Solar Dozor 7.9: обзор новых возможностей
1. Развитие агента Dozor Endpoint Agent
Начиная с версии Solar Dozor 7.9, для удобного управления группами рабочих станций можно создавать разделы и подразделы, формируя их иерархическую структуру. Ранее все создаваемые группы рабочих станций находились на одном уровне, поэтому управлять ими было не очень удобно, особенно если в компании большое количество подразделений или филиалов. Теперь группы можно создавать в любом разделе/подразделе. При этом в один раздел можно включить группы рабочих станций, находящиеся в разных подкластерах (подкластер – совокупность групп, объединенных по общему критерию, например по физическому расположению рабочих станций).
Также в версии Solar Dozor 7.9 реализовано автоматическое развертывание агентов на новых станциях, добавленных в группы Active Directory (для Linux-агента) и FreeIPA (для Linux- и macOS-агентов). Теперь Solar Dozor автоматически отслеживает новые рабочие станции, устанавливает на них агенты и распределяет по нужным группам станций. Таким образом, от администратора системы требуется один раз настроить Solar Dozor, далее процесс будет идти автоматически, в соответствии с заданными установками, что существенно сэкономит время офицера информационной безопасности.
Другие доработки Dozor Endpoint Agent:
| Linux | macOS | Windows |
|---|---|---|
| Установка Linux-агента через веб-интерфейс Solar Dozor. | Перехват файлов (документов и изображений), передаваемых с помощью AirDrop с рабочего стола сотрудника, из файлового менеджера Finder или напрямую из приложений. | Разработан новый стабильный механизм перехвата сообщений, передаваемых через WhatsApp Desktop. |
| Управление дистрибутивами Linux-агента через веб-интерфейс Solar Dozor. | Блокирование AirDrop-передачи файлов (при наличии такой политики). | |
| Управление учетными записями пользователей с правами на установку Linux-агента через веб-интерфейс Solar Dozor. | Функция активируется через веб-интерфейс Solar Dozor. |
2. Поддержка отечественных инструментов для совместной работы
Мы продолжаем планомерно дополнять перечень поддерживаемых инструментов для совместной работы и делаем ставку на российские разработки. Так, начиная с версии 7.9, Solar Dozor взял под свой контроль VK Teams и eXpress.
Отправленные через эти мессенджеры сообщения и файлы перехватываются системой Solar Dozor и проверяются на соответствие политики безопасности организации.
Офицер безопасности может:
- быстро найти и просмотреть переписку с использованием VK Teams и eXpress
- просмотреть сообщения в групповом чате eXpress и список участников чата
- настроить политику безопасности с учетом возможности перехвата сообщений и файлов в eXpress и VK Teams
3. Интеграция с FreeIPA
В рамках импортозамещения многие организации переходят с MS Active Directory на отечественные аналоги служб каталогов, например, такие как FreeIPA. В рамках развития трека импортонезависимой инфраструктуры в Solar Dozor 7.9 реализована поддержка LDAP-сервера FreeIPA (389 Directory Server). Благодаря этой интеграции модуль Dossier Solar Dozor обогащается данными о персонах, а также сведениями о рабочих станциях.
Эти данные могут быть полезны, например, при установке агентов на рабочие станции сотрудников, а также автоматизации переноса данных о сотрудниках в модуль Dossier.
4. Удобный интерфейс
Каждый релиз Solar Dozor cодержит дополнительные функции в интерфейсе системы, поскольку мы планомерно переводим его на более быстрый и продвинутый фреймворк Angular. В версии 7.9 мы сосредоточились на обновлении раздела «Поиск», и теперь работа с ним стала не только удобнее, но и занимает меньше времени.
Раздел «Перехватчики» в Solar Dozor разделен на две новые зоны: «Endpoint Agents» и «File Crawler», внутри которых тоже содержатся визуально приятные компоненты.
5. Автоматизация и оперативность переноса данных из Solar Dozor в SIEM
В версии Solar Dozor 7.9 мы улучшили механизм выгрузки событий и инцидентов в SIEM-cистемы – теперь это происходит в режиме реального времени. Работоспособность механизма протестирована на большинстве SIEM-систем, используемых заказчиками на российском рынке.
Преимущества нового механизма интеграции:
- Выгрузка событий, а также изменение статуса или состояния события происходят в режиме реального времени.
- Пользователь SIEM-системы отслеживает весь жизненный цикл события или инцидента.
- В SIEM-систему выгружаются полезные атрибуты, например, прямая ссылка в Solar Dozor на событие или инцидент, комментарий пользователя Solar Dozor при изменении состояния или статуса события.
- Сведения из Solar Dozor о типе угрозы, информационном объекте, политике и наборе правил, по которым произошло срабатывание, выгружается в SIEM-cистему в понятном, читаемом виде, а не набора идентификаторов, как было ранее.
- Пользователь Solar Dozor может задать определенный уровень критичности для событий и инцидентов, чтобы не выгружать ненужные.
6. Улучшения в настройке политики безопасности
Реализована настройка, которая позволяет обнаружить все вхождения искомого паттерна в сообщении (или документе). Ранее Solar Dozor завершал обработку сообщения после первого срабатывания правила политики безопасности. Однако на практике офицеру безопасности необходимо проводить более подробный анализ и выявлять в сообщении не только первое, но и все остальные срабатывания правила. Делать это вручную – достаточно трудоемкая задача, особенно если искомая последовательность находится в скрытом виде (например, белый шрифт в документе MS Word, гриф в PDF-файле, скрытый дополнительным белым слоем, и т. п.).
Реализованная «дофильтрация» позволяет офицеру безопасности при обработке инцидентов получить полную информацию о срабатываниях политики, которые выявлены в сообщениях. В результате риск утечки конфиденциальных данных снижается, что значительно уменьшает трудозатраты офицера безопасности на дополнительный анализ.