Как отследить удаление, перемещение, переименование файлов

Агенты Staffcop Enterprise обеспечивают полный контроль файловых операций на рабочих станциях пользователей и терминальных серверах.

Система отслеживает и перехватывает все операции с файлами. Правила перехвата файловых операций задаются в конфигурации агента в разделе Файлы.

Наиболее опасными с точки зрения информационной безопасности считаются:

  • удаление;

  • перемещение;

  • переименование.

Именно эти действия часто используются для несанкционированных действий.

Все эти события можно отследить в конструкторе с помощью измерения ФайлыОперации.

../_images/file_oper_1.png

  1. Выберите операцию, чтобы получить список файлов. В результате в линзе событий останутся только события этой операции, например, удаление:

../_images/cases_32.png

  1. Перейдите в режим анализа. Нажмите АнализТаблица.

../_images/file_oper_3.png

Откроется таблица с данными:

  • компьютеры, на которых выполнялись операции;

  • количество затронутых файлов.

  1. Добавьте детализацию. В шапке таблицы нажмите знак + и последовательно выберите:

    • Пользователи — чтобы увидеть, кто выполнял операцию;

    • Имя файла — чтобы узнать, какие именно файлы были затронуты.

../_images/file_oper_2.png

Результат:

../_images/file_oper_4.png

  1. Визуализируйте данные. Для наглядного представления переключитесь в режим АнализДерево. Так проще анализировать связи между событиями.

../_images/cases_60.png

При необходимости можно поменять фильтры.

  1. Сохраните или распечатайте отчет с помощью кнопки Выгрузка и печать.

../_images/cases_34.png

Последнее обновление: 18.02.26