Мониторинг и контроль сотрудников на Linux c помощью StaffCop

Контроль сотрудников на Linux с помощью Staffcop Enterprise

Контроль сотрудников на Linux с помощью Staffcop Enterprise

В статье рассматривается решение StaffCop Enterprise, в составе которого есть агент для Linux-систем — он решает проблему сбора данных о действиях пользователя в системе и запущенных программах. В инструментарий Linux-агента входят кейлоггер графической системы X11 и регистратор bash-команд консольной сессии. Реализована функция регистрации входа в систему и съемки скриншотов с экрана пользователя. Эти и многое другое подробно рассмотрено в статье.

 

 

 

  1. Введение
  2. Как работает StaffCop Enterprise для Linux-систем
    1. 2.1. Регистрация входа в систему
    2. 2.2. Скриншоты экрана
    3. 2.3. Время активности в приложениях
    4. 2.4. Регистрация USB-устройств
    5. 2.5. История и время посещений веб-сайтов
    6. 2.6. Фиксация фактов печати на принтере
    7. 2.7. Мониторинг конфигурируемых лог-файлов
    8. 2.8. Кейлоггер и регистрация bash-команд
    9. 2.9. Буфер обмена
    10. 2.10. Аналитика
    11. 2.11. Оповещения
    12. 2.12. Перспективы
  3. Выводы

 

 

Введение

В России растет доля Linux-систем на рабочих компьютерах. Частные компании экономят средства, когда используют программное обеспечение с открытым исходным кодом. Государственные организации встраиваются в политику импортозамещения.

Труднее всего в этой ситуации приходится специалистам по безопасности. Им нужно отслеживать нарушения политик безопасности, угрозы утечки данных и сбои системы.

 

Как работает StaffCop Enterprise для Linux-систем

Начиная с версии 4.0 система имеет агент для Linux. Агент решает проблему сбора данных о действиях пользователя в системе и запущенных программах.

Решение работает на современных дистрибутивах, включая Ubuntu, Red Hat, Arch Linux и Astra Linux.

Недавно агент получил протокол совместимости с Astra Linux от разработчика. 6 из 6 видов проверок получили оценку «успешно».

С версии StaffCop Enterprise 4.1 агент позволяет вести мониторинг и анализировать действия пользователей на компьютерах под управлением операционных систем семейства Linux как в оконной среде X-Windows, так и в терминальном режиме.

Если с сервером отсутствует соединение, то данные собираются локально и передаются при появлении соединения.

Регистрация входа в систему

Пользователи регистрируются системой при каждом входе и выходе. В лог попадают пользователи, входящие локально и удаленно, включая ssh-подключения.

 

Рисунок 1. Зарегистрированные случаи входа и выхода из системы в StaffCop Enterprise для Linux-систем

 Зарегистрированные случаи входа и выхода из системы в StaffCop Enterprise для Linux-систем

Скриншоты экрана

Программа сохраняет снимки экрана пользователя по интервалу времени и переключению активного окна с фиксацией названия приложения и заголовка окна.

Степень компрессии снимков также настраивается администратором.

 

Рисунок 2. Подборка скриншотов экрана во время переписки в Skype

 Подборка скриншотов экрана во время переписки в Skype

Время активности в приложениях

Система регистрирует время работы пользователя в приложениях. Из собранных данных формируется отчет о продуктивности сотрудников по заданным критериям. Данные отчета сопоставляются со скриншотами по временным меткам. Возможен быстрый переход из графиков и таблиц к событиям.

 

Рисунок 3. Шкалы популярной активности и приложений в StaffCop Enterprise для Linux-систем

 Шкалы популярной активности и приложений в StaffCop Enterprise для Linux-систем

Регистрация USB-устройств

Флешки, принтеры и любые другие периферийные устройства попадают в лог. Администратор может проанализировать, где и когда подключались носители, отследить, в какие компьютеры подключались интересующие устройства.

 

Рисунок 4. Подключение USB-накопителя в StaffCop Enterprise для Linux-систем

 Подключение USB-накопителя в StaffCop Enterprise для Linux-систем

История и время посещений веб-сайтов

Система регистрирует посещения веб-сайтов во вкладках браузеров Chrome, Firefox и браузеров на их основе.

Кроме того, система вычисляет время, проведенное веб-сайтах.

 

Рисунок 5. Количество посещений вебсайтов на круговой диаграмме в StaffCop Enterprise для Linux-систем

 Количество посещений вебсайтов на круговой диаграмме в StaffCop Enterprise для Linux-систем

Фиксация фактов печати на принтере

Факты печати на принтере попадают в отчет системы с именами пользователей и названиями файлов. Пока без теневого копирования документа.

 

Рисунок 6. Список фактов печати на принтере в StaffCop Enterprise

 Список фактов печати на принтере в StaffCop Enterprise

Мониторинг конфигурируемых лог-файлов

StaffCop Enterprise отслеживает изменения заданных лог-файлов, в том числе syslog. События создаются на каждое дополнение лог-файла.

 

Рисунок 7. Изменение файла syslog в StaffCop Enterprise для Linux-систем

 Изменение файла syslog в StaffCop Enterprise для Linux-систем

Кейлоггер и регистрация bash-команд

В графической системе X11 кейлоггер регистрирует нажатия клавиш.

 

Рисунок 8. Регистрация переписки кейлоггером в StaffCop Enterprise для Linux-систем

 Регистрация переписки кейлоггером в StaffCop Enterprise для Linux-систем

 

В консольной сессии регистрируются команды bash.

 

Рисунок 9. Регистрация bash-команды sudo

 Регистрация bash-команды sudo

Буфер обмена

Система перехватывает содержимое буфера обмена. Администратор просматривает перехваченные данные и сортирует при помощи текстовых фильтров.

 

Рисунок 10. Захват содержимого буфера обмена в StaffCop Enterprise

 Захват содержимого буфера обмена в StaffCop Enterprise

Аналитика

В основе аналитики StaffCop Enterprise заложена технология OLAP-кубов. Администратор проводит статистический и логический анализ собранных данных с помощью технологии комплексного многомерного анализа. Он работает через веб-интерфейс, а доступ к данным может осуществляться с помощью ролей.

 

Рисунок 11. Круговая диаграмма использования интернет-ресурсов в StaffCop Enterprise

 Круговая диаграмма использования интернет-ресурсов в StaffCop Enterprise

 

В аналитической системе отображаются графики и таблицы как для самих событий, так и для их взаимосвязей.

Оповещения

В StaffCop Enterprise оповещения настраиваются на любое событие, которое противоречит политике безопасности компании. Оповещения появляются в консоли администратора и приходят по электронной почте.

 

Рисунок 12. Уведомление об инциденте в панели администратора

 Уведомление об инциденте в панели администратора

 

Правила оповещения настраивают именно те события, которые требуют реакции. Для составления правил применяются встроенные и собственные словари, регулярные выражения и фильтры, которые генерирует конструктор программы.

 

Рисунок 13. Уведомление об инциденте в электронной почте

 Уведомление об инциденте в электронной почте

Перспективы

Разработчики StaffCop Enterprise планируют реализацию перехвата печати и записи звука с микрофона компьютера до конца 2017 года.

На весну 2018 года намечена реализация учета файловых операций на внешних дисках.

В планах — перехват переписки в Skype, популярных мессенджерах и социальных сетях.

 

Выводы

Linux-агент в StaffСop Enterprise собирает достаточно данных для анализа деятельности пользователя на рабочем месте, в том числе на серверном оборудовании.

Команда разработчиков трудится над развитием Linux-агента и ждет отзывов и пожеланий от пользователей.

Актуальная версия доступна по ссылке: staffcop.ru/download

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru