مرحبا بالجميع! اسمي ميخائيل ، وأنا أعمل مع البيانات في أنظمة فئة منع تسرب المعلومات (DLP) وأنظمة التحليل السلوكي. لسنوات عديدة من العمل في مجال أمن المعلومات ، كنت محظوظًا للتعرف على العديد من الأنظمة. أحد معارفه الجدد هو StaffCop Enterprise v.4.4.
في هذا الاستعراض ، سوف أشارك انطباعاتي عن استخدام نظام StaffCop في العمل.
واجهة
لمثل هذه المنتجات ، واجهة ذكية وسهلة الاستخدام مهمة للغاية ، ومع ذلك يتعين على المحلل أن يعمل معها كل يوم.
لقطة شاشة لسطح المكتب:
أعجبتني الطريقة التي يتم بها تنظيم كل شيء ، لكن ترتيب الألواح في البداية يسبب ذهولًا بسيطًا. ومع ذلك ، اعتدت في وقت لاحق على مثل هذا التنفيذ وتبدأ بسرعة في أداء المهام.
وللعرض الناجح للمعلومات StaffCop يستحق الثناء! عند تحليل الأحداث ، تتوفر القياسات مثل جدول ورسم بياني خطي ومخطط دائري ورسم بياني وشجرة. في المهام المختلفة ، يمكن أن تكون عروض البيانات هذه مفيدة للغاية في إيجاد حل.
لعرض الأحداث ، يمكنك استخدام الجدول ، والقائمة ، والصور ، والمراسلات ، وتشكيل محادثات حول الموضوعات ، ومخطط حراري يسمح لك بالنظر إلى الموقف ككل والكشف بسرعة عن الأنشطة المشبوهة.
الشيء الوحيد الذي يثير الانزعاج حتى الآن هو الافتقار إلى "إدارة الحالات" ، أي العمل الكامل مع الحوادث.
الأدوات
الآن عن المهام التي كان لابد من حلها وكيفية القيام بذلك مع Staffop.
ملاحظة مهمة: حتى الآن لم تكن لدي خبرة في استخدام Staffcop على كميات كبيرة ، لذلك لا أستطيع أن أقول أي شيء عن سرعة البحث في الأرشيفات العميقة.1. ماذا يفعل الموظف في مكان العمل؟نضغط على زر واحد في المجموع ونحمّل بطاقة القياس (في هذه الحالة ، الموظف):
يحتوي على الكثير من الأشياء المفيدة: بيانات من م ، نشاط حديث ، نشاط على المواقع والتطبيقات ، معلومات عن أجهزة الكمبيوتر التي قام المستخدم بتسجيل الدخول إليها ، جهات اتصال ورسوم بيانية للمراسلات ، استعلامات البحث وتتبع الوقت.
علاوة على ذلك ، فإن النظام لديه القدرة على تعديل هذه البطاقة ، أي يمكنك إضافة / إزالة وحدات مختلفة من المعلومات. هناك أيضًا بطاقات قياس للعديد من الكيانات الأخرى: على سبيل المثال ، لملف أو موقع أو جهاز ، إلخ.
ولكن هناك بعض العيوب ، عند محاولة إلغاء تحميل البطاقة لإرسالها ، يجب إرسالها للطباعة وحفظها بتنسيق PDF. بشكل غير مريح ، هناك أيضًا مشكلات في القياس: في بعض الحالات ، يتم استخدام خطوط صغيرة جدًا.
2. رصد الموظف في الوقت الحقيقيإنه يتعلق بتوصيل موظف معين بسطح المكتب ومراقبة تصرفاته. نعم ، نعم ، لا تتفاجأ ، فهذه المهام ليست شائعة.
هناك مثل هذه الآلية ، وهي تعمل بالفعل ، وفي الإصدار الحالي ، تم تقديم ما يسمى بـ "quadrator" ، أي العرض المتزامن للعديد من أجهزة سطح المكتب.
لكن ، كما هو الحال دائمًا ، أريد المزيد. على سبيل المثال ، إذا قام أحد الموظفين بإغلاق سطح المكتب واستمر في العمل ، فستظل ترى سطح مكتبه. لاحظ أن الموظف نفسه غير متاح فقط عن طريق إيقاف الوقت على مدار الساعة.
القدرة على التقاط السيطرة فحص لأغراض الاختبار. يعمل بشكل جيد ، ولكن في الممارسة العملية لم يأت بعد.
3. كشف الشذوذ ومهام تتبع الملفألاحظ على الفور أن هذه الأنظمة ليس لها وظائف مماثلة ، لذا سأخبركم المزيد عن هذه الأدوات.مقتطفات من كاشف الشذوذ من قاعدة معارف البائع:
نوع جديد من التقرير يتم فيه التعبير عن "الحالات الشاذة" في الأحداث التي يتم اعتراضها في محطات عمل المستخدم.
الشذوذ هو الزيادة في عدد الأحداث من نوع معين في الساعة ، إذا كان 10 مرات أو أكثر من القيمة القياسية المحسوبة خلال الأسبوع الأخير من النظام.
يمكن تغيير عتبة نظام الحالات الشاذة. يتم تعيين هذه العتبة على شكل رقم يزيد عن عدد المرات من القيم الموحدة للأحداث التي تم جمعها خلال فترة زمنية معينة.تبدو بسيطة وواضحة ، ولكن كيفية استخدام المعلومات متروك لك.
بشكل منفصل عن خريطة التوزيع.
للبحث عن ذكر الملف ، تحتاج ، كما في حالة الموظف ، إلى فتح بطاقة قياس الملف. أنه يحتوي على معلومات حول من وأين ومتى وكيف عملت معه. في هذه الحالة ، يمكنك بناء رسم تخطيطي مرئي لحركة المعلومات بسرعة.
ما هذا؟ لحل مشكلة قياسية: اعثر على من عمل مع ... / تسرب تقرير مبيعات.
4. تقارير أداء الموظفهذه هي واحدة من الأدوات المهمة لمنتجات هذه الفئة التي تبتعد عن DLP في أنقى صورها. لدى StaffCop العديد من خيارات التقارير المختلفة ، وهي توفر معلومات واقعية إلى حد ما.
ربما يكون هذا الموضوع قريبًا من أولئك الذين حاولوا الإبلاغ عن نشاط المستخدم ، على سبيل المثال ، باستخدام أنظمة وكيل الويب. عادةً ما يكون لدى المستخدم الآلاف من التنزيلات لافتات مفتوحة على الموقع ، ويكاد يكون من المستحيل حساب مقدار "تصفح" بالفعل على الإنترنت.
علاوة على ذلك ، يتم تلقي طلبات من الإدارة حول ما يقوم به هذا الموظف أو هذا الموظف تقريبًا مثلها مثل مهام التحقيق في تسرب المعلومات. في حالة StaffCop ، لا يستغرق الأمر سوى دقيقة واحدة لكتابة مثل هذا التقرير ، ومع أنظمة DLP الأخرى التي لا تحتوي على أدوات مماثلة ، يمكنك التخلص من اليوم بأكمله لإكمال هذه المهمة.
الخاتمة
StaffCop ينمو بسرعة. التركيز الرئيسي هو على السيطرة على مكان عمل الموظف. يحتوي الترسانة على ميزات مثل التحكم في تثبيت / إلغاء تثبيت البرنامج ، وسجل لهذا البرنامج والأجهزة ، والتي لا تزال غير متوفرة على جميع الأنظمة في سوق أمن المعلومات.
Now StaffCop هو نظام لإدارة وقت الموظفين مع عدد من الأدوات المناسبة وبعض ميزات DLP. ما سوف يصبح غدا هو سؤال مفتوح.
نعم ، هناك عيوب: في مكان ما ، لا يتم عرض شيء أو اعتراضه. يحاول البائع إصلاح هذه الأخطاء بسرعة.
بشكل عام ، يعد StaffCop منتجًا مفيدًا لحل مهام أمان المعلومات غير التقليدية.
ميخائيل جودزهايف ، رئيس تحليل الأحداث ، وحدة DLP ، Infosecurity a Softline Company.