Фильтры¶
Вкладка - Фильтры представляют из себя сгруппированные измерения, политики, дашборды и словари, созданные в конструкторе пользователем или предустановленные заранее при установке программы. Они делятся по предназначению на три категории:
фильтры для отображения данных;
политики продуктивности;
системные политики;
дашборды;
словари;
карточки измерений.
Фильтры¶
Фильтры - предустановлены и предназначены, чтобы отображать информацию в виде отчётов или конкретных событиях в удобном для человеческого восприятия виде.
Они сгруппированы в два подраздела Эффективность и Безопасность.
В разделе Эффективность собраны все отчёты выпадающего меню «Панели отображения данных и отчётов».
Далее, в дереве фильтров идут отчёты в различном графическом представлении о категориях приложений, категориях сайтов и общей продуктивности\непродуктивности сотрудников.
В разделе Безопасность собраны фильтры, которые представляют события, которые могут иметь ценность с точки зрения информационной безопасности компании.
Например, можно посмотреть какие файлы были скопированы на съемные носители или у кого и какие носители подключались к рабочим станциям.
В подразделе Инциденты собраны различные фильтры по событиям, на которые следует обратить внимание в первую очередь. Например, там можно увидеть тех, кто ищет работу на рабочем месте, тех кто использует ненормативную лексику в переписке или другие «инциденты» произошедшие за указанный период времени.
Политики маркировки приложений\сайтов по продуктивности¶
«Политики маркировки приложений\сайтов» по категориям продуктивности поступающих от рабочих станций - задаются в меню дерева фильтров «Политики - политики продуктивности».
Политики продуктивности в свою очередь делятся на «Политики продуктивности для приложений» и на «Политики продуктивности для сайтов».
Категории продуктивности приложений\сайтов могут быть:
продуктивная деятельность (то, что будет помечено на графике зелёным цветом);
непродуктивная деятельность (то, что будет окрашено на графиках красным цветом);
нейтральная деятельность (то, что будет покрашено на графиках серым цветом);
премиальная деятельность (специальный вид деятельности, который подразумевает поощрение сотрудников);
инцидент (инциденты информационной безопасности, все события, нарушающие политику организации).
В любую из категорий приложений\сайтов можно добавить\удалить любое количество имён исполняемых файлов или имён сайтов для каждой категории приложений\сайтов.
Это позволит вам более точно подстроить систему сбора и анализа информации под вашу компанию. Для удобства добавления приложений и сайтов, можно воспользоваться встроенным конструктором событий и выбирать названия приложений\сайтов через конструктор. После изменения конфигурации, её необходимо сохранять, нажав кнопку «Сохранить» в окне редактирования фильтра по продуктивности.
Далее в дереве меню можно задать Политики безопасности, например, включить фильтр, сканирующий все текстовые сообщения\документы на предмет «Регулярного выражения», которое может находить номера кредитных карт или добавить (в формате PCRE) любое другое регулярное выражение, например для поиска персональных данных в потоке событий вашей организации и указать категорию продуктивности - например «инцидент». Примеры значений, которые могут быть внесены в этот список можно посмотреть в статье Поиск - ключевые слова.
Если необходимо, можно активировать опцию отправки уведомления при срабатывании этого фильтра или присылать уведомления в почту раз в сутки\7 дней\1 месяц.
Для этого надо поставить галочку - «Отображать и отправлять уведомления о новых событиях» и вписать e-mail адреса получателей.
Чтобы события начали приходить при срабатывании, необходимо сохранить сделанные изменения, нажав на кнопку «Сохранить» внизу окна редактирования фильтра.
В подразделе «Политики безопасности» содержатся сканирующие фильтры по нахождению слов\выражений в потоке событий, поступающих от рабочих станций пользователей.
Предустановленные словари: «Словарь ненормативной лексики», «Кредитные карты».
Системные политики¶
«Системные политики» - это политики, которые являются скриптами для запуска внутренних обработчиков информации. Чтобы не нарушить работу сервера, редактировать их не рекомендуется. Эти политики называются: «Автоочистка», «Анализ контекста», «Генератор отчётов», «Парсер контактов», «syslog-коннектор», «Сканер архивов», «Распознавание текста»
Карточки измерений¶
Это специальный вид системных предустановленных фильтров, для отображения информации в сгруппированном для лучшего понимания виде. Эти фильтры служат для хранения и редактирования параметров выбранной карточки измерения.
Редактировать эти карточки измерений не рекомендуется.
Но если есть такая необходимость, то можно поэкспериментировать с видом отображения получившейся карточки измерения. Наиболее востребованные карточки измерений - это «Карточка пользователя» и «Карточка агента».
Свойства фильтра¶
Для открытия свойства фильтра выделите его на вкладке Фильтры. Затем нажмите кнопку «Свойства фильтра» напротив имени или в Навигационной панели фильтра. Должно открыться модальное окно Свойства фильтра - Имя фильтра. Подробнее по работе со свойствами фильтра читайте инструкцию Свойства фильтра.
Создание фильтра¶
Для создания фильтра задайте параметры фильтраций во вкладке Конструктор. В меню Конструктора выставите «Линзу» для отображения данных в нужном виде. Затем, в навигационном меню фильтра на черной панели, нажмите кнопку «Сохранить» и, в модальном окне, задайте имя фильтра. Во вкладке «Фильтры» появится созданный фильтр с именем, которое задавали при создании.
Удаление фильтра¶
Чтобы удалить фильтр, войдите в свойства фильтра и нажмите кнопку «Удалить» внизу модального окна со свойствами фильтра.