, можно просматривать как в виде сообщений (рис. 28), так и в виде бесед (рис. 29).
Рисунок 28. Результаты перехвата приложения WhatsApp: большая карточка сообщения в Solar Dozor 7.5
Рисунок 29. Результаты перехвата приложения WhatsApp в Solar Dozor 7.5: фрагмент беседы
Контроль печати
Перехват, анализ и блокировка печати документов на локальных или сетевых принтерах.
Контроль электронной почты
Мгновенная деактивация агентов для конечных точек
Для повышения удобства использования DLP-системы в новой версии предусмотрен механизм оперативного отключения агентского модуля. Штатный механизм отключения агентского перехвата информации предполагает настройку, т. е. перевод агентов в режим «Без перехвата». Это занимает время, что в экстренных ситуациях может быть весьма значимо.
В новой версии разработан механизм оперативного отключения перехвата — теперь отключить перехват (а также восстановить нормальную работу агентов) можно нажатием одной кнопки в интерфейсе. Это полезно, например, если агент создаёт задержки в работе программ на компьютере сотрудника, и позволит последнему продолжить работу, а администратору системы — детально разобраться в проблеме. При этом все настройки сохраняются и можно быстро вновь активировать агент без повторного конфигурирования.
Рисунок 36. Быстрое отключение агентов для конечных точек в Solar Dozor 7.5
Модуль dozor file crawler: новые возможности
Модуль Dozor File Crawler предназначен для проверки содержимого файловых хранилищ (общедоступных сервисов обмена файлами и локальных жёстких дисков рабочих станций) для выявления нарушений правил хранения конфиденциальной информации. Модуль основан на принципе централизованной обработки данных, то есть аккумулирует результаты своей работы не на отдельных рабочих станциях, а в единой точке сети и предоставляет пользователю целостную картину всех сегментов корпоративной сети.
Модуль dozor uba: новые возможности
Главной задачей модуля анализа поведения пользователей Dozor UBA является профилактика угроз информационной безопасности. Модуль позволяет выявить признаки зарождающихся инцидентов (чего не могут сделать классические DLP-инструменты) благодаря построению профилей поведения каждого сотрудника на основе его внешних и внутренних коммуникаций, взаимодействия с коллегами из других подразделений, объёма полученной и отправленной информации и т. д.
Система анализирует поведение сотрудников по двум направлениям одновременно. С одной стороны, она осуществляет наблюдение за каждым работником по набору приведённых выше показателей, которые измеряются с высокой частотой и с учётом персональных особенностей поведения, делового контекста, роли в коллективе и ряда других факторов.
С другой стороны, модуль Dozor UBA определяет наиболее уязвимые с точки зрения бизнеса группы сотрудников и работников с подозрительным поведением, относя их к различным паттернам поведения (комбинациям поведенческих особенностей и аномалий). На данный момент в системе насчитывается 20 паттернов, среди которых, например, «мёртвые души», «работа ночью», «работа в выходные» и т. п.
Обход анонимайзеров
Solar Dozor использует сигнатурный анализ данных для разбора трафика. Данная технология даёт полное понимание структуры и содержимого данных, передаваемых через веб-почту, социальные сети и прочие веб-сервисы.
Даже если сотрудник воспользовался анонимайзером или TOR, вся его активность и переписка будет сохранена и проанализирована в Solar Dozor.
Отчёты с данными о поведении персон
В Solar Dozor 7.5 появилась возможность получить сведения обо всех действиях сотрудников в виде отчёта для печати или сохранения в файл.
Можно получить:
- отчёт содержащий сведения о поведении выбранных персон по определённому паттерну поведения. Туда попадает сводная информация о паттерне, список соответствующих персон и показатели поведения каждой персоны: особые контакты, количество событий, количество аномалий, индекс уязвимости;
- отчёт с данными о поведении конкретной персоны за 45 дней. В нём указываются общие сведения и контакты персоны, информация о стаже и руководителе и история поведенческих особенностей:
- динамика индекса уязвимости и все аномалии;
- динамика внутренней / внешней активности;
- динамика отправки и получения информационных объектов;
- динамика популярности;
Рисунок 4. Получение отчёта о поведении персон по паттерну в Solar Dozor 7.5
Рисунок 5. Раздел «Досье», карточка персоны: получение отчёта о поведении персоны в Solar Dozor 7.5
Перехват сетевых протоколов smtp, pop3, imap
Эта функциональность даёт возможность контролировать входящую и исходящую переписку сотрудников в клиентских приложениях электронной почты. Для получения сообщений о перехвате данных по протоколам SMTP, POP3, IMAP достаточно установить соответствующие флажки в секции «Каналы перехвата».
По результатам перехвата такой переписки сотрудников в интерфейсе Solar Dozor 7.5 также отображаются сообщения, содержащие указания на каналы коммуникаций — «Внутренняя почта», «Исходящая почта» и «Входящая почта».
Рисунок 27. Результаты перехвата входящей почты по протоколу IMAP в Solar Dozor 7.5
Поиск webex-сообщений
При проведении расследования офицеру безопасности может потребоваться быстро найти сообщения и / или файлы, переданные с помощью Cisco WebEx Teams. Для этого в разделе интерфейса «Поиск» → «Быстрый поиск» в критериях поиска достаточно указать приложение Cisco WebEx Teams.
Рисунок 8. Поиск сообщений, переданных с помощью Сisco WebEx Teams, в Solar Dozor 7.5
Политика и параметры перехвата для комплексной проверки банковских карт на агенте для конечных точек
В предыдущих версиях Solar Dozor на уровне ядра системы осуществлялась комплексная проверка банковских карт. Начиная с версии 7.5 комплексная проверка появилась и в модуле Dozor Endpoint Agent, она задействует два механизма. Первый использует правила политики, содержащие регулярные выражения; второй осуществляет подсчёт контрольной суммы номера банковской карты по алгоритму «Луна» в соответствии со стандартом ISO/IEC 7812.
Реализация комплексной проверки банковских карт на уровне рабочей станции позволила снизить количество ложноположительных срабатываний и, соответственно, уменьшить нагрузку на инфраструктуру заказчика за счёт снижения трафика со стороны агента. Кроме того, это минимизировало объём работы сотрудников службы ИБ при проведении расследований и классификации событий.
Таким образом, теперь Dozor Endpoint Agent осуществляет комплексную проверку номеров банковских карт, которая состоит из:
- проверки на наличие номера карты в тексте,
- проверки контрольных сумм найденных номеров карт (по алгоритму «Луна»).
Найденный в тексте номер считается номером банковской карты, если он удовлетворяет условиям регулярного выражения и прошёл проверку по алгоритму «Луна», то есть контрольная сумма соответствует номеру карты.
Рисунок 30. Solar Dozor 7.5, условие политики с новым атрибутом «Агент: перехват: текст содержит номера банковских карт» и новой операцией сравнения «удовлетворяет рег. выражению с учетом алг. Луна»
Применение в правилах политики безопасности
Офицер безопасности может настроить систему так, чтобы сообщения и файлы, отправленные сотрудниками в Cisco WebEx Teams, проходили проверку на соответствие правилам политики безопасности организации.
Допустим, необходимо проверять переписку в WebEx на наличие паспортных данных в текстах сообщений и файлов. При обнаружении таких данных система должна регистрировать соответствующее событие. Последовательность реализации такой политики в Solar Dozor 7.5 приведена на трёх рисунках ниже.
Рисунок 16. Условие для обнаружения сообщений, отправленных в WebEx, в Solar Dozor 7.5
Рисунок 17. Дополнительное правило для информационного объекта «Паспорт РФ» в Solar Dozor 7.5
Рисунок 18. Дополнительное правило для ИО «Изображение паспорта» в Solar Dozor 7.5
В дополнительных правилах, действующих для информационных объектов (ИО) «Паспорт РФ» и «Изображение паспорта», используется условие «Сообщение в Webex». В результате система ищет указанные ИО в WebEx-переписке.
Таким образом, если сотрудник отправит в WebEx-сообщении паспортные данные, включая фотографию паспорта, система зафиксирует этот факт в событии по ИБ.
Рисунок 19. Карточка сообщения в Solar Dozor 7.5
Рисунок 20. Карточка события в Solar Dozor 7.5
Прозрачное вскрытие ssl на прокси-сервере
Solar Dozor может интегрироваться с любыми периметровыми средствами защиты с поддержкой протокола ICAP, например, шлюзом веб-безопасности Solar webProxy, что позволяет бороться с таким способом обхода DLP-системы.
Такой подход позволяет клиенту использовать все преимущества прокси-серверов без дополнительных настроек интернет-соединения на персональных компьютерах — в браузере и прочих приложениях. Компьютеры сотрудников просто подключаются к сети, и вся их веб-активность, включая зашифрованный трафик, оказывается под контролем.
Просмотр webex-сообщений и истории их изменения
Перейдя в карточку заинтересовавшего его WebEx-сообщения и воспользовавшись поиском по специальному заголовку «x-agent-message-id», офицер безопасности может просмотреть:
- историю операций с сообщением (редактирование / удаление),
- исходный текст сообщения.
То есть даже если отправленное в WebEx сообщение было позже отредактировано или удалено, офицер безопасности сможет увидеть его изначальный текст. Таким образом можно выявить не только само нарушение, но и попытки его скрыть.
Рисунок 9. Карточка сообщения, вкладка «Заголовки» в Solar Dozor 7.5
Рисунок 10. Результаты поиска сообщений по заголовку «x-agent-message-id» в Solar Dozor 7.5: сотрудник сначала отправил WebEx-сообщение, затем отредактировал его, а потом удалил
Кроме того, как и в случае с сообщениями из других контролируемых Solar Dozor мессенджеров (Telegram, Skype), переписку в Cisco WebEx Teams можно просмотреть в виде беседы. Это позволяет наглядно ознакомиться с хронологией переписки.
Рисунок 11. Раздел «Поиск», отображение переписки в Cisco WebEx Teams в виде беседы в Solar Dozor 7.5
Также в беседе можно по хронологии переписки узнать дату и время, когда участник присоединился к групповому чату или покинул его. В случае если сотрудник-нарушитель будет отрицать факт своего участия в групповом чате, где произошёл инцидент, эта информация поможет офицеру безопасности без труда найти доказательства такого участия.
Рисунок 12. Данные о времени присоединения сотрудника к чату в Solar Dozor 7.5
Рисунок 13. Данные о выходе сотрудника из чата в Solar Dozor 7.5
Просмотр статистики по webex-сообщениям
Офицер безопасности может просмотреть статистику по отправленным в WebEx сообщениям и файлам: система отображает количество сообщений / файлов за всё время или за последние 24 часа. Можно также быстро перейти к списку этих сообщений и файлов.
Рисунок 14. Статистика сообщений, отправленных сотрудниками в Cisco WebEx Teams, в Solar Dozor 7.5
Рисунок 15. Быстрый переход к списку WebEx-файлов, отправленных сотрудниками за последние 24 часа, в Solar Dozor 7.5
Работа модуля в территориально распределённых организациях
В предыдущих версиях DLP-системы возможность использовать Dozor UBA в территориально-распределённой конфигурации и работать отдельно с филиалом, ДЗО или департаментом отсутствовала. Однако оценивать и сравнивать поведение пользователей по всей крупной мультифилиальной компании не вполне корректно, так как для каждой территориальной единицы могут быть характерны свои особенности поведения пользователей, которые для одного филиала будут являться нормой, а для другого — аномалией.
В новой версии, с одной стороны, все установки модуля Dozor UBA в каждом филиале объединены в связанную систему, что позволяет получить полный срез данных о поведении сотрудников по всей организации. С другой стороны, через единый веб-интерфейс Solar Dozor можно выбрать любое территориальное подразделение и перейти к сводной статистике и детализации не только по конкретному филиалу, но и по любому его пользователю.
Рисунок 1. Выбор организационной единицы для анализа в Solar Dozor 7.5
В карточке персоны на вкладке «Особые контакты» также имеется возможность выбирать организационную единицу и мониторить контакты сотрудника с работниками других филиалов или ДЗО.
Рисунок 2. Выбор филиалов для мониторинга контактов сотрудника в Solar Dozor 7.5
Дополнительно в Solar Dozor появилась возможность назначения часового пояса для каждой организационной единицы. Это позволяет получить корректные расчёты показателей паттернов поведения «Работа ночью» и «Работа в выходные дни», а также верно оценить суточную активность в разрезе времени суток (утро, день, вечер, ночь).
Рисунок 3. Мониторинг филиалов с учётом часового пояса в Solar Dozor 7.5
Ред софт | solar dozor получил сертификат совместимости с ред ос
Система предотвращения утечек конфиденциальной информации Solar Dozor успешно прошла тестирование на совместимость с российской операционной системой семейства Linux РЕД ОС производства компании РЕД СОФТ. По итогам проведенных работ «Ростелеком-Солар» и РЕД СОФТ подписали двусторонний сертификат совместимости.
Solar Dozor – программное обеспечение для предотвращения утечек конфиденциальной информации (Data Leak Prevention, DLP). Его возможности обеспечивают контроль коммуникаций сотрудников, блокировку или изменение нежелательных сообщений, выявление и мониторинг групп риска, а также ретроспективный анализ архива коммуникаций для проведения расследований. Кроме того, Solar Dozor может анализировать поведение пользователей (User Behavior Analytics), что позволяет выявлять аномалии поведения, круг общения и приватные контакты сотрудников, а также профилировать их на основе 19 устойчивых паттернов поведения. Программное обеспечение имеет сертификат соответствия ФСТЭК России №3706, а также входит в Единый реестр отечественного ПО (№ 1480).
«Мы рассматриваем технологическое сотрудничество с разработчиками ПО как одну из основ успешного развития бизнеса в сфере ИТ. Сейчас на российском рынке информационной безопасности ведется системная работа по обеспечению готовности государственных компаний к импортозамещению. «Ростелеком-Солар» со своей стороны стремится помочь данным компаниям в части более легкого и беспроблемного перехода на российские разработки, обеспечив максимальную совместимость своих технологий с отечественными системами других классов. Совместимость нашего флагманского продукта Solar Dozor с отечественной РЕД ОС – один из существенных шагов в данном направлении», – отметила Галина Рябова, директор Центра продуктов Solar Dozor компании «Ростелеком-Солар».
РЕД ОС – российская операционная система общего назначения семейства Linux для серверов и рабочих станций. Продукт обладает сертификатом ФСТЭК России (№4060 от 12.01.2021), что подтверждает его соответствие требованиям информационной безопасности и допускает его применение в государственных информационных системах и информационных системах персональных данных до 1 класса включительно. РЕД ОС зарегистрирована в Едином реестре российских программ для ЭВМ и баз данных Минкомсвязи России (№3751).
«Использование системы Solar Dozor в среде операционной системы РЕД ОС позволит клиенту обеспечить высокий уровень информационной безопасности своих процессов. Совместно с партнерами рады предоставить еще одно импортонезависимое решение», – прокомментировал Рустам Рустамов, заместитель генерального директора РЕД СОФТ.
О компании «Ростелеком-Солар»
«Ростелеком-Солар» — компания группы ПАО «Ростелеком». Национальный провайдер сервисов и технологий для защиты информационных активов, целевого мониторинга и управления информационной безопасностью.
В основе наших технологий лежит понимание, что настоящая информационная безопасность возможна только через непрерывный мониторинг и удобное управление системами ИБ. Этот принцип реализован в наших продуктах и сервисах.
Снятие снимков экрана
Что может быть полезнее для расследования, чем фотографии с места преступления? Solar Dozor позволяет с заданной периодичностью делать снимки рабочего стола сотрудника, таким образом подкрепляя данные по инцидентам неоспоримыми доказательствами. Создание скриншотов можно настроить по расписанию, а также привязать к действиям сотрудника на компьютере.
Например, фотографировать экран после того, как пользователь нажал Enter, PrintScreen или другую комбинацию клавиш, которая может быть сигналом к определённым действиям. Архив изображений представлен в виде привычной для пользователей галереи, поддерживающей всевозможные фильтры для удобного отображения и визуализации.
Совместное использование поисковых запросов
В крупных компаниях рутинная работа по сбору данных о событиях и инцидентах в безопасности делегируется младшим специалистам службы ИБ. Solar Dozor 7.5 поддерживает сценарий, согласно которому офицер безопасности может не просто поделиться с другим пользователем системы копией поискового запроса, а предоставлять доступ на выполнение созданных им поисковых запросов.
Рисунок 21. Ограничение доступа к запросам в Solar Dozor 7.5
Офицер безопасности, создавший и сохранивший запрос (владелец запроса), может предоставлять одному или нескольким пользователям доступ к своему запросу. В этом случае в зависимости от своих полномочий пользователь может:
- при наличии ограниченных прав доступа — выполнять запрос и просматривать его параметры;
- при наличии полных прав доступа — выполнять запрос, просматривать параметры, а также создавать копии этого запроса.
Рисунок 22. Предоставление доступа к запросу одному или нескольким пользователям в Solar Dozor 7.5
Статус активности агента
Чтобы быть уверенным в непрерывности мониторинга действий сотрудников на рабочих станциях, в Solar Dozor реализована функция контроля статуса активности агентского модуля. Проверить стабильность связи агентов с центральным сервером офицер безопасности может практически в любой ситуации, когда просматривает группы пользователей или отдельные карточки сотрудников.
Считывание структуры внешнего носителя
Модуль Dozor Endpoint Agent в новой версии Solar Dozor 7.5 умеет считывать структуру каталогов и файлов со внешнего подключённого носителя. Теперь у специалистов по информационной безопасности есть возможность просмотреть не только список внешних USB-устройств, подключаемых сотрудником к своему компьютеру, и информацию об этих устройствах, но и их структуру: названия папок и файлов.
В предыдущих версиях Solar Dozor с рабочих станций пользователей на сервер передавалась полная информация обо всех подключённых к станции внешних устройствах (флеш-накопителях, жёстких дисках, веб-камерах, токенах и др.) — идентификатор устройства, производитель, название модели и т. п.
Начиная же с версии Solar Dozor 7.5 помимо сведений об устройстве в модуле Dozor Dossier отображаются данные о дереве папок и списке файлов на подключаемых к рабочей станции съёмных носителях информации. В карточке «Досье сотрудника» появились дополнительные возможности фильтрации информации по дате, возможность перехода к поиску файлов, зарегистрированных в системе с таким же именем, а также выбор данных только для заданной организационной единицы при работе системы в режиме MultiDozor.
Рисунок 31.Схема реализации перехватов структуры каталогов и файлов со внешнего носителя в новых версиях Solar Dozor
Рисунок 32. Проверка структуры подключаемых внешних устройств в Solar Dozor 7.5
Помимо поиска по самому устройству (VID, PID, серийный номер) в новой версии появилась возможность искать по названиям файлов, а также проверять их наличие в трафике организации.
Рисунок 33. Поиск на внешнем носителе по названиям файлов в Solar Dozor 7.5
Для получения структуры внешних носителей достаточно установить в настройках Dozor Endpoint Agent флажок «Получение структуры каталогов со съёмными носителями» и установить уровень вложенности каталогов.
Рисунок 34. Получение структуры каталогов со съёмных носителей в Solar Dozor 7.5
Технические характеристики
| Диапазоны измерений: | Значения |
| – аммиак | от 0 до 120 мг/м3 или от 0 до 1500 мг/м3 |
| – диоксид азота | от 0 до 15 мг/м3 |
| – диоксид серы | от 0 до 120 мг/м3 |
| – оксид углерода | от 0 до 1 об. % или от 0 до 120 мг/м3 |
| – кислород | от 0 до 1 об. % или от 0 до 30 мг/м3 |
| – сероводород | от 0 до 50 мг/м3 |
| – хлор | от 0 до 5 мг/м3 |
| Пределы основной абсолютной погрешности (в зависимости от контролируемого компонента) | ±0,06; ±0,8; ±1,25; ±7,5 |
| Диапазон рабочих температур | от минус 40 до 50 °C |
| – для БПС | от 1 до 50 °C |
| – для ИП | от минус 40 до плюс 50 °C |
| Выходные сигналы: | |
| – управление исполнительными устройствами | «сухой» контакт пороговых устройств: |
| – объединены по всем каналам или по 2-м группам каналов (БПС IP40) | |
| – раздельные по каждому каналу (БПС IP65) | |
| – реле | 2 А, ~220 В |
| – токовый выход | 0-5, 0-20 или 4-20 мА |
| – цифровой выход | RS232 или RS485 (только в корпусе IP65). |
| Количество измерительных каналов | 1, 2, 4 (БПС IP40) |
| 1, 2, 3, 4, 5 (БПС IP65) | |
| Звуковая и световая сигнализация | автоматическая |
| Питание | БПС IP40: ~220В 50 Гц |
| БПС IP65:основное ~220 В, резервное 80-270 В | |
| Габаритные размеры и масса, не более: | |
| – блока (в зависимости от исполнения) | 180х330х110 мм (БПС IP40)/4,0 кг |
| 284х239х134 мм (БПС IP65)/ 4,0 кг | |
| – датчика (в зависимости от исполнения) | 76х56х69 мм / 0,4 кг |
| 109х115х134 мм / 0,4 кг | |
Трансляция видео с экрана рабочей станции
Эта функция реализована по многочисленным просьбам как действующих заказчиков Solar Dozor, так и потенциальных пользователей, тестировавших систему. В процессе расследования событий по информационной безопасности с подозрением на инцидент мониторинг экрана рабочей станции является одним из инструментов, который может помочь выявить действия нарушающие правила обращения с конфиденциальной информацией.
Трансляция видео доступна из краткой и полной карточек персоны. По умолчанию окно трансляции открывается в формате миниатюры и работу с функциями системы можно продолжать в прежнем режиме. Дополнительно трансляцию можно развернуть на весь экран и адаптировать её под разрешение экрана сотрудника службы информационной безопасности. Эта возможность реализована для рабочих станций под управлением ОС семейств Windows и Linux.
Рисунок 23. Трансляция экрана рабочего стола из полной карточки персоны в Solar Dozor 7.5
Рисунок 24. Трансляция экрана из краткой карточки персоны в Solar Dozor 7.5
Функции
Газоанализатор выполняет следующие функции:
Новый dozor endpoint agent для macos
В Solar Dozor 7.5 модуль агентского перехвата претерпел самые большие изменения, и, пожалуй, наиболее значимое из них — реализация Dozor Endpoint Agent для рабочих станций под управлением macOS. Рассмотрим подробнее возможности этой реализации.
Выводы
Программный комплекс Solar Dozor представлен на рынке с 2001 года и является одной из наиболее зрелых систем класса DLP (Data Leak Prevention). Его отличают не только развитые механизмы защиты конфиденциальной информации от утечек, но и реализованные инструменты выявления признаков корпоративного мошенничества, а также уникальные алгоритмы усовершенствованного анализа поведения пользователей (UBA).
В новой версии Solar Dozor 7.5 разработчики системы сфокусировались на реализации технологий UBA и анализа хранения конфиденциальной информации в территориально-распределённом режиме. Кроме того, усиление инструментов контроля конфиденциальных данных — проверки содержимого внешних носителей, блокировки передачи запароленных архивов, дополнительной проверки номеров банковских карт, а также расширение возможностей при расследовании ИБ-инцидентов, гибкая настройка доступа к данным самой DLP-системы — направлены на повышение надёжности защиты конфиденциальной информации и снижение риска её утечки.
Достоинства:
- Эффективный перехват и широкие возможности блокировки утечки с помощью агента непосредственно на рабочем месте практически по всем каналам передачи данных.
- Низкий уровень ложных срабатываний.
- Развитая визуальная аналитика.
- Удобные инструменты для проведения расследований.
- Высокая производительность (выдерживает нагрузки от более чем 400 000 пользователей).
- Эффективная работа в крупных географически распределённых компаниях.
Недостатки:
- Отчёт о поведении персон по паттерну в модуле UBA пока доступен лишь для выгрузки и печати, без опции автоматической отправки на электронную почту.
- Контроль Cisco WebEx Teams осуществляется только при наличии модуля File Crawler.
- Просмотр экрана сотрудника возможен только в режиме онлайн, запись видео будет реализована в следующих версиях.