Список измерений¶
Список измерений — основной инструмент фильтрации данных. Измерения относятся к категории: типу события, агенту, пользователю и так далее. При выборе одной или нескольких категорий и измерений в Линзе отображаются соответствующие события.
Список располагается в левой части Конструктора:
Тип события¶
Категория, которая позволяет фильтровать данные по Типу событий.
Агенты перехватывают события разных типов в зависимости от модулей, активированных в конфигурации. Список типов события соответствует основным модулям мониторинга: Ввод с клавиатуры, Посещение сайтов и др.
Чтобы события определенного типа отразились в Линзе, выберите сначала Тип события в конструкторе, а затем тип события в списке значений:
См.также
Агент¶
Категория отображает список компьютеров, на которых установлен агент. При выборе измерения Конструкторе отображаются имена компьютеров:
Чтобы посмотреть события от установленных на компьютерах агентов, выберите агент в списке.
Измерения для фильтрации агентов:
Конфигурация — присвоенная агенту конфигурация;
IP адрес — IP-адрес агента;
Группа — группа, к которой относится агент. Поле заполняется вручную в разделе Панель управления → Компьютеры;
Сотрудник — сотрудники, которые работают за компьютером. Поле заполняется вручную в разделе Панель управления → Компьютеры;
Компьютер — имя ПК, на котором установлен агент;
Примечание
Чтобы имя компьютера обновлялось автоматически, активируйте параметр Автоматически обновлять имя компьютера в Панель управления → Параметры сервера.
Статус — статус активности компьютера;
Версия OS — версия операционной системы компьютера;
Версия агента — версия агента.
Примечание
Нумерация версий агентов различается: у Windows-агента версии могут быть, например, 2588 или 2570, а у Linux-агента — 0.16.18-master.
Пользователь¶
Отображает в Конструкторе список учетных записей, зарегистрированных на компьютерах с установленным агентом.
Связанные с пользователями события можно посмотреть в Таблице событий. Для этого выберите пользователя в списке значений.
Примечание
Чтобы значения измерений автоматически обновлялись, настройте синхронизацию с Active Directory.
Состоит из измерений:
Комментарий — комментарий к учетной записи;
SID — уникальный идентификатор учетной записи;
Полное имя — полное имя учетной записи;
Отдел — отдел пользователя;
Тип сессии — тип сессии для авторизации;
Организация — организация, в которой работает пользователь;
Телефон — телефон пользователя;
Руководитель — руководитель пользователя;
Группы AD — группы AD, в которых значится учетная запись;
Почта — адрес электронной почты учетной записи;
Должность — должность пользователя учетной записи;
Домен — домен, в котором находится учетная запись;
Пользователь — имя пользователя;
Пропуск — номер пропуска учетной записи. Может использоваться для интеграции со СКУД-системами.
Приложения¶
Отображает в Конструкторе список приложений.
Измерения для фильтрации приложений:
Полный путь — полный путь к исполняемому файлу;
Заголовок окна — заголовок окна приложения;
Название — название приложения;
Описание — описание приложения.
Сайт¶
Отображает список сайтов по исполняемым файлам, заголовку окна, абсолютному пути или по названию программы.
Состоит из измерений:
URL — URL сайта;
Протокол — протокол, по которому происходило подключение к сайту;
Полный домен — полный домен сайта;
Тип контента — тип контента, который был получен при подключении к сайту, например, application или x-javascript;
Основной домен — основной домен сайта.
Сетевая активность¶
Категория измерений, которая отображает список характеристик сетевых соединений. Отображает соединения с различными IP и статистику использования портов за выбранный период.
Состоит из измерений:
IP адрес — подключенные к компьютеру IP-адреса;
Сетевой порт — активные порты.
Файл¶
Категория измерений, которая отображает список файлов. Позволяет просмотреть информацию о перехваченных файлах.
Состоит из измерений:
Хеш файла — уникальная строка для проверки целостности файла;
Операция — файловая операция, например, копирование или удаление;
Имя файла — имя файла;
Удаленный пользователь — операция с файлом, выполненная удалённым пользователем;
Имя файла источника — имя исходного файла;
Примечание
При перемещении или копировании файла извлекается информация и о его источнике.
Контент извлечен — указывает, был ли извлечен контент из события;
Путь источника — путь к исходному файлу;
Метка — установленная в файле метка;
См.также
Для работы меток включите DLP-модуль.
Тип контента — тип контента, файла, например, text или html, application или x-javascript;
Тип устройства — тип устройства, на котором располагался файл;
Канал перехвата — канал перехвата файла, например, Буфер обмена или Печать документов;
Тип устр. источника — тип устройства, на котором располагался файл-источник;
Расширение — расширение файла;
Расширение источника — расширение исходного файла;
Путь — путь к файлу;
Метаданные — метаданные файла в формате JSON.
Устройство¶
Категория измерений, которая отображает список устройств по именам. Позволяет посмотреть устройства, которые были подключены к ПК за выбранный период.
Состоит из измерений:
Устройство — имя устройства;
ID устройства — ID устройства;
Маркер — маркер устройства;
Тип устройства — тип устройства;
Класс устройства — класс устройства;
Серийный номер — уникальный номер устройства, который не меняется вне зависимости от ОС и способа подключения;
См.также
Производитель — производитель устройства.
Переписка¶
Категория измерений, которая отображает участников диалогов в переписке по именам.
Состоит из измерений:
Домен получателя — домен получателя;
Отправитель — отправитель;
Все получатели — все участники беседы;
Формат сообщения — формат сообщения;
Направление — направление сообщения: Входящий или Исходящий;
Домен отправителя — домен отправителя;
Получатель — получатель;
Чаты — чаты;
Канал общения — канал связи.
Важно
Количество событий Переписки в меню Конструктора соответствует количеству получателей и может отличаться от числа событий в Линзе.
Например, на скриншоте в меню указано 19 событий, но в Линзе отображается только одно — Перехваченный файл. Количество событий различается, потому что в меню конструктора указаны все получатели файла, а в Линзе — событие как таковое.
Дата¶
Категория измерений, которая отображает события по конкретным датам или абстрактным временным параметрам, таким как месяц или год.
Позволяет выбирать данные за определённый промежуток времени, по часам, дням недели и т. д.
Состоит из измерений:
Час суток,
Примечание
Час суток отображает события с группировкой по часам от 0 до 23. Выберите в Датапикере период 7 дней и добавьте в Конструкторе условие Дата — Час суток — 13, чтобы посмотреть все события за неделю, которые происходили с 13:00 до 13:59.
Часовой пояс,
День недели,
По годам,
По месяцам,
По дням,
По часам,
Примечание
По часам группирует данные по временным интервалам длительностью в час — например, 12-июля-2024 00:00 - 00:59 или 16-августа-2024 16:00 - 16:59.
По минутам.
Инсталляции¶
Отображение списка установленных или удаленных программ:
Состоит из измерений:
Операция — операция, которая производилась над программой;
Версия — версия программы;
Поставщик — поставщик программы;
Обновление — показывает обновления;
Продукт — название программы.
Сработавшие политики¶
Категория измерений, которая отображает список сработавших политик. Позволяет делать выборку по типу сработавших политик и их продуктивности.
Состоит из измерений:
Категория — категория продуктивности политики;
Тип — тип политики;
Уровень риска политики — категория продуктивности политики;
См.также
Для просмотра уровня риска политики включите Уровень риска.
Название — название политики.
Уведомления¶
Категория измерений, которая отображает оповещения от сервера или агента об уникальных событиях безопасности или контроля состоянии системы.
Например, оповещения об опоздании пользователей, длительной неактивности агента, удаленном подключении и пр.
