Операции с файлами: Удаление/Перемещение/Переименование

Агентская часть Staffcop Enterprise обладает полным функционалом по отслеживанию и перехвату любых файловых операций, происходящих на рабочей станции пользователя или на терминальном сервере.

Решение о перехвате файлов принимается на основе правил, заданных в конфигурации агента.

Конфигурация агента может быть общей или распространяемой только на определённые группы агентов\отдельные рабочие станции пользователей.

Наиболее частыми файловыми операциями, на которые нужно обращать внимание офицеру безопасности, это операции Удаления/Перемещения/Переименования файлов.

Все эти события можно отследить, нажав в меню администрирования в дереве событий «Операции с файлами».

../_images/file_oper_1.png

Чтобы детализировать отчётность только по интересующим событиям, к примеру «Удаления», необходимо выбрать данную операцию. В результате этого получаем список всех операций с файлами, которые были удалены.

../_images/cases_32.png

Существует возможность детализации информации при выборе «Анализ» в меню отображения. При этом необходимо в фильтре измерения добавить «Имя пользователя» и выбрать «Имя приложения».

../_images/cases_33.png

В нижней части окна можно представить эту информацию в графическом виде. Например, выбрать построение дерева по начальным фильтрам:

  • файловые операции

  • файловая операция удаления

  • ветка дерева «Имя пользователя»

  • подветка «Имя приложения»

Вид отображения «Дерево» легко анализировать визуально, а также распечатать в формате PDF (нажав «Печать» в верхней части меню администрирования).

../_images/cases_34.png

Затем нажать «Выгрузка и печать», получив всю ленту событий для выгрузки и анализа - позволит распечатать полученную информацию (например, в PDF) для детального анализа.