iS-CDA2021.1.0 正式发布（20210507）

重点

• 我们将 UEBA 产品重构，命名为“iS-CDA”，优化升级了服务管理平台以及客户端采集内容

• 全新的桌面行为分析系统，详细记录终端桌面上用户的每一次行为，关联可视化录屏回放，对用户行为进行详细的安全审计与回溯

• 根据行业内不同的工作环境和使用场景，我们提供了：集群服务、工作效率包、运维日志分析包、水印支持包；强大的行为捕获和分析能力，满足企业对不同岗位员工的行为安全管控诉求，发现异常行为，实现“事前防范，事后追溯”，保障企业信息安全

• 服务管理平台和客户端都设计了全新的界面样式和交互，注重用户体验

• 丰富了客户端的日志采集插件，优化采集内容，行为日志抓取更全面更直观

• 系统将日志自然语言化，支持定位跳转关联的录屏回放，大大提升了日志可读性和检索便捷性，提高审计的细粒度

• 终端的运行、升级、录屏相关日志自动上传至 ELK，无需本地拷贝，使运维排错工作更高效和便捷

• 支持录屏和日志数据定期清理，便于管理员进行数据维护

• 实现 AD 域验证登录服务平台，方便企业简单高效地对账号进行集中式管理

• 支持跨组织、多中心、跨地域等复杂环境的集群部署，降低网络带宽占用和录屏传输压力

• 优化了服务端安装脚本，提高了容错，简化了安装步骤

• 优化了客户端升级方式，支持选定时间段进行批量升级，静默升级用户无感知

• 产品支持中英文国际化操作界面

说明事项

• 2021.1.0 版本发布内容包含 CDA 客户端、CDA 服务平台
• 2021.1.0 客户端安装包为自动化安装脚本，支持域推大规模部署

线上使用手册

iS-CDA 2021.1.0 使用手册

持续更新中……

1. 产品功能说明

3.1 服务端

3.1.1 功能优化

• 优化了录屏策略配置交互，策略设置更方便，策略分配使用更灵活
• 优化了录屏日志列表，以通俗易懂的自然语言拼接日志内容，行为审计回溯更便捷直观
• 优化终端升级功能，大幅度缩短了批量升级终端的时间
• 优化了终端用户注册方式，用户列表根据录屏文件自动添加用户，无需手动添加
• 优化 AD 域配置方式，支持定期自动同步更新域环境下的部门和用户信息
• 优化系统操作日志描述，详细记录平台数据增删改的操作，保障平台内部安全

3.1.2 新增功能

• 新增可视化概览页面，实时检测主机性能以及数据概况
• 终端列表支持指定终端立即获取录屏策略
• 新增终端升级规则配置，支持针对不同版本的终端，同时设定多条升级策略，定时批量按需升级
• 支持通过策略管理用户计算机桌面是否显示终端托盘
• 新增水印支持包，通过策略开启桌面动态水印，保护企业信息安全
• 新增工作效率包，多维度分析评估团队和用户个人的工作状态
• 新增运维日志分析包，采集运维工具日志，分别对服务器、数据库、FTP 文件传输工具的操作行为进行统计分析

3.1.3 服务端功能介绍

概览

• 支持实时检测服务器主机性能
• 显示主机磁盘使用情况
• 统计系统总数量及运行天数
• 分别显示系统运行以来最常使用的应用和网站 TOP5
• 记录系统运行以来，用户操作行为日志的占比情况
• 统计最近 7 天的许可占用情况、录屏用户数、部门数、用户活跃趋势
• 显示最近 7 天的行为日志趋势、录屏时长趋势

专利录屏技术 - 完全满足合规审计要求

• 基于变化录屏原理，对用户桌面操作的完整录屏，全面真实的记录用户每一次操作
• 连续录屏不会掉帧
• 支持多屏录制采集
• 针对商业及字符应用特别优化了压缩算法
• 针对视频拖拉优化了索引
• 自有的文件存储格式，储存资源消耗可以减小 50-200 倍

录屏回放

• 可直接在 iS-CDA 的 WEB 管理页面中在线观看录屏回放，无需另行安装播放器
• 优化了回放中“鼠标点击事件”高亮标识，每一次鼠标动作清晰可见
• 支持拖拽进度条、暂停、多倍速播放等常规录屏播放功能
• 在录屏回放窗口右侧栏显示录屏日志关联的窗口标题
• 支持定位跳转播放录屏，相当于为长时间的录屏配置了索引
• 支持相对时间、绝对时间的切换
• 支持一键截屏
• 支持 1:1 原始桌面大小的播放

实时监控

• 支持对正在录屏的会话进行实时监控
• 根据会话 ID 实时查看正在录屏用户的实时操作画面，便于实时掌握员工工作情况

自然语言化的行为文本日志

• 日志列表所有事件关联用户名、计算机名、ip 地址
• 关联事件发生时，使用的应用 / 网址、当前窗口标题
• 自然语言拼接日志内容，事件描述通俗易懂
• 直观显示了“用户在什么时间、哪台终端、做了什么动作以及关联的应用 / 网页和窗口标题”
• 每条日志可一键定位跳转至日志关联的录屏回放，定点播放日志显示的操作画面

elk 分布式全文搜索

• 可用于所有类型日志全文搜索
• 实时分析的分布式搜索引擎，支持亿级数量会话检索
• 支持按不同索引检索不同类型日志，如：行为日志、客户端运行日志、获取录屏机等服务日志、客户端升级日志等
• 搜索结果自动分类，单条件、多条件联级检索
• 支持快速时间选择，默认统计最近 15 分钟，可选择多个自定义的时间段，支持相对时间和绝对时间，支持自动刷新搜索
• 支持事件趋势柱状图，自动产生近期事件趋势图表
• 支持事件详细信息的查看，支持关联回放录屏，定位跳转到事件开始时进行回放
• 搜索条件和结果可以进行保存，便于下次使用，也可以用于创建新的视图和搜索
• 支持自定义视图，生成 dashboard，数据展现方式直观丰富

灵活的录屏策略配置

• 支持选择不同的录屏场景：运维场景、全录屏场景、不录屏场景
• 结合应用 / 网页黑名单的配置，可以满足针对指定的人员、操作工具、应用和网页等进行单独的触发录屏或者不录屏
• 支持配置是否开启离线录屏，实现断线续传，保证了录屏、日志数据的完整性
• 支持配置水印策略，启动后用户桌面会盖印当前桌面用户信息，震慑手机拍照或截屏操作行为
• 支持针对不同操作行为，自由选择是否开启日志采集
• 支持按用户或部门批量分配策略，满足管理员对不同用户和部门的录屏需要

工作效率分析包

• 通过效率画像分析评估团队或员工个人的工作效率
• 通过 kibana 集成效率报表，对比各个团队或员工之间的工作状态
• 支持按时间周期统计数据
• 针对日志采集关联的应用 / 网页，系统内置分类知识库
• 支持灵活定义应用 / 网页类型，判定用户行为是否与工作相关
• 支持设定空闲状态，桌面窗口指定时间无操作则开始记录用户空闲时长

1. 用户效率画像

   • 按时间段统计指定用户的出勤天数、日均工作时长、空闲时长占比
   • 以时间轴为序，统计用户个人每天的工作时长、操作时长、空闲时长趋势
   • 分析该用户统计周期内的高频空闲时间段
   • 记录该用户使用最多的应用、访问最多的网页，以及这些应用 / 网页的使用时长、操作频率
   • 基于应用的分类，统计分析该用户的操作行为是否与工作相关

2. 部门效率画像

   • 按时间段统计指定部门整体的平均工作时长、空闲时长占比、总工作天数
   • 显示该部门在选定周期内统计了多少用户、无录屏用户数
   • 以时间轴为序，统计团队整体的工作状态
   • 降序排列部门内工作时长、操作时长最多的用户
   • 统计部门整体常用应用 / 网页的使用情况

3. 效率报表

   • 通过 kibana 可视化视图，分别统计团队和员工个人的工作效率指标
   • 对比各部门与部门之间的工作效率排名，及时关注工作效率较低的子部门
   • 对比部门内各用户之间的工作效率排名，关注部门内每个员工的工作概况

运维日志分析包

• 丰富的运维日志抓取能力
• 记录服务器、数据库和 FTP 工具操作的详细信息
• 通过 kibana 可视化视图生成运维报表
• 分析服务器、数据库和 FTP 工具的登录、使用和执行命令情况

1. 服务器报表

   • 记录用户访问的服务器地址，以及访问资源时的登录名
   • 统计访问的服务器资源总数和访问次数
   • 统计最常访问服务器资源的用户
   • 以时间轴为序，统计用户在服务器资源不同协议下的操作趋势
   • 分析总结不用服务器之间的常用命令类型，以及具体的命令内容
   • 列表关联所有用户的服务器运维日志详情，支持定位回放录屏

2. 数据库报表

   • 记录用户访问的数据库地址、实例名，以及访问数据库时的登录名
   • 统计访问的数据库资源总数和访问次数
   • 统计最常访问数据库资源的用户，以及他们分别访问了哪些实例
   • 以时间轴为序，统计用户在数据库资源中执行的不同操作类型趋势
   • 分析总结最常执行删除操作的资源
   • 统计数据库命令执行结果的成功率
   • 列表关联所有用户的数据库运维日志详情，支持定位回放录屏

3. FTP 工具报表

   • 记录用户使用文件传输工具访问的资源地址，以及访问资源时的登录名
   • 统计访问的资源总数和访问次数
   • 统计最常在资源中远程传输文件的用户
   • 以时间轴为序，统计用户使用工具远程操作文件的动作类型趋势
   • 统计资源中被下载次数较多的文件是哪些
   • 列表关联所有用户的 FTP 工具使用日志详情，支持定位回放录屏

用户管理

• 终端用户和系统用户分开管理
• 终端用户支持根据录屏自动导入，无需管理员手动添加
• 终端用户许可占用情况可远程自由分配修改
• 系统用户支持按角色赋予菜单查看权限，
• 系统用户可进行部门授权，授权后可查看被授权部门的数据
• 支持 AD 域同步用户和部门
• 支持开启 AD 域验证登录服务管理平台

终端管理

• 可对客户端进行全面监控和实时控制管理
• 列表展示系统内所有客户端的主机名、ip 地址、运行状态、版本信息、安装时间、最后一次心跳时间
• 支持单独或批量远程下发客户端动作：运行、停止、重启、卸载、升级
• 支持指定终端立即获取录屏策略
• 支持每个终端自动生成操作口令，用于单个客户端执行退出、卸载、停止等操作

终端升级

• 支持升级包上传管理
• 简化升级步骤，无需填写路径，提高升级成功率
• 支持升级策略配置，可针对不同源版本的终端设定多条升级策略
• 支持按时间段设定升级规则，定时升级
• 支持静默升级，用户无感知
• 接收升级日志更新策略列表，实时监测终端升级状态

3.2 客户端

3.2.1 交互优化

• 采用全新的托盘界面和交互方式
• 安装脚本提高了容错，简化了安装步骤

3.2.2 新增功能

• 托盘新增状态栏，可查看客户端运行状态
• 托盘支持查看 CDA 相关进程日志
• 支持手动检测版本升级
• 托盘显示与否根据策略配置修改，用户无感知

3.2.3 客户端功能介绍

托盘功能

• 基于口令的重启、停止、卸载、退出操作
• 状态栏支持查看客户端状态：运行中、已停止、终端异常、注册异常
• 点击注册异常状态栏，可根据提示重新注册
• 点击工具中的日志按钮，可查看当天的客户端各服务进程日志
• 支持查看当前客户端版本号
• 支持手动检测更新

行为日志采集

• 每条日志关联计算机用户名、计算机名、IP 地址、时间、窗口标题

1. 系统操作日志采集

   • 记录用户切换激活的每一个窗口、访问的每一个网页
   • 记录每个应用或网页内的鼠标、键盘、输入框、剪切板操作内容
   • 识别外部移动设备接入、拔出操作
   • 记录用户对系统内文件 / 文件夹的新增、修改、删除、重命名操作
   • 追踪文件外泄、流入行为，如：打印文档、文件拷入 / 拷出等
   • 记录用户安装、卸载应用行为
   • 支持识别用户是否使用 Mstsc 远程连接桌面
   • 支持监管 windows 防火墙状态
   • 记录用户对系统时间的修改操作
   • 记录用户桌面无操作时长

2. 邮件工具采集

   • 记录用户使用邮件客户端发送、密送、抄送邮件行为
   • 采集内容包括附件信息，监管文档、信息外泄的问题

3. 运维工具采集

   • 记录 cmd 字符工具内执行的命令和回显信息
   • 记录 putty、Securecrt 工具访问服务器和执行命令的详细内容和回显信息
   • 记录 plsql、sqlplus、sqlserver、db2 工具访问数据库的和执行命令的详细内容和回显信息
   • 记录 FlashFXP、filezilla 工具访问的 FTP 站点以及在 FTP\SFTP 协议下的文件传输动作内容

离线录屏

• 离线录屏文件本地存储最大占用率可配置
• 支持定时、自动上传离线录屏和离线日志

水印支持包

• 通过策略配置，开启用户桌面动态水印，震慑手机拍照或截屏等敏感信息外泄操作
• 水印主体为当前桌面用户的账号、主机信息
• 支持自定义水印内容，水印样式可配置
• 支持明文或盲文的水印类型

客户端安装

• 支持 bat 自动化安装脚本
• 支持域推，大规模批量安装客户端
• 支持静默安装
• 支持覆盖安装
• 守护进程自动拉起结束的进程

客户端升级

• 仅支持低版本升高版本
• 重启时自动检测更新
• 支持本地手动、定时自动检测升级
• 支持静默、非静默升级

2. 产品部署

2.1 客户端部署

• 支持的操作系统：Windows7、Windows10、Winserver2012R2、Winserver2016
• 支持虚拟桌面部署：Citrix、Vmare

2.2 服务端部署

• 支持单系统部署
• 支持集群部署

3. 性能参数

• 优化平台服务部署方案，高可用的集群部署，加强稳定性

终端性能参数

• 资源占用：CPU：0.43%；内存：68M；磁盘读写：0.3MB/s
• 带宽占用：每客户端录屏占用的带宽低至 10kb/s
• 录屏文件占用存储低至 10～20MB/ 小时

服务端性能参数

• 单套服务器（16Core cpu、32G 内存）支持 500 并发连接
• 高可用集群部署需至少 3 台服务器