监控设备用户

Kaspersky Industrial CyberSecurity for Networks 可以监控其已知设备上的用户账户。在监控用户时，它会自动接收这些设备的操作系统中注册的账户信息。应用程序使用这些详细信息来创建用户表。

收到账户详细信息后，该应用程序会使用此信息监控设备上的所有用户账户，但某些只能由操作系统服务使用的本地系统账户除外。例如，该应用程序不控制 Windows 操作系统设备上使用的 LocalSystem 和 NetworkService 账户。

要使用用户监控功能，必须启用设备活动检测和设备信息检测的资产管理方法。必须在安装了从其接收信息的应用程序组件的所有节点上启用这些方法。

用户监控依赖于以下来源类型的数据：

1. OVAL 扫描：根据内置 OVAL 规则扫描设备的软件组件，例如 EPP 应用程序可根据需求将扩展的设备数据发送到 Kaspersky Industrial CyberSecurity for Networks，或安装了应用程序组件的节点，这些节点在作为配置监控作业的一部分扫描设备时远程连接到设备。
2. 遥测 (Endpoint Agent)： 将设备和正在运行的进程的基本数据（遥测数据）发送到 Kaspersky Industrial CyberSecurity for Networks 的 EPP 应用程序。
3. 流量：监控点，根据用于识别设备信息的规则和设备之间的通信协议分析传入的流量。
4. 外部源：使用 Kaspersky Industrial CyberSecurity for Networks API 并向 Kaspersky Industrial CyberSecurity for Networks 发送用户详细信息的应用程序。

这些来源按其数据优先级的降序排列。在处理用户详细信息时，应用程序遵循数据源优先级。来自较高优先级来源的用户详细信息可以覆盖来自其他来源的信息。应用程序还会自动从表中删除先前从外部源和 OVAL 扫描接收其详细信息，但这些信息在从这些源接收的新数据中不存在的用户账户。

如果需要，具有管理员角色的用户可以手动删除用户账户。

您可以在资产选项卡的用户”部分查看有关用户的信息。查看用户表时，您可以配置、过滤、搜索和排序记录，以及导航到相关项目。

所有用户表限制为 200000 个项目。

应用程序在表格和所选用户的详细信息区域中显示以下设备用户详细信息：

• 用户 ID：Kaspersky Industrial CyberSecurity for Networks 中分配的用户标识符
• 用户名：不指定设备域或网络名称的用户账户名
• 全名：指定设备域名或网络名称的用户账户名
• 组：用户账户所属的用户组的名称
• 设备：设备名称和地址
• 来源：用户数据源类型
• SID：用户安全标识符
• 账户状态：反映接收到的启用和禁用账户使用的参数值的状态
• 锁定：反映收到的账户锁定值的状态
• 下次登录时更改密码：一个标志，指示用户下次登录时是否需要重置密码
• 阻止用户更改密码：指示是否禁止用户更改密码的标志
• 密码有效期：反映收到的密码到期启用/禁用值的状态
• 数据接收日期：上次收到账户详细信息的日期和时间
• 描述：为账户设置的描述

在监控用户时，应用程序使用资产管理技术进行事件记录。这些事件是使用分配了代码 4000005600 的系统事件类型进行注册的。当设备上的用户账户自动添加、修改或删除时，会记录事件。

您可以在“设置设置事件类型事件类型配置事件类型的可用设置。

通过 Web 界面连接到服务器时，您可以查看有关已注册事件的信息。

页首