 |
Модуль 4: Технологии агентского мониторинга
|
|
|
|
Задания выполняются с помощью компонентов DLP системы InfoWatch.
Все сценарии заданий (где применимо) необходимо воспроизвести и зафиксировать результат.
Необходимо убедиться в корректном отображении результата в сводках событий.
Называйте созданные вами разделы/политики/группы и т.д. в соответствии с заданием, например «Политика 1.2 задание 4» и т.д.
Для некоторых политик могут понадобиться дополнительные файлы, которые будут выданы дополнительно.
Выполнение отдельных заданий необходимо подтвердить скриншотом (это всегда указывается отдельно). В этом случае необходимо протоколировать свои результаты с помощью двух скриншотов для каждого задания (скриншот заданной политики и скриншот ее работы). Для некоторых заданий необходимо после фиксации результатов в виде скриншотов удалить заданную политику, что будет оговорено отдельно в тексте задания.
Все скриншоты необходимо сохранить на рабочем столе в папке «Модуль 4».
Формат названия скриншотов политик:
Пример 1 для сохранения скриншота созданной политики: CP-1.jpg
где СP – сокращение от англ. сreating а policy,
1 – номер задания
Пример 2 для сохранения скриншота работающей политики: PW-1.jpg
где PW – сокращение от англ. policy work,
1 – номер задания.
Пример 3 для сохранения нескольких скриншотов одной работающей политики:
PW-1-2.jpg
где PW – сокращение от англ. policy work,
1 – номер задания;
2 – номер скриншота для задания 1.
Модуль 5: Технологии агентского мониторинга
Задание 1
Необходимо создать новую политику по умолчанию (кроме политики на устройства по умолчанию), назвав ее DemoExam, применить ее к компьютеру нарушителя (группе компьютеров).
Последующие правила по заданиям должны быть добавлены в эту политику.
Зафиксировать выполнение скриншотом.
|
|
|
Задание 2
Для удаленного управления необходимо создать дополнительного офицера безопасности для доступа к IWDM с полными правами на управление.
Имя пользователя: iwdmde, пароль: 2233XXxx
Проверить работоспособность с удаленной консоли, зафиксировать выполнение скриншотом.
Задание 3
Для удобства работы второго офицера безопасности необходимо установить дополнительную консоль управления IWDM на хост-машину (компьютер для управления) для удаленного доступа к серверу IWDM.
Проверить работоспособность, зафиксировать выполнение скриншотом запущенной консоли на хост-машине.
Правило 1
Необходимо запретить пользоваться Microsoft Paint, а также Paint 3D (при наличии), т.к. участились случаи подделки печатей компании.
Проверить работоспособность и зафиксировать выполнение скриншотом.
Правило 2
Необходимо разрешить пользоваться буфером обмена в приложениях «блокнот» и «notepad++», но запретить копирование за пределы открытых документов.
Проверить работоспособность и зафиксировать выполнение скриншотом.
Правило 3
Необходимо запретить создание снимков экрана в табличных процессорах (Excel) и калькуляторе для предотвращения утечки секретных расчетов и баз данных.
Проверить работоспособность и зафиксировать выполнение скриншотом.
Правило 4
Необходимо поставить на контроль буфер обмена в офисных приложениях (MSWord/WordPad, Excel, PowerPoint).
Проверить работоспособность и зафиксировать выполнение занесением пары событий в IWTM, например используя политики из модуля 3.
Также подтвердить выполнение скриншотом.
Правило 5
Необходимо разрешить чтение из всех облачных сервисов, но запретить загрузку в них.
Зафиксировать создание политики скриншотом.
Правило 6
Необходимо контролировать трафик мессенджера WhatsApp, а также создавать теневую копию передаваемых файлов до 7МБ.
Зафиксировать создание политики скриншотом.
|
|
|
Правило 7
Необходимо запретить печать на сетевых принтерах.
Зафиксировать создание политики скриншотом.
Правило 8
Заблокируйте доступ к CD/DVD и MTP на клиентском компьютере.
Проверить работоспособность на CD / DVD.
Зафиксировать выполнение скриншотом.
Правило 9
Осуществить выдачу временного доступа (30 минут) клиенту до заблокированного CD привода.
Зафиксировать скриншотами факт выдачи доступа и необходимые действия в IWDM.
Правило 10
Необходимо настроить контроль движения файлов до 12 МБ для съемных носителей и сетевых дисков.
Проверить работоспособность и зафиксировать выполнение занесением 1-2 событий в IWTM на агентскую политику, созданную в рамках данного задания. Зафиксировать факт проверки скриншотами
Правило 11
Создать политику по блокировке копирования исполняемых exe-файлов на USB-накопители. Проверить работоспособность и зафиксировать выполнение (зафиксировать результаты в виде скриншотов). Удалить (или отключить) созданную политику, т. к. она может мешать выполнения следующих заданий.
Проверить работоспособность и зафиксировать выполнение скриншотом
Правило 12
Необходимо запретить запись файлов на все съемные носители информации (флешки), оставив возможность чтения и копирования с них.
Проверить работоспособность и зафиксировать выполнение скриншотом.
Правило 13
С учетом ранее созданной политики из задания 12 необходимо разрешить запись файлов на доверенный носитель. Запрет на запись на остальные носители оставить в силе.
Проверить работоспособность и зафиксировать настройку и выполнение скриншотами.
Правило 14
Необходимо установить контроль за компьютером потенциального нарушителя в случае использования браузера Google Chrome путем создания снимков экрана каждые 15 секунд или при переходе на другую страницу.
Проверить работоспособность и зафиксировать выполнение: продемонстрировать, что снимки экрана из задания появляются в консоли IWTM. Подтвердить выполнение задания скриншотами.
Правило 15
Необходимо запретить пользователям пользоваться диспетчером задач, чтобы было сложнее отследить работу InfoWatch Device Monitor Agent.
Проверить работоспособность и зафиксировать выполнение скриншотом.
|
|
|
Правило 16
Необходимо создать выборки (фильтры) по событиям по 2 категориям:
· Фильтр на события, отправленные в TM
· Фильтр на события по конкретному компьютеру по офисным приложениям (Word, Excel, PowerPoint)
Проверить работоспособность и зафиксировать выполнение скриншотом.
|
|
|
