Окно настроек

В окне настроек можно создать или отредактировать инструменты фильтрации.

Чтобы открыть окно настроек инструмента:

1. На главной странице веб-интерфейса перейдите во вкладку Политики.

2. Нажмите на название инструмента. Справа от названия появится иконка шестеренки .

3. Нажмите на иконку шестеренки — откроется окно настроек с заголовком Тип инструмента: Имя инструмента.

В зависимости от типа инструмента в окне доступны различные свойства и вкладки. Например, для инструмента Папка доступна только вкладка Свойства, а для инструмента Поиск по словарю доступны вкладки Свойства, Словарь, Уведомления, Фильтр, Назначение конфигурации.

Панель управления

Внизу окна настроек располагаются кнопки, которые позволяют управлять инструментом.

Удалить — удаляет инструмент фильтрации данных.

Сохранить как — позволяет создать инструмент на основе текущего.

Сохранить — сохраняет изменения или создает новый инструмент.

Отмена — сбрасывает несохраненные изменения.

Вкладки

Наверху окна располагаются вкладки параметров инструмента.

Свойства

В этой вкладке можно задать параметры:

• Название и Описание инструмента.

• Категория — определяет продуктивность и безопасность события. Если событие подходит под условия фильтрации, политика назначит ему Категорию и отметит соответствующим цветом в отчете Учет времени.

См.также

Подробнее о категориях продуктивности

Этот параметр доступен для инструментов Работа не за компьютером, Политика и Поиск по словарю.

• Политика активна — активирует политики Политика удаления событий, Политика и Поиск по словарю. Без этого флага политики не будут работать.

При активации выберите вариант работы:

• Продолжить выполнение — инструмент продолжит обработку событий. Опция включена по умолчанию, если политика уже активна.

• Применить к новым событиям — инструмент будет обрабатывать только события, которые поступили после активации. Старые события инструмент обрабатывать не будет.

• Применить ко всем событиям (может занять длительное время) — инструмент обработает события за весь период работы системы и продолжит обработку поступающих событий.

Предупреждение

Опция перестраивает отчеты за весь период работы системы. При большой базе данных лучше запускать её в нерабочее время. Альтернативный вариант — команда staffcop rebuild_sessions. Она позволяет перестроить отчеты за указанное количество месяцев.

• Уровень риска — параметр, который определяет уровень риска события категории Инцидент.

Есть только у инструментов Работа не за компьютером, Политика и Поиск по словарю.

Важно

Активируйте Уровень риска, чтобы параметр появился в свойствах.

• Отчеты — список отчетов, которые могут входить в Консолидированный отчет.

Поиск по словарю

Примечание

Вкладка доступна только для инструментов Поиск по словарю.

В этой вкладке можно настроить мониторинг ключевых слов.

Уведомления

Примечание

Для рассылки сообщений настройте почту.

Настройки уведомлений доступны для инструментов:

• Фильтр,

• Дашборд,

• Консолидированный отчет,

• Политика,

• Поиск по словарю,

• Срабатывание по порогу.

Уведомления содержат список связанных с инструментом событий.

Активировать уведомления — отправка уведомлений.

Регулярность — периодичность отправки отчетов.

Время отправки — время отправки отчета.

В разделе Вид сообщения можно выбрать формат документа для выгрузки:

• Лента событий — представляет события в виде таблицы,

• HTML,

• PDF,

• Excel (XLS/XLSX).

Разделить по пользователям — разбивает отчет по отдельным пользователям.

Отправлять только если есть данные — отправляет отчеты, только если есть данные.

Сохранить отчет на диск — сохраняет отчет в формате PDF в разделе Панель управления — Файлы.

Создать инцидент — создает инцидент в консоли инцидентов.

См.также

Подробнее об инцидентах

• Шаблон реагирования — выбор шаблона реагирования.

• Группа инцидента — назначение группы для инцидента.

• Отправлять уведомления — отключения рассылки при создании инцидента.

• Выбор адресата:

• Кому — поле для ввода адресов электронной почты или тега Telegram-бота для получения рассылки.

См.также

Подробнее о настройке уведомлений на электронную почту и в Telegram.

• Отправлять уведомления на email-адрес для фильтров/политик по умолчанию — отправка рассылки на общий адрес.

  Общий адрес можно задать в разделе Панель управления → Параметры сервера в параметре сервера Email-адрес отправки уведомлений для фильтров/политик.

Фильтр

В этой вкладке располагается Конструктор. Он позволяет задавать параметры фильтрации данных и просматривать события.

См.также

Подробнее о работе с Конструктором

Назначение конфигурации

При поступлении событий, которые подходят под условия фильтрации, позволяет переключать конфигурацию агента.

Пример: настроить смену Конфигурация по умолчанию на Полный контроль после запуска пользователем TestUser программы удалённого подключения. Агент будет перехватывать все события: снимки с веб-камеры, запись видео с экрана, аудиозапись и другие.

1. Создайте политику и во вкладке Фильтр укажите условия:

• Приложение — Название — anydesk.exe,

• Приложение — Название — mstsc.exe,

• Пользователь — TestUser.

2. Во вкладке Назначение конфигурации активируйте опцию Включить.

3. В поле При срабатывании фильтра переключать агента на конфигурацию выберите Полный контроль.

4. Нажмите Сохранить.

Результат: при срабатывании политики конфигурация изменится на Полный контроль, которая дает полную информацию о действиях пользователя.

Важно

Смена конфигурации произойдет после того, как агент получит новую конфигурацию с сервера. Получение конфигурации занимает от одной до пяти минут в зависимости от сетевой инфраструктуры.

Если вы хотите настроить блокировку, то выберите Конфигурацию с блокировками в поле При срабатывании фильтра переключать агента на конфигурацию. В результате система будет блокировать:

• подключение USB-накопителей,

• доступ к файлам с метками,

• посещение сайтов,

• запуск приложений.