В статье рассматривается решение StaffCop Enterprise, в составе которого есть агент для Linux-систем — он решает проблему сбора данных о действиях пользователя в системе и запущенных программах. В инструментарий Linux-агента входят кейлоггер графической системы X11 и регистратор bash-команд консольной сессии. Реализована функция регистрации входа в систему и съемки скриншотов с экрана пользователя. Эти и многое другое подробно рассмотрено в статье.
- Введение
- Как работает StaffCop Enterprise для Linux-систем
- 2.1. Регистрация входа в систему
- 2.2. Скриншоты экрана
- 2.3. Время активности в приложениях
- 2.4. Регистрация USB-устройств
- 2.5. История и время посещений веб-сайтов
- 2.6. Фиксация фактов печати на принтере
- 2.7. Мониторинг конфигурируемых лог-файлов
- 2.8. Кейлоггер и регистрация bash-команд
- 2.9. Буфер обмена
- 2.10. Аналитика
- 2.11. Оповещения
- 2.12. Перспективы
- Выводы
Введение
В России растет доля Linux-систем на рабочих компьютерах. Частные компании экономят средства, когда используют программное обеспечение с открытым исходным кодом. Государственные организации встраиваются в политику импортозамещения.
Труднее всего в этой ситуации приходится специалистам по безопасности. Им нужно отслеживать нарушения политик безопасности, угрозы утечки данных и сбои системы.
Как работает StaffCop Enterprise для Linux-систем
Начиная с версии 4.0 система имеет агент для Linux. Агент решает проблему сбора данных о действиях пользователя в системе и запущенных программах.
Решение работает на современных дистрибутивах, включая Ubuntu, Red Hat, Arch Linux и Astra Linux.
Недавно агент получил протокол совместимости с Astra Linux от разработчика. 6 из 6 видов проверок получили оценку «успешно».
С версии StaffCop Enterprise 4.1 агент позволяет вести мониторинг и анализировать действия пользователей на компьютерах под управлением операционных систем семейства Linux как в оконной среде X-Windows, так и в терминальном режиме.
Если с сервером отсутствует соединение, то данные собираются локально и передаются при появлении соединения.
Регистрация входа в систему
Пользователи регистрируются системой при каждом входе и выходе. В лог попадают пользователи, входящие локально и удаленно, включая ssh-подключения.
Рисунок 1. Зарегистрированные случаи входа и выхода из системы в StaffCop Enterprise для Linux-систем
Скриншоты экрана
Программа сохраняет снимки экрана пользователя по интервалу времени и переключению активного окна с фиксацией названия приложения и заголовка окна.
Степень компрессии снимков также настраивается администратором.
Рисунок 2. Подборка скриншотов экрана во время переписки в Skype
Время активности в приложениях
Система регистрирует время работы пользователя в приложениях. Из собранных данных формируется отчет о продуктивности сотрудников по заданным критериям. Данные отчета сопоставляются со скриншотами по временным меткам. Возможен быстрый переход из графиков и таблиц к событиям.
Рисунок 3. Шкалы популярной активности и приложений в StaffCop Enterprise для Linux-систем
Регистрация USB-устройств
Флешки, принтеры и любые другие периферийные устройства попадают в лог. Администратор может проанализировать, где и когда подключались носители, отследить, в какие компьютеры подключались интересующие устройства.
Рисунок 4. Подключение USB-накопителя в StaffCop Enterprise для Linux-систем
История и время посещений веб-сайтов
Система регистрирует посещения веб-сайтов во вкладках браузеров Chrome, Firefox и браузеров на их основе.
Кроме того, система вычисляет время, проведенное веб-сайтах.
Рисунок 5. Количество посещений вебсайтов на круговой диаграмме в StaffCop Enterprise для Linux-систем
Фиксация фактов печати на принтере
Факты печати на принтере попадают в отчет системы с именами пользователей и названиями файлов. Пока без теневого копирования документа.
Рисунок 6. Список фактов печати на принтере в StaffCop Enterprise
Мониторинг конфигурируемых лог-файлов
StaffCop Enterprise отслеживает изменения заданных лог-файлов, в том числе syslog. События создаются на каждое дополнение лог-файла.
Рисунок 7. Изменение файла syslog в StaffCop Enterprise для Linux-систем
Кейлоггер и регистрация bash-команд
В графической системе X11 кейлоггер регистрирует нажатия клавиш.
Рисунок 8. Регистрация переписки кейлоггером в StaffCop Enterprise для Linux-систем
В консольной сессии регистрируются команды bash.
Рисунок 9. Регистрация bash-команды sudo
Буфер обмена
Система перехватывает содержимое буфера обмена. Администратор просматривает перехваченные данные и сортирует при помощи текстовых фильтров.
Рисунок 10. Захват содержимого буфера обмена в StaffCop Enterprise
Аналитика
В основе аналитики StaffCop Enterprise заложена технология OLAP-кубов. Администратор проводит статистический и логический анализ собранных данных с помощью технологии комплексного многомерного анализа. Он работает через веб-интерфейс, а доступ к данным может осуществляться с помощью ролей.
Рисунок 11. Круговая диаграмма использования интернет-ресурсов в StaffCop Enterprise
В аналитической системе отображаются графики и таблицы как для самих событий, так и для их взаимосвязей.
Оповещения
В StaffCop Enterprise оповещения настраиваются на любое событие, которое противоречит политике безопасности компании. Оповещения появляются в консоли администратора и приходят по электронной почте.
Рисунок 12. Уведомление об инциденте в панели администратора
Правила оповещения настраивают именно те события, которые требуют реакции. Для составления правил применяются встроенные и собственные словари, регулярные выражения и фильтры, которые генерирует конструктор программы.
Рисунок 13. Уведомление об инциденте в электронной почте
Перспективы
Разработчики StaffCop Enterprise планируют реализацию перехвата печати и записи звука с микрофона компьютера до конца 2017 года.
На весну 2018 года намечена реализация учета файловых операций на внешних дисках.
В планах — перехват переписки в Skype, популярных мессенджерах и социальных сетях.
Выводы
Linux-агент в StaffСop Enterprise собирает достаточно данных для анализа деятельности пользователя на рабочем месте, в том числе на серверном оборудовании.
Команда разработчиков трудится над развитием Linux-агента и ждет отзывов и пожеланий от пользователей.
Актуальная версия доступна по ссылке: staffcop.ru/download
