大家好! 我的名字叫米哈伊尔(Mikhail),我在防止信息泄漏(DLP)类的系统和行为分析系统中使用数据。 在信息安全领域的多年工作中,我很幸运地结识了许多系统。 最近的熟人之一是StaffCop Enterprise v.4.4。
在这篇评论中,我将分享我在工作中使用StaffCop系统的印象。
介面
对于此类产品,智能,用户友好的界面非常重要,但分析人员每天都必须使用它。
桌面截图:
我喜欢一切结构的方式,但是面板的布置起初会给人以轻微的不适。 但是,稍后您习惯了这种实现并迅速开始执行任务。
对于成功显示信息,StaffCop值得赞扬! 分析事件时,可以使用表,折线图,饼图,图形和树等度量。 在不同的任务中,这些数据表示形式对于找到解决方案非常有帮助。
要查看事件,您可以使用表格,列表,图片,对应关系,就主题进行的对话以及热图,该热图使您可以从整体上查看情况并快速检测可疑活动。
到目前为止,唯一令人不安的是缺乏“案例管理”,即处理突发事件的全面工作。
工具
现在介绍必须解决的任务以及如何使用Staff?op进行操作。
重要说明:到目前为止,我还没有使用过大量使用Staffcop的经验,因此我无法对深档案中的搜索速度说什么。1.员工在工作场所做什么?我们总共按下一个按钮并加载测量卡(在这种情况下,对于员工):
它有很多有用的东西:来自AD的数据,最近的活动,站点和应用程序上的活动,用户已登录的PC信息,联系人和对应关系图,搜索查询和时间跟踪。
而且,系统具有编辑该卡的能力,即 您可以添加/删除各种信息模块。 还有许多其他实体的度量卡:例如,文件,站点,设备等。
但是有一些缺点,当尝试卸载卡进行发送时,必须将其发送进行打印并以PDF格式保存。 不方便地,缩放也存在问题:在某些情况下,使用的字体太小。
2.实时员工监控这是关于将特定员工连接到桌面并监视其行为。 是的,是的,不要感到惊讶,此类任务并不罕见。
有这样一种机制,它确实有效,并且在当前版本中引入了所谓的“ quadrator”,即同时显示多个桌面。
但是,和往常一样,我想要更多。 例如,如果某位员工阻止了桌面并开始营业,您仍然会看到他的桌面。 请注意,员工自己不能仅通过按时停止工作。
为测试目的而检查控件的捕获能力。 它运作良好,但实际上尚未派上用场。
3.异常检测器和文件跟踪任务我马上注意到,并非所有此类系统都具有相似的功能,因此,我将向您详细介绍这些工具。从供应商的知识库中摘录的异常检测器:
一种新的报告类型,其中“异常”表示为用户工作站上的已拦截事件。
异常是每小时某种类型事件的数量的超出部分,如果它是系统最后一周计算的标准值的10倍或更多倍。
可以更改系统异常的阈值。 该阈值以一定时期内所收集事件的标准化值超出次数的数字形式设置。它看起来简单明了,但是如何使用这些信息则取决于您。
分别关于分布图。
要搜索文件的提及内容,您需要像员工一样打开文件度量卡。 它包含有关谁,何时何地以及如何与他一起工作的信息。 在这种情况下,您可以快速构建可视化的信息移动图。
这是为了什么 解决一个标准问题:找到与...合作的人/泄漏了一份销售报告。
4.员工绩效报告对于这类产品,DLP是最纯净的形式,它是此类产品的重要工具之一。 StaffCop有许多不同的报告选项,它们提供了相当真实的信息。
该主题可能与尝试报告用户活动(例如,使用Web代理系统)的用户接近。 通常,用户在网站上打开了数千个横幅广告下载,并且几乎不可能计算出他在互联网上的实际“浏览量”。
而且,从管理人员那里收到的关于此员工或该员工正在做什么的请求与调查信息泄漏的任务大致相同。 对于StaffCop,只需花费一分钟即可编写这样的报告,而对于其他没有类似工具的DLP系统,则可以全天投入以完成这样的任务。
结论
StaffCop正在迅速发展。 主要重点是控制员工的工作场所。 军械库具有诸如软件安装/卸载控制,此软件和硬件的注册表之类的功能,而这些功能远非信息安全市场上的所有系统都可用。
现在,StaffCop是一个员工时间管理系统,具有许多方便的工具和一些DLP功能。 明天将成为一个悬而未决的问题。
是的,有缺点:在某处,某些内容不会显示或被拦截。 供应商正试图快速修复此类错误。
通常,StaffCop是用于解决非典型信息安全任务的有价值的产品。
服装公司Infosecurity的DLP部门事件分析主管Mikhail Godzhaev。