Новая версия Makves DCAP 2.7

В обновленном Makves DCAP значительно расширена функциональность в части файлового аудита и анализа событий:

• Аудит файловых систем без использования штатных средств ОС Windows;
• Вычисление атипичных параметров файлов, почтовых ящиков и событий;
• Анализ повторяющихся событий;
• Анализ реального использования прав доступа;
• Анализ владельцев файлов;
• Увеличена скорость прямого чтения событий из системных журналов в 8 раз.

Для ИБ-специалиста важно быстро найти ответы на вопросы: кто и когда совершил конкретные действия с определенной папкой или документом. Для этого в ОС Windows используется аудит доступа к объектам — запись в журналы информации о событиях: источник, объект, код события и т. д. Объектом аудита может являться файл, папка, или определенное событие — например, вход пользователя в систему.

Чтобы реализовать ежедневный анализ данных аудита, ИБ-специалисту необходимо обращаться в ИТ-отдел для выполнения ряда настроек через локальные или групповые политики безопасности. При этом, если к данным обращается большое число пользователей, включение отслеживания всех событий может привести созданию множества записей аудита, и переполнению журнала Windows, что может являться проблемой в связи с ограничением ИТ-ресурсов.

Возможность аудита файловых систем без применения штатных средств ОС Windows позволяет сократить лишние этапы согласования и ряд рутинных операций, повышая эффективность взаимодействия ИТ и ИБ департамента.

Makves DCAP контролирует параметры пользователей, компьютеров, файлов, почтовых ящиков и их взаимодействие.

На основе полученных данных при помощи алгоритмов выявления аномалий система выстраивает индекс атипичности для каждой сущности системы: пользователя, компьютера, файла, почтового ящика и события. Это позволяет своевременно выявить подозрительную активность и вызвать оперативную реакцию администратора.

Чтобы оперативно выяснить, кто действительно обращается к конкретным данным и нормально ли для пользователя такое поведение, необходимы средства автоматизации — просмотр журналов событий занимает слишком много времени.

Makves DCAP собирает информацию из различных журналов событий Active Directory, Exchange и из других источников. Программа позволяет отслеживать все ключевые действия — изменения прав, сброс пароля, операции с файлами. В новом Makves DCAP реализован анализ повторяющихся событий, которые могут являться признаком DDoS атаки. В случае обнаружения системой таких событий оператор получит уведомление в консоли и на электронную почту.

Зачастую доступ к информационным ресурсам открывается подрядчику или внутреннему сотруднику по ошибке. Поэтому при выдаче прав доступа и обращении пользователей к данным необходимо понимать, какие виды данных они действительно используют. Если пользователь получил доступ к конфиденциальной информации, но в течение длительного времени не обращается к ней, возникает вопрос — для чего сотруднику вообще нужно были выданы такие широкие права?

Makves DCAP отображает детализацию событий по действиям с конкретным файлом. Полученный отчет можно экспортировать в файл или отправить по почте.

Для организации эффективной модели доступа, соответствующей бизнес-процессам компании, необходимо правильно определять принадлежность данных. В актуальной версии системы реализован анализ владельцев файлов — в карточке папки или файла отображены не только истинные владельцы, но и активные пользователи ресурсов.

Подробную информацию по каждому типу владельца можно получить прямо из карточки файла, кликнув на интересующую учетную запись.