Конфигурация - Правила мониторинга

Правила мониторинга необходимы для тонкой настройки пользовательской конфигурации. Staffcop Enterprise имеет возможность задавать в правилах мониторинга исключения и блокировки практически для любых типов данных, процессов и активностей пользователя.

Правила: Мониторинг пользователей

../../_images/configurations_monitoring_1.png

Запретить - запрет сбора событий указанных в списке пользователей

Разрешить - разрешение сбора событий для указанных в списке пользователей. Все остальные события со всех остальных пользователей собиратсья не будут.

Правила: Мониторинг - Приложения

../../_images/configurations_monitoring_2.png

Это правило может исключить из перехвата события, которые выполняются автоматически или заданы системных администратором на конечных станциях, уменьшая при этом нагрузку на сервер Staffcop Enterprise.

Запретить - запрет сбора событий генерируемого указанным исполняемым файлом, приложением или списка приложений.

Разрешить - разрешение на отслеживание событий для приложений, перечисленных в списке. Не указанные в списке приложения не отслеживаются.

Правила: Блокировка - Приложения

../../_images/configurations_monitoring_3.png

Блокировать - блокировать запуск приложений по имени. Не внесённые в список приложения не блокируются.

Разрешить - список разрешенных приложений по имени.

Примечание

При добавлении разрешенных приложений учитывайте, что все приложения, не внесенные в разрешенный список, блокируются! Это может привести к неработоспособности операционной системы.

Правила: Приложения - Особый контроль

../../_images/configurations_monitoring_4.png

Разрешить - внесённый список приложений будет использовать конфигурацию по снятию скриншотов, которая задаётся в опции - Интервал создания скриншотов для выбранных приложений (особый контроль).

Примечание

Применяется для тех программ, для которых нет возможности записать события, кроме как записать скриншот с экрана. Например, некоторые банковские программы используют для управления только мышь. Особый контроль с учащённым снятием скриншотов решает эту проблему и предоставляет полную картину при исследовании инциндентов нарушений безопасности или при отслеживании подозрительных действий пользователя.

Правила: Перехват клавиатуры - Приложения

../../_images/configurations_monitoring_5.png

Запретить - запрет отслеживания при помощью кейлоггера ввода с клавиатуры для указанного списка приложений. Остальные приложения отслеживаются с помощью кейлоггера.

Разрешить - разрешение отслеживания ввода с клавиатуры через кейлоггер только от указанного списка приложений. Ввод с клавиатуры от остальных приложений не отслеживается.

Правила: Сетевой мониторинг - Приложения

../../_images/configurations_monitoring_6.png

Запретить – запрет отслеживания мониторинга сетевых обращений указанного приложения или списка приложений. Все остальные сетевые операции любого приложения в системе будут записаны.

Разрешить - следить за сетевой активностью указанного приложения или списка приложений, остальные приложения не будут отслеживаться в сетевой активности.

Правила: Сетевой мониторинг - IP

../../_images/configurations_monitoring_7.png

Запретить - запретить сбор сетевой активности любой программе на указанный IP-адрес

Разрешить - разрешить сбор сетевой активности только для указанного IP-адреса или списка IP-адресов, а все остальные обращения к любым IP-адресам не отслеживать.

Примечание

Список диапазонов IP-адресов не поддерживается.

Правила: Сетевой мониторинг - Порт

../../_images/configurations_monitoring_8.png

Запретить - запрет отслеживания событий определённого порта в сетевом трафике от всех приложений.

Разрешить - разрешение отслеживания только определённого порта в трафике, все остальные порты не отслеживать.

Примечание

В меню «Админ - Глобальная конфигурация» уже существуют правила для отслеживания сетевого трафика по определённым портам, указанные в конфигурации правила будут переопределять правила, указанные в глобальной конфигурации сервера.

Правила: Сетевой мониторинг - Адрес

../../_images/configurations_monitoring_9.png

Запретить - запрет отслеживания сетевых операций для указанного адреса сайта или списка адресов сайтов. Например, можно внести адреса часто посещаемых корпоративных ресурсов и статистика по этим ресурсам не будет отслеживаться агентом Staffcop Enterprise. При посещении остальных URL-адресов, статистика будет собираться как и прежде.

Разрешить - разрешить отслеживание сетевой активности только для указанного адреса сайта или списка адресов сайтов. События по остальным сайтам не будут отслеживаться.

Правила: Сетевой мониторинг - Отправка отчетов по портам

../../_images/configurations_monitoring_10.png

Запретить - запрет отслеживания сетевых операций для указанного списка портов.

Разрешить - разрешение отслеживания сетевых операций для указанного списка портов. События по остальным портам не будут отслеживаться.

Правила: Подмена сертификата

../../_images/configurations_monitoring_11.png

Запретить - запрет подмены сертификатов на указанных сайтах. Указывется только имя домена (например yandex.ru, lenta.ru). При обращении на все остальные домены шифрованный трафик будет перехватываться и попадать в статистику перехваченных событий.

Разрешить - разрешить подмену сертификатов у сетевых соединений, только у указанного домена или списка доменов. Все остальные домены не будут перехватываться и попадать в статистику.

Правила: Веб мониторинг - Отправка отчетов по типу контента

../../_images/configurations_monitoring_12.png

Запретить - запрет сбора данных по выбранным типам контента.

Разрешить - разрешить сбор данных только по выбранным типам контента.

Правила: Блокировка - Сайты

../../_images/configurations_monitoring_13.png

Блокировать - блокировка сайтов по адресу домена.

Разрешить - список сайтой разрешенных для посещения, указывается в виде доменного имени.

Примечание

Если указать разрешенные сайты, то все остальные сайты будут заблокированы!

Правила: Файловый мониторинг - Пути и маски

../../_images/configurations_monitoring_14.png

Запретить – отключает отслеживание файловых операций по указанному пути или путям.

Разрешить - отслеживает файловые операции только по указанным в фильтре путям. Вся остальная файловая активность по любым путям не отслеживается.

Примечание

Поддерживаются спецсимволы - звездочка «*», которая означает любое количество символов до или после указанной строки и вопросительный знак «?», который означает указание одного любого символа строки.

Правила: Файловый мониторинг - Приложения

../../_images/configurations_monitoring_15.png

Запретить - отключает отслеживание файловых операций на основе имени исполняемого файла или списка исполняемых файлов. Все остальные файловые операции от всех остальных приложений отслеживаются.

Разрешить - включает отслеживание файловых операций только указанного исполняемого файла или списка исполняемых файлов, все остальные файловые операции других приложений не отслеживаются.

Правила: Файловый мониторинг - Чтение

../../_images/configurations_monitoring_16.png

Запретить - запрещает отслеживать файловые операции ЧТЕНИЯ от указанного списка исполняемых файлов.

Разрешить - разрешает отслеживать файловые операции ЧТЕНИЯ только от указанного списка исполняемых файлов.

Правила: Файлы - Особый контроль

../../_images/configurations_monitoring_17.png

Разрешить - внесённый список файлов копируется при любом действии над файлом. При чтении/копировании/доступе и других операциях с файлами делается теневая копия файла.

Примечание

Теневые копии файлов будут записаны в соответствующую операцию в типе событий - «Файл - Операция» в конструкторе отчётов.

Примечание

При интенсивном использовании, например, имени папки, может сформироваться очень много теневых копий файлов.

Правила: Блокировка - USB

../../_images/configurations_monitoring_18.png

Блокировать - блокировка всех «Device ID» указанных в списке.

Разрешить - блокировка всех «Device ID» за исключением тех, что указаны в данном списке.

Если вам необходимо настроить белый список устройств или список заблокированных устройств, рекомендуем ознакомиться со статьей Контроль USB-устройств.

Примечание

Необходимо указывать полный «Device ID» устройства.

Примечание

Если не внести «Device ID» клавиатур и мышей в список разрешенных, то у вас перестанут работать все USB-устройства, кроме тех что введены в этот список, будьте осторожны с этим видом блокировок.

Правила: Блокировка - USB-класс

../../_images/configurations_monitoring_19.png

Блокировать - блокировка USB-устройств по классам. Значения берутся из списка «Устройства - Класс устройства».

Разрешить - разрение USB-устройств по классам. Значения берутся из списка «Устройства - Класс устройства».

Примечание

Все остальные классы устройств, не введённые в список разрешенных классов, будут заблокированы, будьте осторожны с этим видом блокировок.

Правила: Мониторинг лог-файлов

../../_images/configurations_monitoring_20.png

Разрешить - список файлов, по которым будет вестись лог для linux-агента.

Добавление правил из конструктора

В меню конструктора можно добавлять правила мониторинга для определенных измерений прямо из конструктора. Доступно добавление правил для следующих измерений:

  • Пользователь.
  • Приложение.
  • Полный домен.
  • URL.
  • Основной домен.
  • Тип контента.
  • IP-адрес.
  • Сетевой порт.
  • Путь файла.
  • ID-устрйоства.
  • Класс устрйства.

Для того чтобы добавить правило мониторинга прямо из конструктора, вам нужно нажать на кнопку редактирования правила:

../../_images/rules_from_agregat_11.png

Перед вами откроется интерфейс добавления правил в конфигурацию. При помощи строки поиска выберете нужную конфигурацию и отметьте необходимые правила для выбранного измерения.

../../_images/rules_from_agregat_21.png

После этого сохраните правила мониторинга кнопкой «Сохранить».