Системы управления сетью → PacketMotion → PacketSentry →

PacketSentry

Продукты PacketMotion (PacketSentry) решают задачи мониторинга действий пользователей исключительно на основании данных перехваченного сетевого трафика. Оказывает активное противодействие попыткам несанкционированного доступа пользователей к корпоративным ресурсам.

PacketSentry – UAM-система (UAM - User Activity Monitoring), осуществляющая мониторинг действий пользователей исключительно на основании данных перехваченного и расшифрованного сетевого трафика. PacketSentry также оказывает противодействие попыткам несанкционированного доступа пользователей к корпоративным ресурсам, и иным нарушениям корпоративных политик.

С помощью PacketSentry можно эффективным образом получать ответы на вопросы:

• К каким ресурсам получал доступ данный пользователь в заданный период времени?
• Какие сетевые действия осуществлял этот пользователь (доступ к файлам, базам данных, передача информации, и т.п.)?
• Кто получал доступ к тому или иному сетевому ресурсу?
• Кто осуществлял те или иные изменения состояния ресурса (например, изменение прав доступа, удаление)?
  и т.д.

Основное отличие PacketSentry от DLP-систем  –  PacketSentry осуществляет сбор информации обо всех сетевых транзакциях, осуществляемых пользователями, а не только тех, которые подпадают под некоторый заранее заданный набор правил. Это устраняет один из основных недостатков DLP-систем – то, что перемещения информации о необходимости отслеживания которой не было известно заранее (или же правила контроля не были своевременно разработаны) никак не отслеживаются. Примеры: готовящаяся документация для нового тендера, или разрабатываемый договор с новым подрядчиком. Кроме того, это же обстоятельство существенно снижает время внедрения PacketSentry, т.к. отпадает необходимость в тщательной разработке корпоративных политик доступа к информации и настройке правил, обеспечивающих соблюдение этих политик.

Типовое внедрение PacketSentry занимает всего 1 день, включая обучение пользователей. Система сразу начинает полноценно работать в режиме мониторинга, а политики ограничения доступа после этого могут разрабатываться постепенно, на основании получаемых данных мониторинга. При желании, эту работу клиент может выполнять самостоятельно, без помощи интегратора – система обладает простым, интуитивно понятным web-интерфейсом управления, не требующим установки на АРМ администратора системы никакого вспомогательного ПО.

Т.н. «сетевые агенты» популярных DLP-систем (модули, которые у данных систем выполняют функции контроля трафика) способны контролировать очень ограниченное число видов трафика – как правило, электронную почту, доступ к Web и службы мгновенных сообщений.

PacketSentry осуществляет эффективный мониторинг более чем 150 видов трафика, генерируемого различными приложениями, позволяя в т.ч. отслеживать работу пользователя с базами данных, а также работу через т.н. «тонкие клиенты» - Citrix и Windows Terminal Services.

Конструктивно система PacketSentry состоит из:

• Центрального устройства Manager, осуществляющего хранение данных о сетевых транзакциях и обеспечивающего доступ пользователей к этой информации; 
• И одного или нескольких устройств Probe, размещаемых в ключевых участках сети, где предполагается прохождение интересующего трафика. 
   
  Устройства Probe подключаются «параллельно» к контролируемой сети (к span-портам сетевых маршрутизаторов или посредством TAP-устройств). Таким образом, во-первых, не снижается производительность сети, во-вторых, исключается риск перебоев в работе по вине системы.
  Отсутствие агентов уровня «узла» существенно упрощает развёртывание и обслуживание системы.

PacketMotion.ppt