Обзор консоли администратора
Консоль администратора в DLP-системе SecureTower используется для централизованной установки и настройки работы всех элементов программы. Данная консоль позволяет устанавливать и изменять параметры перехвата и периодичность индексирования данных, просматривать статистику по перехваченному трафику в режиме реального времени, а также настраивать порядок уведомлений о сбоях в работе системы перехвата.
В настоящей статье и видеоролике мы проведем общий обзор модулей консоли администратора. Данный материал может помочь лучше разобраться в SecureTower тем, кто только приступает к работе с DLP-системой, установил триал-версию или хочет получше ознакомиться с интерфейсом и функционалом программы перед принятием решения о её внедрении.
Монитор состояния
Вкладка Монитор состояния отражает показатели системы: загрузку ЦПУ, использование оперативной памяти и места на жестком диске, также на ней указаны все установленные компоненты и их состояние. Если происходят важные события, они сопровождаются информационным сообщением в верхней части компонента и изменением его цвета. Также здесь доступны некоторые базовые настройки.
Центральный сервер
Центральный сервер является основным компонентом SecureTower, так как через него проходят все информационные потоки. Он распределяет данные по базам, выполняет балансировку, репликацию, перенаправление данных, организует взаимодействие всех компонентов системы. Модуль осуществляет функции лицензирования, поиска по разным типам данных. Распознавание текста и речи также регулируются со стороны центрального сервера.
Пользователи и привилегии
В SecureTower можно задать авторизацию как с помощью встроенной системы, так и с помощью учетных записей Windows. На всех пользователей создаются карточки, в которых хранится персональная информация, идентификация в локальной сети, а также используемые учётные записи почты, социальных сетей, мессенджеров. Для пользователей можно определить права доступа к системе SecureTower. Также можно получить полноценную информацию из Active Directory и периодически ее обновлять. Все события, касающиеся авторизации и работы с карточками пользователей, фиксируются в журнале.
Агенты
В настройках можно задать резервное имя сервера, что позволяет использовать альтернативные каналы связи, в том числе и интернет, для передачи данных от агента – серверу. Установку агентов можно осуществлять прямо из консоли администратора. Для этого можно использовать объекты Active Directory, указать список вручную, либо из буфера обмена. Для установки агентов на конечных рабочих станциях можно воспользоваться также дистрибутивом агента. Привязка контактной информации позволяет автоматически создавать карточки и дополнять их используемыми аккаунтами. Индексирование даёт возможность контролировать файлы, хранящиеся на рабочих станциях, и проверять их соответствия файлам-эталонам, заданным в банке хэшэй.
Для активных агентов отображается информация о сетевом адаптере (его IP-адрес), указывается, когда была передана последняя порция данных, и их объем. Доступна информация комплексно по статистике сервера, а также о количестве агентов, соответствующих определенным статусам. Для контролируемых пользователей можно получить сведения об используемом профиле, а также детальную информацию о полученных и переданных данных. Здесь можно узнать параметры оборудования, контролируемого ПК, операционную систему и статистику агента.
Все настройки сведены в профили, которые позволяют задавать гибкие параметры контроля для различных объектов. Настройки могут применяться как к объектам Active Directory, так и к отдельным компьютерам или пользователям рабочих групп. Есть возможность задавать дифференцированные настройки в зависимости от определенных условий.
- На уровне сетевого адаптера могут контролироваться протоколы POP3, SMTP, OSKAR, HTTP, Веб-коммуникации, XMPP, Mail.ru агент, Yahoo клиент, FTP. Что касается протокола MAPI, то есть возможность контролировать его не только на уровне сетевого протокола, но также и на уровне приложения. Для сетевых настроек можно задавать исключения, чтобы некоторые процессы, либо узлы в локальной сети не контролировались.
- Контроль накопителей устройств разделен на две части – по принципу, можно ли сохранять на эти устройства информацию. Доступен аудит операций, а также создание теневых копий. Можно ограничить доступ полностью, либо запретить запись, но разрешить чтение.
- Для контроля печати можно задавать максимальный размер документа, количество страниц, которое будет перехвачено, а также включать дополнительные опции, которые позволяют контролировать сложные устройства, такие как плоттеры и матричные принтеры.
- Вкладка «профили» также содержит перечни контролируемых мессенджеров, браузеров, облачных хранилищ.
- Перехват сетевых ресурсов предназначен для контроля доступа пользователей к общим ресурсам локальной сети: можно сохранять теневые копии копируемых файлов, полностью запретить доступ к некоторым ресурсам или разрешить для них только чтение.
- Активность рабочего стола включает в себя функционал по снятию скриншотов, анализ использования приложений, контроль буфера обмена, контроль нажатия клавиш на клавиатуре. Активность рабочего стола дополняется возможностью блокировать запуск определенных приложений. Причем, контроль может осуществляется не только по имени файла, но и по другим атрибутам, которые позволяют комплексно ограничить пользователя при работе со сложными приложениями, включающими в себя множество процессов.
- Аудио-видео мониторинг позволяет контролировать рабочий стол, прослушивать микрофон. Можно задавать планировщики для автоматической записи, что позволяет дополнительно перехватывать изображение с веб-камеры и все звуки, передаваемые на динамики.
- Прочее. Для различных профилей, применяемых к компьютерам, можно задавать исключения пользователей - то есть такие пользователи контролироваться не будут. Для агента существует несколько режимов работы. Скрытый режим позволяет полностью сделать агента невидимым, как на уровне файловой системы, так и в процессах, службах. Если агент работает открыто, то для пользователей можно настроить различные уведомления, в случаях, если они нарушают какие-либо правила. При отсутствии связи агента с сервером данные могут храниться локально до момента, когда связь будет восстановлена. Можно задать лимит, как по объему, так и по сроку хранения. Для передачи данных от агента к серверу можно установить лимит, который позволит сохранить пропускную способность канала. Расписание позволяет не только указать, когда и с какой скоростью отправлять данные, но также даёт возможность передавать особо тяжелый трафик в периоды, когда нагрузка на сеть минимальна.
- Существует возможность осуществлять блокировку по протоколам SMTP, MAPI, HTTP. Можно создавать сложные составные условия и контролировать передачу данных, по ключевым фразам, определенным узлам, множеству других критериев.
- Контроль файловой системы позволяет обнаруживать на контролируемых рабочих станциях файлы, которые запрещены к распространению.
Обработка почты
Данный модуль предназначен для взаимодействия с почтовыми серверами. Поддерживает такие продукты как Microsoft Exchange, Lotus Domino. С помощью стандартных протоколов можно осуществлять подключение и к другим серверам, если они поддерживают работу с транспортными правилами.
Перехват сетевого трафика
Для выбранных адаптеров можно осуществлять контроль пакетов перечисленных протоколов. В случае, если используются нестандартные порты для передачи данных, можно изменить соответствующие настройки. Контроль интенсивности трафика можно осуществлять с помощью вкладки «статистика».
Сервер ICAP
Предназначен для взаимодействия с прокси-серверами, поддерживающими работу по одноименному протоколу, например, SQUID, Microsoft TMG. Позволяет контролировать HTTP трафик. Есть возможность задать фильтры по IP-адресам либо по HTTP-атрибутам.
Распознавание изображений
Данный модуль предназначен для анализа графических файлов. В случае, если на изображении присутствует текст, он будет обнаружен и сохранен. Поддерживается внушительный список языков. Статистика позволяет оптимизировать производительность сервера и использовать его на полную мощность.
Распознавание речи
Данный модуль осуществляет анализ аудио файлов -- поиск речи. Результаты доступны в текстовом формате. Используется встроенное средство распознавания, а также можно задействовать облачные сервисы, основанные на нейронных сетях.
Журнал событий
Предназначен для протоколирования всех событий, происходящих в системе SecureTower. С помощью него можно получить детальную информацию о событии, также можно настроить отправку уведомлений по электронной почте.