DeviceLock DLP содержит дополнительный модуль мониторинга активности пользователей (UAM), расширяющий функциональные возможности комплекса DeviceLock. Этот модуль устанавливается автоматически, но требует отдельной лицензии на использование. Подробнее о лицензии для этого модуля см. в разделе Лицензирование модуля UAM.

Модуль DeviceLock UAM предоставляет возможность мониторинга действий пользователя посредством таких инструментов, как видеозапись экрана пользователя, запись всех нажатий клавиш, информация о процессах и приложениях, которые выполнялись и запускались во время записи. Такие виды мониторинга позволяют существенно расширить доказательную базу при расследовании инцидентов информационной безопасности, а также помогают выявлять подозрительное поведение пользователей и злоупотребления привилегиями доступа или политиками защиты данных, что в результате приводит к снижению рисков утечки данных.

Важной особенностью модуля DeviceLock UAM является возможность записи экрана, нажатия клавиш и информации о процессах при наступлении заданного события. Правила записи в DeviceLock UAM можно задавать на основе таких видов событий, как срабатывание контентно-зависимого правила, подключение внешнего накопителя, наличие в системе определенного процесса и т.д.

Для осуществления мониторинга активности пользователей сервис DeviceLock записывает в видео формате действия, происходящие на экране пользовательского компьютера, а также выполняет запись того, какие клавиши нажимает пользователь на клавиатуре, и сохраняет дополнительные сведения, такие как имя активного приложения, заголовок активного окна и т.д. Имеется возможность сбора данных с пользовательских компьютеров на сервер DeviceLock Enterprise Server, где уполномоченные лица могут просматривать и анализировать записи активности пользователей.

Возможность записи действий пользователя дает ряд преимуществ при обнаружении угроз утечки данных. Сервис DeviceLock записывает в точности то, что пользователь видит на экране компьютера, независимо от используемых приложений и протоколов или уровня привилегий пользователя. Ввод с клавиатуры и другие данные, записанные сервисом DeviceLock вместе с видео, могут быть использованы для отслеживания определенных действий пользователя.

Сервис DeviceLock предусматривает различные критерии запуска, позволяющие начинать запись при наступлении определенных событий или условий. В зависимости от выбранного критерия запись может начинаться, например, при подключении определенного устройства, запуске некоторого приложения или несанкционированной попытке записи файла или передачи сообщения. Критерии запуска позволяют сервису DeviceLock выполнять выборочную запись вызывающих подозрения действий пользователя. Вот несколько примеров имеющихся критериев запуска:

Подробнее о критериях запуска записи см. в разделе Настройка критериев запуска главы Мониторинг активности пользователей.

Данные мониторинга активности пользователей первоначально сохраняются на локальном компьютере, что позволяет просматривать локальные записи пользовательских действий в консоли DeviceLock Management Console, подключенной к сервису DeviceLock. Так можно просматривать только записи, выполненные сервисом DeviceLock на локальном компьютере.

Для централизованного просмотра и анализа записей с различных компьютеров необходимо передать данные мониторинга активности пользователей на сервер DeviceLock Enterprise Server. Серверы для сбора и хранения данных задаются соответствующим параметром сервиса DeviceLock. При необходимости данные с разных серверов можно объединить для просмотра и анализа на центральном сервере, используя консолидацию журналов.

Подробнее о средствах просмотра записей мониторинга см. в разделе Просмотр активности пользователей главы Мониторинг активности пользователей.