Почтовый канал общения

В Staffcop Enterprise реализован полноценный перехват почтовых протоколов - POP3IMAPSMTPMAPI и их шифрованных аналогов при включении опций конфигурации «Веб-почта» «Электронная почта», «Мониторинг сети» и «Эелектронная почта MAPI» в настройке агентов.

Staffcop Enterprise поддерживает перехват входящих и исходящих сообщений в популярных сервисах бесплатных почтовых служб, таких как - mail.ruyandex.rugoogle.comoutlook.com и ряда других.

Агент имеет модуль перехвата почтового протокола MAPI от MS Exchange.

Перехват сообщений осуществляется незаметно для пользователя. Перехватываются и направляются на сервер не только сообщения, но и вложения. При распознавании слов в перехваченных документах, они автоматически индексируются и заносятся в специальную таблицу на сервере. Вся обработка распознанных документов по заданным словарям происходит в режиме реального времени. Вы сможете сразу увидеть итог обработки сообщений и распознанных файлов в результатах работы соответствующих фильтров по словамфразам и регулярным выражениям.

В рамках почтового протокола и обмена сообщениями генерируется специальная опция «Диалоги», в которых можно легко найти информацию по отправителюполучателюсобеседникамтипу сообщения, т.е. можно выделив получателя, вы увидите адресат, кому пользователь отправлял сообщения.

Возможно выделить все используемые конкретным пользователем почтовые ящики.

Возможно посмотреть граф взаимосвязи пользователя с другими пользователями по дополнительным критериям.

Теперь разберёмся, как выглядит детализация отчётов по почтовому перехвату сообщений. Например:

Нужно найти информацию по всем пользователям и понять, у кого из пользователей есть дополнительные ящики, кроме корпоративного.

Открываем интерфейс администрирования, выбираем в дереве событий «Диалоги / Почта».

Дополнительно выбираем в качестве фильтра «Направление / Исходящие» - получаем в качестве результата список всех исходящих адресов.

Переключим режим отображения информации с «События» на «Анализ». В этом виде отображения кликнем в меню «Измерения» и выберем там «Диалоги / Отправитель», тем самым, получив фильтр всех отправителей в нашей организации.

Чтобы понять, есть ли у кого-то дополнительный ящик, переключаем в нижнем меню отображения вид на «Дерево» и получаем примерно такую картину:

../_images/cases_46.png

Некоторые пользователи на машинах с именами (philvoch2, home) имеют дополнительные ящики на yandex.rumail.ru.

При анализе действий пользователя на машине «philvoch2», очевидно, что этот пользователь использовал личную почту на сайте «mail.ru» для пересылки сообщений, что может быть интересным с точки зрения нарушения политики безопасности сети.

Давайте попробуем найти, что же было отправлено в почте этим пользователем?

Для этого, слева в меню дерева измерений «Измерение / Диалоги» выбрать измерение «Отправители». Затем в поиске сверху ввести адрес домена «mail.ru» и выбрать тот аккаунт, который мы нашли ранее. В результате видим такую картину:

../_images/cases_47.png

Видим, что пользователь отослал договор с публичного ящика на публичный ящик. И это уже можно расценить как утечку информации из компании.

Также заметно, что в систему контроля событий попал весь текст договора во вложенном файле и все слова в этом вложении распознаны.

По найденным словам можно настроить как отсылку сообщения в электронную почту администратору системы, так и генерацию события с типом - «Инцидент» в систему отчётности по сработавшим фильтрам Staffcop Enterprise.

Другим отличным показателем работы компании могут служить «Ключевые Показатели Эффективности труда сотрудников (KPI)», которые можно получить, применив минимум фильтров и, получив достоверные данные о том, кто, сколько и кому писем отослал в день.

По содержимому писем можно уточнить, каких результатов добился конкретный сотрудник, оценив, таким образом, эффективность его работы.

Для отображения количества принятыхотправленных писем, можно воспользоваться специальным видом отчёта «Отчёты / Сводная статистика».

В этом отчёте будет отражено количество принятыхотправленных писем каждым из пользователей, например:

../_images/cases_48.png