1 - Аудит файловых систем без использования штатных средств Windows
Для ИБ-специалиста важно быстро найти ответы на вопросы: кто и когда совершил конкретные действия с определенной папкой или документом. Для этого в ОС Windows используется аудит доступа к объектам — запись в журналы информации о событиях: источник, объект, код события и т. д. Объектом аудита может являться файл, папка, или определенное событие — например, вход пользователя в систему.
Чтобы реализовать ежедневный анализ данных аудита, ИБ-специалисту необходимо обращаться в ИТ-отдел для выполнения ряда настроек через локальные или групповые политики безопасности. При этом, если к данным обращается большое число пользователей, включение отслеживания всех событий может привести созданию множества записей аудита, и переполнению журнала Windows, что может являться проблемой в связи с ограничением ИТ-ресурсов.
Возможность аудита файловых систем без применения штатных средств ОС Windows позволяет сократить лишние этапы согласования и ряд рутинных операций, повышая эффективность взаимодействия ИТ и ИБ департамента.
2 - Вычисление атипичных параметров всех сущностей системы
Makves DCAP контролирует параметры пользователей, компьютеров, файлов, почтовых ящиков и их взаимодействие.
На основе полученных данных при помощи алгоритмов выявления аномалий система выстраивает индекс атипичности для каждой сущности системы: пользователя, компьютера, файла, почтового ящика и события. Это позволяет своевременно выявить подозрительную активность и вызвать оперативную реакцию администратора.
Прочие улучшения Makves DCAP: