Контроль внешних дисков

Убедимся, что в конфигурации агента включены необходимые опции. Включите модули в меню Устройства USB-CD - «USB-Устройства» и Файлы - «Теневое копирование». Если конфигурация изменилась, жмём «Сохранить» и ждём несколько минут, пока она применится на контролируемых компьютерах.

../_images/cases_13.png ../_images/cases_13_2.png

Теперь подключим USB-диск (флешку) к одному из контролируемых компьютеров.

../_images/cases_14.png

И скопируем файл на подключенный носитель.

../_images/cases_15.png

Извлекаем USB-носитель .

В консоли StaffCop Enterprise открываем основную страницу, вкладка «Тип события». Выберем «Внешние диски» и «Перехваченные файлы». В нижней панели видим выбранные критерии, а в таблице - результат перехвата: в 19:58:18. Пользователь - «User» на машине «philvoch2» подключил сьёмный диск «Kingston DataTraveler 2.0 USB Device» и скопировал на него файл с именем - «Газовая промышленность».

../_images/cases_16.png

Можем выполнить поиск в содержимом перехваченного файла по важным для нас словам. Например, введём ключевое слово - «Газпром». Видим, что в перехваченном документе это слово нашлось.

../_images/cases_17.png

Далее, мы можем сохранить выбранный фильтр и получать уведомления каждый раз, когда на каком-то из компьютеров под контролем StaffCop Enterprise Agent будет происходить событие копирования файла, в котором содержится слово «Газпром».

Для этого нужно кликнуть в верхней части окна на кнопку-ссылку - «сохранить» и указать в параметрах фильтра - «кому» присылать уведомление по сработавшему событию.

../_images/cases_18.png

В данном случае письмо будет выслано адресату - «pv@staffcop.ru».

После указания адресата для получения писем, необходимо нажать кнопку «Сохранить».

../_images/cases_19.png

Также не стоит забывать, что перед тем, как письмо дойдёт до адресата, указанного в фильтре, необходимо будет настроить почтовые параметры для рассылки писем.

Если посмотреть на события, зафиксированные агентами на рабочих станциях, то очевидно, что та же самая флешка, с тем же уникальным номером, была подключена к другому компьютеру с именем - oooodddddd-ПК и пользователем в системе Lenovo.

Скорей всего эта флешка была передана другому сотруднику компании вместе со скопированными на неё файлами.

../_images/cases_20.png