Мониторинг рабочих станций
Как работает мониторинг рабочих станций
Журнал событий ОС, контроль установленных обновлений и изменений конфигурации — данные с агента инвентаризации.
Нажмите на изображение, чтобы увеличить
Зачем нужен мониторинг рабочих станций для ИБ
Это не сетевой мониторинг (Zabbix мониторит «работает или нет»). Это change detection — отслеживание изменений в конфигурации рабочих станций для ИБ-комплаенса.
Удалён антивирус — узнаём через месяц
Сотрудник удалил антивирус, мешающий работе. Без мониторинга ИБ-отдел узнает об этом только при проверке.
Установлено запрещённое ПО
Торренты, удалённый доступ, криптомайнеры. Без мониторинга — теневое ИТ процветает.
Изменена конфигурация сервера
Сменился IP, добавился диск, обновилась ОС. Реестр активов устарел, модель угроз не актуальна.
Какие изменения отслеживает агент
ПО, СЗИ, СКЗИ, конфигурация — полный change detection для ИБ
Отслеживание установки/удаления ПО
Агент фиксирует каждое изменение в списке установленного ПО: новая программа, обновление версии, удаление. Критично для контроля теневого ИТ.
Изменения конфигурации
Изменение hostname, IP-адреса, состава оборудования, настроек ОС. Агент фиксирует «что было → что стало» с временной меткой.
Мониторинг СЗИ и СКЗИ
Удалён антивирус? Обновлена версия КриптоПро? Отключён МЭ? Агент немедленно фиксирует изменение состояния средств защиты.
Оповещения по правилам
Настраиваемые правила: «удалён антивирус → алерт CISO», «установлено неразрешённое ПО → алерт ИБ». Email и Telegram-уведомления.
Журнал изменений
Полная хронология изменений на каждой машине. Фильтрация по типу события, периоду, критичности. Экспорт для расследований и аудитов.
Как запустить мониторинг
Установка агента → настройка правил → непрерывный мониторинг
Установка агента
Агент КиберОснова устанавливается на рабочие станции и серверы. Windows, Linux, Astra, ALT, RED OS. Централизованная установка через AD, SCCM или ansible.
Настройка правил оповещений
Определите, какие изменения критичны: удаление СЗИ, установка нового ПО, изменение конфигурации. Назначьте получателей оповещений.
Преднастроенные правила для типовых сценариев ИБ
Мониторинг в реальном времени
Агент регулярно опрашивает состояние машины и фиксирует изменения. Данные передаются на сервер по TLS 1.2+. Журнал доступен в веб-интерфейсе.
Реагирование на изменения
При обнаружении критичного изменения — оповещение ответственному. Данные об изменении привязываются к активу и доступны для расследования.
Среднее время обнаружения изменения: < 1 часа
Без мониторинга vs с агентом КиберОснова
| Критерий | Без мониторинга изменений | С агентом КиберОснова |
|---|---|---|
| Удалён антивирус | Узнаём при проверке (месяцы) | Алерт в течение часа |
| Установлено неизвестное ПО | Не замечаем | Фиксация + оповещение |
| Изменился IP / hostname | Реестр устарел | Автоматическое обновление |
| Обновление СЗИ/СКЗИ | Узнаём случайно | Журнал с версией «до» и «после» |
| Подготовка к аудиту | Ручной обход машин | Экспорт журнала за 1 клик |
| Расследование инцидента | Нет данных, что менялось | Хронология изменений с датами |
| Контроль теневого ИТ | Невозможен | Обнаружение несанкционированного ПО |
Часто задаваемые вопросы о мониторинге
Ответы о контроле изменений на рабочих станциях и настройке алертов
Узнавайте об изменениях на рабочих станциях в течение часа
Агент отслеживает установку ПО, изменение СЗИ, конфигурации. Алерты по правилам.