Новая версия системы Makves DCAP

В новой версии продукта реализован сервис получения системных уведомлений минуя журнал событий EventLog, добавлены новые функции выявления ненаследуемых прав доступа и возможность отображения содержимого доступных файлов в консоли.

Расширена детализация статистики по событиям и аномалиям, увеличена скорость формирования отчетов, а также реализована возможность настройки отчетов по расписанию. Добавлены возможность управления правами доступа пользователей из консоли и визуальный редактор стандартов.

Makves DCAP в реальном времени отслеживает и фиксирует все ключевые действия пользователей — чтение, модификацию, копирование, удаление.

Пользователи корпоративной системы с правами администратора имеют возможность просматривать историю событий и очищать журнал. В случае компрометации учетной записи администратора или его несанкционированных действий, история событий может быть изменена. Под учетной записью администратора можно изменить политику аудита и остановить запись несанкционированной активности в журнале EventLog.

Обновленный Makves DCAP обеспечивает непрерывный контроль над всеми событиями системы минуя EventLog. В случае несанкционированных действий со стороны администратора оператор системы получит уведомление в консоли.

Makves DCAP собирает информацию из различных журналов событий Active Directory, Exchange и из других источников. Собранные сведения хранятся в разделе «События» главного меню. Для оперативного обнаружения угроз необходима подробная статистика по событиям в различных разрезах времени и по разному типу событий.

В новой версии все события в системе классифицированы по типу — события Active Directory, операции с файлами, авторизация в системе и другие.

Отклонения от нормы фиксируются во вкладке Аномалии — аномальные по размеру файлы, нетипичные события, количество таких событий за период и так далее. К аномальным событиям можно отнести: подключение пользователей к корпоративным ресурсам в нерабочее время, аномальное количество обращений к файлам, массовое удаление файлов и другие.

В новом Makves DCAP реализована детализация событий и аномалий по действиям, рискам и категориям. Это помогает оператору лучше ориентироваться в событиях и оперативно реагировать на инциденты.

Как правило, разрешения и ограничения в правах доступа к папкам определяют права пользователей ко всем документам и файлам, находящимся внутри них. Новые файлы и папки, которые создаются пользователями, по умолчанию получают набор наследуемых разрешений от родительской папки. Все документы и файлы, которые создаются в папке «Паспортные данные сотрудников» будут доступны только для уполномоченных лиц отдела по работе с персоналом и бухгалтерии.

Наследуемость данных может быть изменена вследствие действий пользователей. Ежедневно сотрудники организации копируют и перемещают файлы, создают новых владельцев документа и новые уровни доступа. Таким образом, сторонние пользователи могут получить избыточные права доступа. Например, копия папки Финансовый аудит, перемещенная в другую папку с целью печати документа может оказаться в открытом доступе. При наличии избыточных прав пользователи системы могут изменить, удалить важную информацию или воспользоваться ей в мошеннических целях.

Информация о файлах с ненаследуемыми правами отображается на дашборде Статистики по файлам. Также оператор системы может открыть и настроить подробный отчет по файлам и папкам с ненаследуемыми правами: название папки, соответствие стандартам, уровни доступа и владельцы, наличие дубликатов, статистика по событиям и так далее.

В новой версии продукта появились тонкие настройки политик безопасности для отдельных папок. При настройке новых правил, папка не будет попадать в рамки стандартных политик безопасности, что помогает оперативно реагировать на инциденты.

С помощью настройки можно ограничить доступ к файлу, который содержит конфиденциальную информацию, даже если он случайно оказался в папке с общим доступом.

Для уведомления о событиях и результатах мониторинга в продукте используется механизм отчетов и оповещений. Оповещения генерируются на основании шаблонов, которые создаются пользователем, и отображаются в соответствующем разделе.

Также в консоли формируются подробные отчеты по пользователям, компьютерам, файлам, событиям и почтовым ящикам. Представление отчета настраивается в табличном интерфейсе при помощи фильтров. Настройки фильтров сохраняется для следующего использования. Сам отчет можно выгрузить в Excel-файл или отправить по электронной почте.

В новом Makves DCAP появилась функция настройки отправки отчетов по расписанию в зависимости от объема и особенностей ИТ-инфраструктуры компании.

Пользователь с соответствующими правами доступа может намеренно или случайно удалить файл, который содержит ценную информацию. Фактически файл не удаляется сразу — система делает запись, которая указывает на то, что данный файл удален и его больше не существует.

Если файл удален по ошибке и пользователь вовремя обратился к системному администратору, то он легко будет найден и восстановлен. Если удаление файла оставить без внимания, то можно потерять важную для бизнеса информацию. Удаленные файлы в системе маркируются специальными метками. Это позволяет оперативно восстановить критически важную информацию.

В новой версии системы появилась возможность просмотра доступных файлы прямо в консоли. Это позволяет обнаружить и проверить несанкционированную маскировку файлов путем замены исходных данных.

Важно, что просмотр файлов возможен только при наличии специального доступа в системе.

Визуальный редактор стандартов помогает гибко настраивать параметры поиска и классификации критически важной информации в соответствии с текущими задачами.