Контроль внешних дисков¶
Убедитесь, что в конфигурации агента включены необходимые опции. Включите модули в меню Устройства USB-CD → USB-Устройства и Файлы → Теневое копирование. Если конфигурация изменилась, нажмите Сохранить и подождите несколько минут, пока она применится на контролируемых компьютерах.
Теперь подключите USB-диск (флешку) к одному из контролируемых компьютеров.
И скопируйте файл на подключенный носитель.
Извлеките USB-носитель.
В консоли Staffcop Enterprise откройте основную страницу, вкладку Тип события. Выберите Внешние диски и Перехваченные файлы. В нижней панели появятся выбранные критерии, а в таблице — результат перехвата: в 19:58:18. Пользователь User на машине philvoch2 подключил сьёмный диск Kingston DataTraveler 2.0 USB Device и скопировал на него файл с именем Газовая промышленность.
Вы можете выполнить поиск в содержимом перехваченного файла по важным словам. Например, введите ключевое слово Газпром. Вы увидите, что в перехваченном документе это слово нашлось.
Далее вы можете сохранить выбранный фильтр и получать уведомления каждый раз, когда на каком-то из компьютеров под контролем агента Staffcop Enterprise будет происходить событие копирования файла, в котором содержится слово Газпром.
Для этого кликните в верхней части окна на кнопку-ссылку Сохранить и укажите в параметрах фильтра кому присылать уведомление по сработавшему событию.
В данном случае письмо будет выслано адресату pv@staffcop.ru.
После указания адресата для получения писем нажмите кнопку Сохранить.
Также не стоит забывать, что перед тем, как письмо дойдёт до адресата, указанного в фильтре, необходимо настроить почтовые параметры для рассылки писем.
Если посмотреть на события, зафиксированные агентами на рабочих станциях, то очевидно, что та же самая флешка, с тем же уникальным номером, была подключена к другому компьютеру с именем oooodddddd-ПК и пользователем в системе Lenovo.
Скорей всего, эта флешка была передана другому сотруднику компании вместе со скопированными на неё файлами.
