EndpointСontroller

Теневое копирование с USB

Обновленная версия продукта позволяет проводить аудит всех файлов, хранящихся на подключенном к компьютеру USB-устройстве. Решение делает теневые копии файлов и проверяет их по всем политикам безопасности. Такой подход позволяет точнее определять группы риска среди сотрудников, например, узнавать о радикальных взглядах людей, их опасных пристрастиях или необоснованных фактах хранения секретов фирмы на личной флешке.

Настройка доступа/блокировки токенов

Раньше подключение токена к ПК было довольно сложно детектировать: система могла идентифицировать устройство, как USB или smart-карту. В результате, чтобы разрешать или блокировать устройство, приходилось объединять несколько правил безопасности для разных классов устройств. Теперь система безошибочно определяет подключение токенов и позволяет разграничивать доступы к ним с помощью единого правила. Система стала более гибкой.

Новые классы устройств DeviceAudit

Обновленная система не просто детектирует подключение телефона к компьютеру, но распознает устройство: Android, Apple iOS, BlackBerry Palm и Windows Phone. Это позволяет ИБ-службам применять более гибкие настройки безопасности. Например, разрешать доступ корпоративным Apple со встроенной системой защиты и блокировать личные Android сотрудников, которые могут представлять угрозу.

Перехват паролей агентом Keylogger

В настройках агента Keylogger реализована возможность отключать перехват паролей, которые пользователи вводят в системных окнах авторизации. По умолчанию перехват включен.

ReportСenter

Отчет «Сводная информация по пользователям»

Новый отчет отображает, какие сайты посещает пользователь и какие процессы он запускает в течение суток. Отмечается и продолжительность работы. Опционально может быть отображена таблица с детальной информацией о последовательности запускаемых пользователем процессов/веб-сайтов и продолжительности работы в каждом из них.

Отчет «Поиск по заголовкам программ»

Запуская Microsoft Word, пользователь работает с конкретным документом. По заголовку этого процесса «КИБ СёрчИнформ» отслеживает активность пользователей и продолжительность работы. Поиск можно вести в нужном диапазоне времени, по заданным пользователям, а также группе процессов/сайтов, где должен присутствовать искомый заголовок.

AlertCenter

Выявление похожих email-адресов

Используется при создании политик детектирования отправки файлов либо на личные почтовые адреса, либо на адреса конкурентов. Инциденты по совпадениям внутренней корпоративной почты не формируются. Например, с адреса i.ivanov@company.com отправлено письмо на несколько адресов, среди которых есть ivanov@gmail.com. Таким образом, инцидент будет сформирован по совпадению «ivanov» в адресе получателя и отправителя.

Пакетная настройка политик

С обновлением решения процесс настройки политик безопасности стал еще проще. Теперь задавать, перенастраивать и отключать параметры («расписание проверки», «получатели уведомлений» и «используемые списки уведомлений») можно централизованно для всех политик и критериев поиска.

«Родной формат»

Новый режим просмотра инцидентов позволяет увидеть детали в формате исходного документа (сохраняются таблицы, фон, шрифт, выделение и другие элементы). В случае, когда администратор КИБ имеет дело с несколькими разрозненными сработками AlertCenter по одному инциденту, «родной формат» позволяет посредством одного клика обратиться к исходному документу и выяснить детали.

DataСenter

Контроль прав доступа

До обновления системы распределение прав доступа осуществлялось по пользователям. Теперь решение задействует иную модель: создается уникальная роль с преднастроенными правами доступа, после чего она присваивается определенному кругу пользователей. По умолчанию в системе предустановлены роли Admin (полный доступ) и Viewer (только чтение). Каждому добавленному аудитору присваивается роль Viewer, которая при необходимости может быть изменена. Выбранных ролей может быть несколько.

SearchInform Client

Контентный маршрут документов

Добавлена возможность построения контентного маршрута для данных, имеющих атрибут FileHash (поддержано только в SearchServer 4.*). Система делает прозрачной картину перемещения документов, указывает отправителя и получателей, а также каналы связи, использованные для передачи данных. Инструмент выводит процесс расследования на новый уровень, позволяя службе ИБ оперативно отслеживать факты распространения информации.

Отображение структуры файловой системы

Для удобства работы система отображает структуру файловой системы для данных, полученных с помощью теневого копирования с USB.

Search Server

Новый атрибут KeyLogger

Атрибут «Метод ввода текста» позволяет осуществлять поиск среди содержимого буфера обмена по критериям: ввод текста, копирование в буфер обмена или вставка из буфера обмена.