Что нового в версии 5.8¶

В релизе 5.8 реализована поддержка российских инфраструктурных решений, расширены возможности для Linux и macOS, улучшена интеграция с SIEM, внесен ряд значительных улучшений производительности.

Основные фокусы версии:

поддержка импортозамещения — добавлена совместимость с Postgres PRO 16 и интеграция с ALD Pro 3.0+;
развитие Linux-агента — добавлен файловый сканер и перехват MAX, стабилизирован перехват мессенджеров;
усиление macOS-агента — восстановлен низкоуровневый кейлогер, реализован контроль веб-версии Telegram;
улучшение работы файлового сканера — переработана архитектура файлового сканера для оптимизации нагрузки;
рост производительности и надежности — ускорен отчет Активное время по отделам, обновлен стек мониторинга сервера;
расширение данных для SIEM — теперь через Syslog передаются все политики события для большей точности расследования.

Детальный обзор представлен ниже.

Интеграция со службой каталогов ALD Pro

Интеграция снижает риски при переходе с Microsoft AD на российскую систему каталогов на базе Astra Linux и предоставляет все преимущества работы с каталогами в Staffcop Enterprise. Совместимо с ALD Pro 3.0 и выше.

Возможности:

совместная работа ALD Pro и Active Directory для плавной миграции или гибридного использования;
разовая или регулярная синхронизация каталогов;
передача данных в профили пользователей Staffcop;
установка агента и назначение конфигураций с помощью групп AD;

Пример настройки: администратор создает в AD группы Удаленщики и Топ-менеджмент.
Для первой группы назначается конфигурация с отключенной записью экрана, для второй — конфигурация без перехвата личных мессенджеров.

настройка политик безопасности и отчетов для разных пользователей;

Система позволяет учитывать разные риски для менеджеров и рядовых специалистов, регламенты для сотрудников разных департаментов, усиленный контроль для стажеров. Отчеты можно направлять адресно: эффективность отдела — руководителю, риски по отделам — топ-менеджменту.

вход в веб-интерфейс по корпоративными учетками, система сама определяет права: например, руководители видят данные о подчиненных, а администраторы — полные настройки.

Staffcop Enterprise поддерживает три сценария:

только ALD Pro — используется исключительно российская служба каталогов;
ALD Pro и Active Directory — обе службы каталогов работают параллельно, пользователи имеют отдельные учетные записи в каждой системе;
ALD Pro и Active Directory с доверительным отношением — одна и та же учетная запись пользователя используется в обеих службах каталогов благодаря настроенному доверию между ними.

Дополнительно улучшены настройки интеграции с любым сервисом:

проверка контроллера — система подключается к домену до сохранения настроек и при ошибке выводит уведомление;
проверка пароля только при изменении — ранее пароль для синхронизации проверялся при каждом открытии окна настроек.

Интеграция с ALD Pro

Поддержка Postgres Pro 16

Staffcop Enterprise 5.8 поддерживает работу с СУБД Postgres Pro 16.

Postgres Pro — коммерческая версия PostgreSQL с официальной поддержкой, дополнительным контролем обновлений и соответствием российским требованиям. Используется организациями, в которых open‑source решения запрещены регламентами. Подходит для организаций с большими объемами данных, которым важна профессиональная поддержка вендора.

установка системы на Postgres Pro 16 с нуля;
миграция существующих баз данных;
хранение событий, настроек и аналитики;
полноценная техническая поддержка со стороны разработчика СУБД;
соответствие требованиям организаций, использующих отечественные продукты.

Примечание

Работа в кластере для Postgres Pro будет реализована в следующих версиях.

Миграция на Postgres Pro

Установка и обновление Postgres Pro 16

Контроль мессенджера MAX

Мессенджер MAX используется для служебной переписки и аутентификации на различных сервисах. В новой версии расширены возможности контроля в зависимости от платформы.

Windows-агента — реализован перехват исходящих файлов в веб-версии мессенджера;
Linux — контроль входящих и исходящих сообщений.

Как включить перехват MAX

Контроль веб-версии Telegram для macOS

Добавлен контроль переписки входящих и исходящих сообщений в веб-версии Telegram для macOS-агента.

Остальные возможности macOS-агента

Файловый сканер для Linux-агента

Файловый сканер теперь доступен для Linux-агентов. Позволяет сканировать и анализировать файловые хранилища на рабочих станциях для выявления конфиденциальной информации и контроля хранения данных. Сканер лицензируется отдельно.

индексация файлов без ограничений по форматам;
сканирование документов в состоянии покоя;
установка меток на файлы для быстрого поиска и блокировки доступа;
оптимизированный механизм распределения нагрузки на сервер для стабильной работы даже при масштабных проверках.

Как устроено сканирование файлов в Staffcop

О работе в файловом сканере

Низкоуровневый кейлогер на macOS

Восстановлена и оптимизирована работа низкоуровневого кейлогера для macOS-агента. Кейлогер позволяет перехватывает текстовый ввод данных и сами нажатия клавиш. В правилах мониторинга добавлена возможность исключения перехвата. Выборочный перехват позволяет избежать мусорного трафика и не перехватывать запрещенные для хранения данные: пароли в личных сервисах, персональные данные в банковских и учетных сервисах.

контроль нажатий клавиш на низком уровне;
перехват паролей в системных сервисах для выявления слабых паролей и анализа попыток скрыть ввод данных;
перехват функциональных клавиш;
настройка исключений для отдельных приложений и сервисов;
сокращение объема избыточных данных.

Перехват включается в конфигурации. Собранные кейлогером данные сохраняются в событии Ввод с клавиатуры вместе с обычным вводом клавиатуры.

Как включить кейлогер

Расширение данных для SIEM-систем

На одно событие в Staffcop Enterprise может сработать несколько политик. Раньше в SIEM через Syslog передавалось только само событие и одна сработавшая политика. Теперь передаются все сработавшие на событие политики, даже если они зафиксировали небольшие признаки нарушения. Решение позволяет SIEM-системам точнее оценивать критичность и опасность события.

больше данных для коррреляции;
повышение качества расследований;
снижение количества ложноположительных срабатываний;
улучшение интеграции с SIEM.

Как устроена интеграция с SIEM-системами через Syslog-коннектор

Обновление системы метрик для Grafana

Расширен набор технических метрик мониторинга сервера и обновлен механизм их передачи в Grafana. Полученные из метрик данные позволяют выявить потенциальные проблемы на ранней стадии и предотвратить их.

Предварительные настройки и визуализация метрик снижают нагрузку на администраторов и уменьшают риск простоя системы.

переход с InfluxDB и Telegraf на стек Prometheus + Grafana + Node Exporter;
расширенный контроль состояния сервера;
упрощение настройки мониторинга;
ускоренное выявление проблем производительности;
поддержание стабильности для организаций с большими количествами данных.

Как перейти на новый стек мониторинга сервера

Перехват сетевого трафика через VPN

Добавлен контроль трафика при использовании браузерных VPN-сервисов с HTTP-туннелированием. Актуально для организаций, которые вынуждены использовать VPN для работы: маркетинг, разработка, админы.

контроль посещения сайтов;
контроль облачных сервисов;
контроль мессенджеров;
снижение рисков обхода сетевого мониторинга.

Перехват VPN включается в модуле конфигурации Интернет

Изменения архитектуры файлового сканера

Внедрен ряд технических решений, которые позволили оптимизировать нагрузку на агентов и сеть, распределить эту нагрузку по времени. Теперь сканирование выполняется без резких перегрузок сетевого канала.

переработан механизм взаимодействия агента и спуллера;
добавлено регулирование скорости сканирования;
снижена нагрузка на сеть и сервер;
подготовлена инфраструктура для дальнейшего масштабирования.

Для работы файлового сканера требуется:

Linux-агент версии 0.19 и выше;
Windows-агент версии 2611 и выше.

При выборе рабочих станций для сканирования показываются все агенты, а не только те, у которых подходящая версия.

Требования для файлового сканера

Проведены предварительные расчеты системных требований для файлового сканера на основе нагрузочных тестов.

Рекомендованные требования рассчитаны исходя из скорости получения данных. Фактическое сканирование будет работать на меньших ресурсах. Расчет требует корректировки в зависимости от количества рабочих станций, объема данных и настроенной скорости сканирования.

Список требований для сканера

Оптимизация отчета Активное время по отделам

Повышена скорость выгрузки отчета Активное время по отделам в крупных инфраструктурах.

Отчет Активное время по отдела позволяет анализировать нагрузку и эффективность на уровне отделов, выявлять перекосы и проблемы в управлении. Он наиболее показателен на больших периодах, но раньше это приводило к долгой выгрузке в крупных организациях. Оптимизация существенно сократила время подготовки и доставки отчета руководству и снизила нагрузку на администратора.

сокращено время выгрузки PDF, HTML и Excel;
снижение нагрузки на сервер при формировании отчетов.

Об отчете в Учете времени

Изменение запроса для взаимодействия с сервером распознавания

Из API интеграции удален GET-параметр secret, который использовался для взаимодействия между сервером распознавания и SCE.

повышена безопасность взаимодействия компонентов;
обновлен механизм передачи результатов распознавания.

Важно

Изменение затрагивает взаимодействие между компонентами системы. Если вы используете отдельный сервер распознавания, обновите до актуальной версии. В противном случае передача результатов распознавания будет нарушена.

Улучшение перехвата мессенджеров и облачных хранилищ Linux-агента

Перехват мессенджеров и облачных хранилищ в Linux реализован за счет универсальной библиотеки. Однако оптимизация и реорганизация самой библиотеки, зависимость ряда перехватов от инструментов агента приводили к нестабильности.

В версии 5.8 стабилизирован перехват:

WhatsApp;
Bitrix;
локальных VK Teams и VK Mail;
WebDAV.

Последнее обновление: 09.06.26