Конструктор

Конструктор запросов — это интерфейс отображения информации, который используется по умолчанию.

Он состоит из измерений, которые отображаются в левой части окна.

В соответствии с выбранным измерением меняется содержимое панели конструктора.

Рассмотрим подробнее все возможные типы собранных событий составляющие компоненты конструктора.

В левой части находятся следующие фиксированные категории измерений без возможности редактирования:

Тип события — категория измерений, которая зависит от активированных модулей. Список типов события соответствует основным модулям мониторинга (Ввод с клавиатуры, Посещение сайтов и т. д.) По факту поступивших событий в Конструкторе отображаются типы событий по основным модулям мониторинга, активированные в конфигурации мониторинга. В таблице событий можно посмотреть подробности этих событий. Выбором конкретного элемента в Конструкторе можно отфильтровать события.

Агенты — категория измерений, отображающая имена ПК или группы по агентам. По факту поступивших событий в Конструкторе отображаются имена ПК с агентами (или группы агентов). В таблице событий можно посмотреть события поступившие по этим агентам. Выбором конкретного элемента в Конструкторе можно отфильтровать события. Состоит из измерений:

• статус,

• метка,

• IP адрес,

• версия OS,

• компьютер,

• версия агента.

Пользователь — категория измерений, отображающая список учетных записей ОС по ПК или группы по этим учетным записям. По факту поступивших событий в Конструкторе отображаются имена учетных записей ОС на ПК с агентами (или группы пользователей). В таблице событий можно посмотреть события поступившие по этим пользователям. Выбором конкретного элемента в Конструкторе можно отфильтровать события. Состоит из измерений:

• комментарий,

• отдел,

• организация,

• телефон,

• полное имя,

• почта,

• должность,

• домен,

• пользователь.

Приложения — категория измерений, отображающая список приложений по именам или по группам. По факту работы с программами в Конструкторе отображаются названия по исполняемым файлам, заголовку окна, абсолютному пути или по названию программы. Состоит из измерений:

• полный путь,

• заголовок окна,

• название,

• описание.

Сайт — категория измерений, отображающая список сайтов по именам доменов или по группам. По факту посещения сайтов в Конструкторе отображаются сайты по URL, основному домену либо по иным характеристикам. Состоит из измерений:

• URL,

• тип контента,

• полный домен,

• протокол,

• основной домен.

Сетевая активность — категория измерений, отображающая по группам сетевые соединения. Отображает соединения с различными IP, статистику использования портов за выбранный период. Состоит из измерений:

• IP адрес.

• Сетевой порт.

Файл — категория измерений, отображающая список файлов по именам или по группам. Позволяет просмотреть различные параметры отображения файлов по различным группам. Состоит из измерений:

• хеш файла,

• операция,

• имя файла,

• тип контента,

• тип диска,

• расширение,

• путь.

Устройство — категория измерений, отображающая список устройств по именам или по группам. Просмотр устройств, которые были подключены к ПК за выбранный период времени. Состоит из измерений:

• класс устройства,

• тип диска,

• ID устройства,

• устройство,

• тип устройства.

Переписка — категория измерений, отображающая участников диалогов при переписке по именам или по группам. Возможность просмотреть и визуализировать диалоги. Также позволяет строить диаграмму взаимосвязей. Состоит из измерений:

• домен получателя,

• домен отправителя,

• направление,

• отправитель,

• получатель,

• все получатели,

• формат сообщения,

• чаты,

• канал общения.

Количество событий переписки в меню Конструктора может отличаться от количества событий в Линзе.

Например, на скриншоте в меню указано 19 событий, но в Линзе отображается только одно — Перехваченный файл. Количество событий различается, потому что в меню конструктора указаны все получатели файла, а в Линзе — событие как таковое.

Дата — категория измерений, отображающая события по абстрактным измерениям времени (Час суток, День недели) или по конкретным датам, Позволяет выбрать данные за определённый промежуток времени, в определенный час за каждый день, в определенный день каждой недели и т.п. Состоит из измерений:

• час суток,

• часовой пояс,

• день недели,

• по годам,

• по месяцам,

• по дням,

• по часам,

• по минутам.

Инсталляции — категория измерений, отображающая список установленных или удаленных программ по именам или по группам. Отображение установки/удаления/обновления программного обеспечения на ПК. Просмотр информации по версиям, поставщику и т. д. Состоит из измерений:

• операция,

• версия,

• продукт,

• поставщик.

Сработавшие политики — категория измерений, отображающая список созданных фильтров, которые участвуют при подсчете статистических данных в отчетах по именам или по категории. Позволяет делать выборку по типу сработавших фильтров, а также по их продуктивности. Состоит из измерений:

• категория,

• название.

Алерты — категория измерений, отображающая список событий, которые приходят от сработавших политик. Например, опоздание пользователей, долгая неактивность агента, удаленное подключение и др.

Добавление правил мониторинга из конструктора

В меню конструктора можно добавлять правила мониторинга для определенных измерений прямо из конструктора. Доступно добавление правил для следующих измерений:

• пользователь,

• приложение,

• полный домен,

• URL,

• основной домен,

• тип контента,

• IP-адрес,

• сетевой порт,

• путь файла,

• ID-устройства,

• класс устройства.

Для того чтобы добавить правило мониторинга прямо из конструктора, вам нужно нажать на кнопку редактирования правила:

Перед вами откроется интерфейс добавления правил в конфигурацию. При помощи строки поиска выберете нужную конфигурацию и отметьте необходимые правила для выбранного измерения.

После этого сохраните правила мониторинга кнопкой «Сохранить».