Как отслеживать копирование файлов на USB‑накопители¶
Инструкция поможет настроить Staffcop Enterprise для отслеживания копирования файлов на флешки. Вы сможете фиксировать подключения USB‑носителей, перехватывать скопированные файлы и настраивать уведомления о событиях по ключевым словам.
Активация политики на компьютерах¶
Перейдите:
в старом интерфейсе в Панель управления → Конфигурации компьютеров → ваша конфигурация → Устройства,
в новом — Управление → Конфигурации компьютеров → ваша конфигурация → Устройства.
Активируйте ползунок USB-устройства.
Перейдите в раздел Файлы и активируйте:
Файловая активность,
Теневое копирование.
Нажмите Сохранить. Политика применится к агентам в течение нескольких минут.
Просмотр перехваченных файлов¶
Чтобы убедиться в работоспособности политики, выполните тест:
Подключите флешку к одному из компьютеров и скопируйте на нее любой файл. Затем извлеките флешку.
В конструкторе Staffcop Enterprise выберите:
Тип события → Перехваченный файл,
Тип устройства → Removable.
В нижней панели появятся выбранные критерии, а в таблице — детали перехвата:
Поиск по ключевым словам¶
Используйте эту возможность для быстрого выявления файлов, содержащих пароли, финансовые данные или другую чувствительную информацию.
В конструкторе введите ключевое слово в поле поиска в левом верхнем углу.
В линзе отобразятся все перехваченные файлы, содержащие ключевое слово.
Примечание
Если хотите найти фразу целиком, поместите ее в кавычки: «Ваша фраза».
Настройка уведомлений о чувствительных файлах¶
Чтобы получать уведомления каждый раз, когда кто-то копирует критический файл с заданным словом, создайте фильтр.
Примечание
Убедитесь, что на сервере настроены почтовые параметры для рассылки писем.
В верхней части окна нажмите иконку-дискету.
В открывшемся окне перейдите во вкладку Свойства и задайте имя фильтра.
Затем откройте вкладку Уведомления и настройте отправку уведомления.
Визуализация связей¶
Для наглядности результатов можно построить граф. Граф наглядно показывает, как файл перемещался между пользователями и устройствами.
В правой части экрана нажмите Анализ → Граф.
В правой части экрана найдите и нажмите надпись Агент: Компьютер. Выберите в выпадающем списке Пользователь → Полное имя:
Нажмите на знак плюса + и последовательно выберите измерения:
Устройство → Устройство,
Файл → Имя файла.
Кликните на любой узел, система перейдет к исходному событию с полной детализацией.
Если вместо графа выбрать в Анализе отчет в виде дерева, откроется иерархическая структура:
Перемещение флешки между компьютерами¶
Отследить перемещения флешки между компьютерами можно и в конструкторе без создания отчета. Например, вы можете увидеть, что одна и та же флешка была подключена сначала к компьютеру Desktop999, а затем — к другому компьютеру DESKTOP-VASVGKO. Это может означать, что носитель передали другому сотруднику вместе с файлами.
Поиск событий копирования¶
Вы можете создать сложный запрос и сохранить его в виде фильтра, чтобы быстро находить нужные события без повторной настройки.
Фильтр фиксирует копирование файлов в направлениях:
с флешки на жесткий диск и с жесткого диска на флешку;
с сетевого диска на флешку, и наоборот.
В конструкторе нажмите в левом верхнем углу кнопку Создать и выберите Фильтр.
Откроется модальное окно:
на вкладке Свойства добавьте название фильтра, при желании добавьте описание, оно поможет другим пользователям понять назначение фильтра;
на вкладке Уведомления при необходимости настройте отправку уведомлений на почту.
Перейдите во вкладку Фильтр → Сложный запрос для настройки фильтра.
Нажмите Код фильтра, откроется окно для вставки кода:
Замените код по умолчанию на сниппет:
{ "operator": "AND", "rules": [ { "condition": "=", "dimension": "agent_eventtype", "hierarchy": "default", "value": "16", "label": "Операции с файлами" }, { "condition": "=", "dimension": "agent_attachedfile", "hierarchy": "file_operation", "value": "Копирование", "label": "Копирование" }, { "group": { "operator": "OR", "rules": [ { "group": { "operator": "AND", "rules": [ { "group": { "operator": "OR", "rules": [ { "condition": "=", "dimension": "agent_attachedfile", "hierarchy": "source_drive_type", "value": "Removable", "label": "Removable" }, { "condition": "=", "dimension": "agent_attachedfile", "hierarchy": "source_drive_type", "value": "USB", "label": "USB" } ] } }, { "group": { "operator": "OR", "rules": [ { "condition": "=", "dimension": "agent_attachedfile", "hierarchy": "drive_type", "value": "Hard", "label": "Hard" }, { "condition": "=", "dimension": "agent_attachedfile", "hierarchy": "drive_type", "value": "Network", "label": "Network" } ] } } ] } }, { "group": { "operator": "AND", "rules": [ { "group": { "operator": "OR", "rules": [ { "condition": "=", "dimension": "agent_attachedfile", "hierarchy": "drive_type", "value": "Removable", "label": "Removable" }, { "condition": "=", "dimension": "agent_attachedfile", "hierarchy": "drive_type", "value": "USB", "label": "USB" } ] } }, { "group": { "operator": "OR", "rules": [ { "condition": "=", "dimension": "agent_attachedfile", "hierarchy": "source_drive_type", "value": "Hard", "label": "Hard" }, { "condition": "=", "dimension": "agent_attachedfile", "hierarchy": "source_drive_type", "value": "Network", "label": "Network" } ] } } ] } } ] } } ] }
Сохраните изменения. После этого в конструкторе появятся отфильтрованные события. Фильтр сохранится во вкладке Политики.
Полученные при фильтрации данные также можно визуализировать в виде графов и деревьев.
Последнее обновление: 08.05.26