Совершенствование модуля файлового аудита, тонкие настройки событий и другие улучшения в Makves DCAP 4.3.
Makves DCAP помогает обеспечить защиту информации, контролировать и устранять риски, связанные с хранением неструктурированных данных и доступом в корпоративной среде. В обновленной версии решения значительно расширена функциональность в части файлового аудита и анализа событий.
Новые возможности Makves DCAP:
- Улучшения модуля файлового аудита:
- Просмотр файлов чертежей;
- Чтение и инспектирование метаданных, меток Microsoft Information Protection (MSIP) и Titus;
- Распознавание зашифрованных архивов и запороленных документов;
- Распознавание текстовых сущностей;
- Распознавание файлов с измененным расширением.
- Анализ событий:
- Долговременный архив для событий;
- Настройка отслеживания истории изменений параметров объектов (пользователей, компьютеров, файлов);
- Профилирование — новая вкладка для карточек пользователей;
- Маркеры атипичности на основе событий для пользователей.
- Другие обновления:
- Отображение прогресса и производительности анализа данных (мониторинг задач);
- Инспектирование файлов в Atlassian Jira и Confluence;
- Kerberos-авторизация для анализа сетевых папок;
- Отчеты по администрируемым объектам и действиям с ними;
- Онлайн документация по RestAPI.
Файловый аудит
Makves DCAP отображает текстовое содержимое файлов, что позволяет аналитикам безопасности проверить, насколько тот или иной документ является критичным для бизнеса, даже если у оператора системы нет прямого доступа к документу.
В обновленном Makves DCAP появилась возможность просмотра схем и чертежей. Система поддерживает открытый формат файлов для обмена графической информацией DXF. Отображение содержимого файла предоставляется только в момент запроса и не хранится на сервере Makves.
Makves DCAP теперь читает и инспектирует дополнительную метаинформацию в файлах, например, метки MSIP (Microsoft Information Protection) и Titus, которые используются для пользовательской классификации конфиденциального содержимого.
Чтение меток MSIP и Titus
Makves DCAP распознает и находит зашифрованные файлы. Например, файлы Office или архивы, защищенные паролем. В интерфейсе в столбце “Дополнительные атрибуты” появились соответствующие маркеры “Encrypted”. Это помогает службе ИБ минимизировать риски утечки в случаях, когда пользователь хранит потенциально подозрительные зашифрованные файлы на рабочем компьютере.
Улучшения распознавания текстовых сущностей. Поиск текста в документах продолжает совершенствоваться в новой версии Makves DCAP. Теперь система умеет определять категории документов и лица, которые участвуют в сделке, и распознает реквизитную часть. Агрегирует и понимает разницу либо схожесть в различных вариантах написания ФИО. Это помогает в поиске информации и процессе расследования инцидентов. Автоматическое определение категории документа (художественная, техническая литература, счета, договоры, справки) позволяет инспектору по ИБ точнее определять чувствительную информацию.
Распознавание файлов с измененным расширением. Makves DCAP 4.3 может провести распознавание файла и определить его истинный формат, даже если он был переименован вручную и, соответственно, выделить из него текст. Данная функциональность также помогает сократить число ложноположительных срабатываний для файлов с уникальными расширениями.
Анализ событий
Долговременный архив для событий. В новой версии Makves DCAP появился долговременный архив, где сохраняются все события, выходящие за рамки установленных ограничений, например, на максимальное количество хранимых событий или дней хранения событий. Теперь можно настраивать параметры хранения событий в соответствии с особенностями ИТ-инфраструктуры: для оперативного и архивного расследования. Таким образом увеличено быстродействие системы для крупных заказчиков.
Если агент Makves не может соединиться с сервером, то события записываются на жесткий диск – это нужно для беспрерывной записи событий, даже в условиях отсутствия связи.
Настройка отслеживания истории изменений параметров объектов позволяет изменять глубину истории изменений для пользователей, файлов, активов и почтовых ящиков. Система может создавать слепки файла на протяжение заданной глубины истории изменений. Для пользователей создаются слепки со всеми настройками, которые были заданы для их учетных записей. При создании слепков система генерирует новое событие на каждое изменение объекта.
Настройка отслеживания истории изменений параметров объектов
Вкладка “Профилирование” для карточек пользователей. Профайлинг создается на основе последних событий в базе данных и помогает лучше определять типичные и атипичные действия для любых пользователей: предоставляет информацию о том, откуда и когда пользователь заходил в корпоративную сеть, какие действия выполняет. Нормальные и не нормальные действия для пользователя можно прописывать в профиле самостоятельно.
Вкладка “Профилирование”
Для пользователей добавлены маркеры атипичности на основе событий. Профиль пользователя пересчитывается с задаваемой периодичностью, что позволяет своевременно переводить атипичные действия пользователя в статус нормальных и наоборот. Благодаря этому можно оценить, что нового произошло в системе за определенный срок.
Маркеры атипичности
Другие нововведения
Отображение прогресса и производительности анализа данных (мониторинг задач). Интерфейс Makves DCAP 4.3 теперь отображает количество потоков инспекций, а также просмотренные и новые для системы объекты. Вся информация доступна в динамике, а для каждого потока имеются статусы прогресса, что позволяет прогнозировать время сканирования и оценивать время анализа наиболее крупных данных.
Инспектирование файлов в Atlassian Jira и Confluence. Для задач созданных в трекере Atlassian Jira доступен просмотр содержимого прикрепленных файлов – во вкладке “Содержание”. Инспектирование файлов также доступно для вики-системы Atlassian Confluence.
Инспектирование файлов из тикетов Jira
Kerberos-авторизация для анализа сетевых папок. Позволяет авторизоваться по протоколу Kerberos на файловых хранилищах, на которых отсутствует возможность использования NTLM-авторизации.
Создание отчетов по всем администрируемым объектам пользователя. Отчеты можно создавать как по самим файлам, событиям, пользователям, так и по действиям с ними (например, перемещение файла или изменение прав пользователя). Готовый отчет можно отправить по почте (по расписанию) и сохранить на локальное или сетевое файловое хранилище.
Создание отчетов по всем администрируемым объектам пользователя
- Источник: makves.ru
- _Мета слова: _