Контроль пользователей на устройствах

Kaspersky Anti Targeted Attack Platform может контролировать учетные записи пользователей на устройствах, известных приложению. При контроле пользователей приложение автоматически получает сведения об учетных записях, зарегистрированных в операционных системах устройств. По полученным сведениям приложение формирует таблицы пользователей.

При получении сведений об учетных записях приложение контролирует по этим сведениям все учетные записи пользователей на устройствах, за исключением некоторых локальных системных учетных записей, которые могут использовать только системные службы операционной системы. Например, приложение не контролирует учетные записи LocalSystem и NetworkService, используемые на устройствах под управлением операционных систем семейства Windows.

Для использования функциональности контроля пользователей должны быть включены методы контроля активов для обнаружения активности устройств и обнаружения сведений об устройствах. Эти методы должны быть включены на всех серверах с установленными компонентами приложения, от которых поступают сведения.

Контроль пользователей выполняется на основании данных, поступающих от источников следующих типов:

1. Телеметрия (Endpoint Agent).

   Данные об устройствах и о выполняемых на них процессах поступают при интеграции компонента Endpoint Agent с функциональностью NDR.

2. Внешний источник.

   Данные поступают от систем, использующих Kaspersky Anti Targeted Attack Platform API NDR и отправляющих в Kaspersky Anti Targeted Attack Platform сведения о пользователях.

Источники перечислены в порядке уменьшения приоритета данных, поступающих от этих источников. Приложение обрабатывает сведения о пользователях в соответствии с приоритетом поступивших данных. Сведения о пользователях, полученные от более приоритетного источника, могут заместить собой сведения от других источников. Также приложение автоматически удаляет из таблиц учетные записи пользователей, сведения о которых ранее были получены от источника Внешний источник, но в новых поступивших данных от этих источников такие пользователи отсутствуют.

Вы можете просматривать сведения о пользователях в разделе Активы на вкладке Пользователи.

При просмотре таблицы пользователей вы можете использовать функции настройки, фильтрации, поиска и сортировки, а также переходить к связанным элементам.Для таблицы всех пользователей действует ограничение по количеству элементов – не более 200 000.

Приложение отображает следующие сведения о пользователях устройств в таблице и области деталей выбранного пользователя:

• ID пользователя – идентификатор пользователя, присвоенный в Kaspersky Anti Targeted Attack Platform.
• Имя пользователя – имя учетной записи пользователя без указания домена или сетевого имени устройства.
• Полное имя – имя учетной записи пользователя с указанным именем домена или сетевым именем устройства.
• Группы – имена групп пользователей, в которые добавлена учетная запись пользователя.
• Устройство – имя и адрес устройства.
• Источник – тип источника данных о пользователе.
• SID – идентификатор безопасности пользователя.
• Статус учетной записи – статус, соответствующий полученному значению параметра для включения и выключения использования учетной записи.
• Блокировка – статус, соответствующий полученному значению параметра блокировки учетной записи.
• Смена пароля при следующем входе – признак включенного или выключенного состояния параметра, определяющего необходимость смены пользователем его пароля при следующем входе в систему.
• Запрет смены пароля пользователем – признак включенного или выключенного состояния параметра, определяющего запрет смены пользователем его пароля.
• Срок действия пароля – статус, соответствующий полученному значению параметра для включения и выключения ограничения на срок действия пароля пользователя.
• Данные получены – дата и время последнего получения сведений об учетной записи.
• Описание – описание, заданное для учетной записи.

При контроле пользователей приложение регистрирует события по технологии Контроль активов. Для регистрации используется системный тип события, которому присвоен код 4000005600. События регистрируются, если на устройствах автоматически добавлены, изменены или удалены учетные записи пользователей.

Вы можете настроить доступные параметры для типов событий.

В начало