Wykrywanie podejrzanej aktywności

Top  Download  Previous  Next

W nVision 14.5 wprowadzono funkcjonalność wykrywania podejrzanej aktywności, symulowanej przez tzw. "jigglery". Po włączeniu tej funkcjonalności Agent nVision będzie na bieżąco zbierał informacje na temat podejrzanej aktywności. Aktywność użytkownika jest klasyfikowana jako podejrzana wtedy, gdy w zdefiniowanym przedziale czasowym występują wyłącznie ruchy myszki bez żadnych kliknięć lub ciągłe wprowadzanie tych samych znaków z klawiatury.

 

Ustawienia dotyczące wykrywania podejrzanej aktywności działają na trzech poziomach:

1. Atlasu

2. Grupy

3. Konkretnego użytkownika

Ustawienia są dziedziczone.

 

Aby właczyć wykrywanie podejrzanej aktywności na poziomie Atlasu, należy przejść do widoku informacji o atlasie, a następnie przejść do zakładki Ustawienia. W tym widoku dostępna jest opcja wykrywaj podejrzaną aktywność. Minimalna wartość ustawienia wynosi 15 minut, tzn. jeżeli podejrzana aktywność będzie trwać dłużej niż 15 minut, to zostanie tak zaklasyfikowana. Ustawienie wartości tego parametru jako 0 oznacza, że podejrzana aktywność nie będzie wykrywana.

Domyślnie wykrywanie podejrzanej aktywności jest wyłączone (funkcjonalność może kolidować z zainstalowanym na maszynach oprogramowaniem antywirusowym).

 

suspicious_activity_atlas_zoom50

 

suspicious_activity_group_zoom50

 

suspicious_activity_hostinfo_zoom50

 

 

 

Podejrzaną aktywność można podejrzeć w widoku UserInfo, w zakładce Aplikacje - Aplikacje-użytkowanie. Jeżeli podejrzana aktywność zostanie wykryta, to informacje na jej temat będą widoczne w kolumnie podejrzana aktywność.

 

suspicious_activity_preview_zoom50

 

Cały okres jest oznaczany jako podejrzany nawet jeżeli podejrzana aktywność wystąpiła w pewnej części. Nie można się dowiedzieć kiedy dokładnie podejrzana aktywność wystąpiła w obrębie tego okresu.

 

Należy pamiętać, że zakwalifikowanie pewnego okresu czasu jako podejrzana aktywność nie oznacza definitywnie, że w tym przedziale czasowym użytkownik korzystał z oprogramowania symulującego zachowanie użytkownika. Funkcjonalność powinno się traktować jako pewnego rodzaju wskazówkę, w szczególności wtedy, gdy taka podejrzana aktywność będzie wykrywana sporadycznie.

 

Dopełnieniem wykrywania podejrzanej aktywności jest dodatkowa opcja konfiguracji zrzutów ekranowych, pozwalająca na zapis zrzutu ekranowego, gdy użytkownik jest zalogowany i jednocześnie nVision wykryło podejrzaną aktywność klawiatury lub myszy. Narzędzie to pozwala lepiej zrozumieć podejrzaną aktywność użytkownika, np. jeżeli w dłuższym przedziale czasowym taka aktywność jest wykrywana, a zrzuty ekranowe prezentują taki sam widok, to wtedy z dużym prawdopodobieństwem możemy stwierdzić, że użytkownik używa jigglerów lub innego oprogramowania tego rodzaju.

 

suspicious_activity_screenshot_zoom75

 

W nVision 14.5 dodano również nowy typ zdarzenia - wykryto podejrzaną aktywność użytkownika. Administrator może utworzyć dodatkowy alarm w nVision, który zostanie uruchomiony wtedy, gdy tylko jakakolwiek podejrzana aktywność użytkownika zostanie wykryta.

 

suspicious_activity_alert

 

Podejrzana aktywność jest również ujmowana w raportach dotyczących użycia aplikacji.

 

suspicious_activity_report_zoom50