DeviceLock предоставляет возможность мониторинга действий пользователя посредством таких инструментов, как видеозапись экрана компьютера, запись нажатий клавиш на клавиатуре, информация о процессах и приложениях, которые работали во время записи. Такие виды мониторинга позволяют существенно расширить доказательную базу при расследовании инцидентов информационной безопасности, а также помогают выявлять подозрительное поведение пользователей и злоупотребления привилегиями доступа или политиками защиты данных, что в результате приводит к снижению рисков утечки данных.

Для осуществления мониторинга активности пользователей сервис DeviceLock записывает в видео формате действия, происходящие на экране пользовательского компьютера, а также выполняет запись того, какие клавиши нажимает пользователь на клавиатуре, и сохраняет дополнительные сведения, такие как имя активного приложения, заголовок активного окна и т.д. Имеется возможность сбора данных с пользовательских компьютеров на сервер DeviceLock Enterprise Server, где уполномоченные лица могут просматривать и анализировать записи активности пользователей.

Возможность записи действий пользователя дает ряд преимуществ при обнаружении угроз утечки данных. Сервис DeviceLock записывает в точности то, что пользователь видит на экране компьютера, независимо от используемых приложений и протоколов или уровня привилегий пользователя. Ввод с клавиатуры и другие данные, записанные сервисом DeviceLock вместе с видео, могут быть использованы для отслеживания определенных действий пользователя.

Сервис DeviceLock предусматривает различные критерии запуска, позволяющие начинать запись при наступлении определенных событий или условий. В зависимости от выбранного критерия запись может начинаться, например, при подключении определенного устройства, запуске некоторого приложения или несанкционированной попытке записи файла или передачи сообщения. Критерии запуска позволяют сервису DeviceLock выполнять выборочную запись вызывающих подозрения действий пользователя. Полный список критериев см. в разделе Настройка критериев запуска далее в этой главе.

Данные мониторинга активности пользователей первоначально сохраняются на локальном компьютере, что позволяет просматривать локальные записи пользовательских действий в консоли DeviceLock Management Console, подключенной к сервису DeviceLock. Так можно просматривать только записи, выполненные сервисом DeviceLock на локальном компьютере.

Для централизованного просмотра и анализа записей с различных компьютеров необходимо передать данные мониторинга активности пользователей на сервер DeviceLock Enterprise Server. Серверы для сбора и хранения данных задаются соответствующим параметром сервиса DeviceLock. При необходимости данные с разных серверов можно объединить для просмотра и анализа на центральном сервере, используя консолидацию журналов.