Solar Dozor 7.9

Solar Dozor 7.9: обзор новых возможностей

1. Развитие агента Dozor Endpoint Agent

Начиная с версии Solar Dozor 7.9, для удобного управления группами рабочих станций можно создавать разделы и подразделы, формируя их иерархическую структуру. Ранее все создаваемые группы рабочих станций находились на одном уровне, поэтому управлять ими было не очень удобно, особенно если в компании большое количество подразделений или филиалов. Теперь группы можно создавать в любом разделе/подразделе. При этом в один раздел можно включить группы рабочих станций, находящиеся в разных подкластерах (подкластер – совокупность групп, объединенных по общему критерию, например по физическому расположению рабочих станций).

01

02

Также в версии Solar Dozor 7.9 реализовано автоматическое развертывание агентов на новых станциях, добавленных в группы Active Directory (для Linux-агента) и FreeIPA (для Linux- и macOS-агентов). Теперь Solar Dozor автоматически отслеживает новые рабочие станции, устанавливает на них агенты и распределяет по нужным группам станций. Таким образом, от администратора системы требуется один раз настроить Solar Dozor, далее процесс будет идти автоматически, в соответствии с заданными установками, что существенно сэкономит время офицера информационной безопасности.

Другие доработки Dozor Endpoint Agent:

2. Поддержка отечественных инструментов для совместной работы

Мы продолжаем планомерно дополнять перечень поддерживаемых инструментов для совместной работы и делаем ставку на российские разработки. Так, начиная с версии 7.9, Solar Dozor взял под свой контроль VK Teams и eXpress.

Отправленные через эти мессенджеры сообщения и файлы перехватываются системой Solar Dozor и проверяются на соответствие политики безопасности организации.

Офицер безопасности может:

• быстро найти и просмотреть переписку с использованием VK Teams и eXpress
• просмотреть сообщения в групповом чате eXpress и список участников чата
• настроить политику безопасности с учетом возможности перехвата сообщений и файлов в eXpress и VK Teams

01

02

3. Интеграция с FreeIPA

В рамках импортозамещения многие организации переходят с MS Active Directory на отечественные аналоги служб каталогов, например, такие как FreeIPA. В рамках развития трека импортонезависимой инфраструктуры в Solar Dozor 7.9 реализована поддержка LDAP-сервера FreeIPA (389 Directory Server). Благодаря этой интеграции модуль Dossier Solar Dozor обогащается данными о персонах, а также сведениями о рабочих станциях.

Эти данные могут быть полезны, например, при установке агентов на рабочие станции сотрудников, а также автоматизации переноса данных о сотрудниках в модуль Dossier.

4. Удобный интерфейс

Каждый релиз Solar Dozor cодержит дополнительные функции в интерфейсе системы, поскольку мы планомерно переводим его на более быстрый и продвинутый фреймворк Angular. В версии 7.9 мы сосредоточились на обновлении раздела «Поиск», и теперь работа с ним стала не только удобнее, но и занимает меньше времени.

01

02

03

Раздел «Перехватчики» в Solar Dozor разделен на две новые зоны: «Endpoint Agents» и «File Crawler», внутри которых тоже содержатся визуально приятные компоненты.

01

02

03

5. Автоматизация и оперативность переноса данных из Solar Dozor в SIEM

В версии Solar Dozor 7.9 мы улучшили механизм выгрузки событий и инцидентов в SIEM-cистемы – теперь это происходит в режиме реального времени. Работоспособность механизма протестирована на большинстве SIEM-систем, используемых заказчиками на российском рынке.
Преимущества нового механизма интеграции:

• Выгрузка событий, а также изменение статуса или состояния события происходят в режиме реального времени.
• Пользователь SIEM-системы отслеживает весь жизненный цикл события или инцидента.
• В SIEM-систему выгружаются полезные атрибуты, например, прямая ссылка в Solar Dozor на событие или инцидент, комментарий пользователя Solar Dozor при изменении состояния или статуса события.
• Сведения из Solar Dozor о типе угрозы, информационном объекте, политике и наборе правил, по которым произошло срабатывание, выгружается в SIEM-cистему в понятном, читаемом виде, а не набора идентификаторов, как было ранее.
• Пользователь Solar Dozor может задать определенный уровень критичности для событий и инцидентов, чтобы не выгружать ненужные.

6. Улучшения в настройке политики безопасности

Реализована настройка, которая позволяет обнаружить все вхождения искомого паттерна в сообщении (или документе). Ранее Solar Dozor завершал обработку сообщения после первого срабатывания правила политики безопасности. Однако на практике офицеру безопасности необходимо проводить более подробный анализ и выявлять в сообщении не только первое, но и все остальные срабатывания правила. Делать это вручную – достаточно трудоемкая задача, особенно если искомая последовательность находится в скрытом виде (например, белый шрифт в документе MS Word, гриф в PDF-файле, скрытый дополнительным белым слоем, и т. п.).

Реализованная «дофильтрация» позволяет офицеру безопасности при обработке инцидентов получить полную информацию о срабатываниях политики, которые выявлены в сообщениях. В результате риск утечки конфиденциальных данных снижается, что значительно уменьшает трудозатраты офицера безопасности на дополнительный анализ.