Уровень риска событий и пользователей¶
Начиная с версии 5.5 функциональность Уровень риска позволяет присвоить значимость событиям политик безопасности.
На основе этих данных вы можете оценить серьезность инцидентов и связанные c каждым сотрудником риски.
Активация уровня риска¶
Функциональность Уровень риска не активирована по умолчанию, потому что включение может привести к увеличению нагрузки на сервер.
Чтобы включить Уровень риска:
Откройте на сервере конфигурационный файл /etc/staffcop/config с помощью nano или в другом удобном для вас редакторе:
sudo nano /etc/staffcop/config
Добавьте в конце файла строку:
RISK_LEVEL_ENABLED = True
Сохраните изменения в файле.
Перезапустите Staffcop командой:
staffcop restart
После активации функционал станет доступен в Конструкторе в Сработавших политиках.
Настройка уровня риска¶
Вы можете присвоить уровень риска только политикам и словарям, которые относятся к категории Инцидент. Поэтому сначала присвойте политике категорию Инцидент, а после этого задайте уровень риска.
Примечание
Функциональность действует как для предустановленных, так и кастомных политик и словарей.
Примечание
Не рекомендуется устанавливать уровень риска для политик, которые обрабатывают большие группы событий — например, Политики продуктивности. Это может привести к увеличению уровня риска пользователя за счёт множества ложных срабатываний.
В окне Политики или Поиска по словарю перейдите во вкладку Свойства.
В поле Категория выберите Инцидент.
В поле Уровень риска укажите значение от 0 до 10.
Уровень риска выделяется цветом в зависимости от значения:
0: белый,
1–2: светло-зеленый,
3–5: светло-синий,
6–8: оранжевый,
9–10: красный.
Готово! После настройки событию будет присваиваться уровень риска. Уровень риска пользователей присваивается на основе уровня риска сработавших для них событий.
Примечание
Если уровень риска не задан или категория политики изменена с Инцидент на другую, уровень риска сбрасывается до значения по умолчанию — 0.
Управление уровнем риска событий¶
После назначения Уровня риска политики сервер при срабатывании политики присвоит событию уровень риска.
Отображение в Конструкторе событий¶
Чтобы посмотреть события, которым присвоен уровень риска:
Перейдите в Конструктор.
В разделе Сработавшие политики выберите Уровень риска политики.
В Конструкторе появится список событий, сгруппированных по уровню риска сработавших политик. Уровень риска события отображается в Таблице.
Поставьте галочку в чекбоксе, чтобы группа событий отобразилась в Линзе событий. Уровень риска отдельного события отражен в Информации о событии.
В Линзе событий столбец Уровень риска не отображается по умолчанию. Чтобы столбец появился в таблице:
Нажмите на иконку с шестернями и выберите Новая настройка.
В разделе Доступные поля → Факт нажмите на строку Уровень риска. Строка переместится в Выбранные поля.
После сохранения настройки в таблице появится столбец:
Увеличение уровня риска события¶
События могут совмещать в себе несколько сработавших политик. В этом случае общий уровень риска события — это сумма уровня рисков всех политик.
Пример¶
Установите значение Уровня риска. В этом примере для события Кредитных карт значение равно трем, а у Словаря ненормативной лексики — шести:
При появлении события перейдите в Конструкторе к измерению Сработавшие политики. В Названии выберите политики, рядом с которыми указано значение уровня риска.
Выберите событие. Например, Перехваченный файл. В нашем примере в тексте перехваченного файла есть и номер кредитной карты, и номер паспорта, поэтому в информации о событии уровень риска равен девяти. Это общая сумма для всех политик, которые сработали при передаче файла.
Примечание
Значения суммируются, но общее значение для отдельного события не может превышать 20. Ограничение позволяет более реалистично оценить общий риск без чрезмерного влияния отдельных высоких рисков на итоговую оценку.
Фильтрация и настройка уведомлений¶
Используйте фильтр и сложный запрос для сортировки событий с определенным уровнем риска. Например, вы можете получить список событий с уровнем риска 10 для определенной подсети. Чтобы отфильтровать события по суммарному риску, используйте сложный запрос.
После настройки фильтрации в Конструкторе событий отобразятся только события, которые соответствуют заданным условиям.
Фильтр событий на основе уровня риска сработавших политик¶
Создайте или перейдите в существующий фильтр.
Перейдите во вкладку Фильтр → Сложный запрос.
Нажмите на кнопку +Условие.
Выставите значение Сработавшие политики — Уровень риска политики.
Выберите логический оператор и введите значение уровня риска.
При необходимости добавьте другие условия и настройте отправку уведомлений на почту во вкладке Уведомления.
Сохраните фильтр.
Результат: в линзе отображаются события, на которые среагировала хотя бы одна политика с заданным в условии уровнем риска.
Создайте или перейдите в существующий фильтр.
Перейдите во вкладку Фильтр → Конструктор.
Выберите в левой боковой панели Уровень риска политики в разделе Сработавшие политики.
Выберите уровень риска.
Примечание
Количество значений для каждого уровня риска указывает на количество срабатываний политик с уровнем риска. Поэтому возможна ситуация, когда количество реакций с уровнем риска будет пять, а при выборе в конструкторе будет всего два события.
При необходимости добавьте другие условия и настройте отправку уведомлений на почту во вкладке Уведомления.
Сохраните фильтр.
Результат: в линзе отображаются события, на которые среагировала хотя бы одна политика с заданным в условии уровнем риска.
Фильтр событий по суммарному уровню риска¶
Используйте сложный запрос для фильтрации событий, чей уровень риска суммируется за счет всех сработавших политик:
Создайте или перейдите в существующий фильтр.
Перейдите во вкладку Фильтр → Сложный запрос.
Нажмите на кнопку + Условие.
Выставите значение Сработавшие политики — Суммарный риск события.
Выберите логический оператор и введите значение уровня риска.
При необходимости добавьте другие условия и настройте отправку уведомлений на почту во вкладке Уведомления.
Сохраните фильтр.
Результат: в линзе отображаются события, чей суммарный уровень риска сработавших политик соответствует условию.
Отчеты¶
Для построения наглядных графиков и статистики используйте инструменты меню Анализа с указанием меры Уровень риска:
Выберите в меню Анализ способ отображения данных. В примере используется Линейный график:
Выберите измерения данных, по которым нужно построить график, например Дата — По дням:
Установите в качестве меры Уровень риска:
Система автоматически сгенерирует график:
Управление уровнем риска пользователей¶
Предупреждение
Чтобы видеть уровень риска пользователей, активируйте Карточку сотрудника.
Система оценивает Уровень риска пользователя на основе событий пользователя.
Каждое событие с присвоенным уровнем риска увеличивает общий показатель. Чем больше таких событий — тем выше уровень риска пользователя.
система суммирует риски событий за несколько дней — количество дней задаётся в Параметрах сервера;
в пределах одного дня учитывается только максимальное значение риска, заданное в Параметрах сервера — чтобы избежать резких скачков риска за день;
полученные данные отображаются в сводной карточке и в карточках сотрудников.
Чтобы задать параметры для оценки уровня риска пользователя:
Перейдите в Панель управления → Параметры сервера .
На странице Параметры сервера установите значения в двух параметрах:
Параметры расчета риска пользователя: количество дней – задаёт количество дней, в течение которых будут учитываться события пользователя для расчета уровня риска.
число от 0 до 84,
значение по умолчанию: 14 дней.
Параметры расчета риска пользователя: максимальное значение риска за день – определяет максимальное количество баллов риска, которые могут быть учтены за один день.
число от 0 до 10 000,
значение по умолчанию: 100.
Оба параметры обязательны для заполнения.
Сохраните изменения.
Пример расчета риска пользователя¶
В Параметрах сервера указаны значения по умолчанию для Параметров расчета риска пользователя:
уровень риска пользователя считается за последние 14 дней,
при расчете уровень риска за день не превышает максимальное значение риска за день = 100.
За период с 16 сентября по 14 октября система зафиксировала у пользователя:
Период |
События с уровнем риска > 0 |
Суммарный уровень риска событий |
Уровень риска пользователя |
Пояснение |
16.09 — 30.09 |
Нет |
0 |
0 |
— |
01.10 |
Зафиксированы события |
90 |
90 |
Суммарный уровень не превышает максимальное значение за день. |
02.10 — 13.10 |
Нет |
0 |
90 |
За последние 14 дней были события с суммарным уровнем = 90 |
14.10 |
Зафиксированы события |
250 |
190 |
Суммарный уровень = 250, превышает максимальное значение. |
15.10 |
Нет |
0 |
100 |
Уровня риска пользователя равен максимальным 100. |
Настройка уведомлений¶
Чтобы создать уведомление, нажмите + Создать и выберите Уведомление о риске пользователя.
Настройте уведомления по инструкции. После настройки уведомления о уровня риска пользователя будут приходить на почту не чаще одного раза в сутки.
Обратите внимание, что сам рост уровня риска фиксируется в Конструкторе в измерении Уведомления в одном из событий при достижении порогового значения:
Высокий уровень риска пользователя— событие срабатывает, когда уровень риска достигает заданного значения.
Увеличение уровня риска пользователя — событие фиксируется, когда риск увеличивается на указанное значение.
Для того, чтобы эти события создавались, выберите одно из них во вкладке Уведомления в поле Уведомлять о и задайте значение:
Отчет об уровне риске пользователя¶
Отчет об уровне риска пользователя — инструмент, который показывает, у каких пользователей уровень риска выше или ниже заданного значения.
Чтобы создать отчет, нажмите + Создать и выберите Отчет об уровне риске пользователя.
См.также
Как создать и настроить Отчет об уровне риска пользователя.
Отчет отправляется на почту ежедневно/еженедельно/ежемесячно. В отчете доступна группировка данных по пользователям или дате. Используйте вкладку Фильтр, чтобы выбрать, по каким пользователям формировать отчет.
Отображение уровня риска сотрудника¶
Уровень риска сотрудника отображается в карточках сотрудников. Карточки сотрудников находятся во вкладке Сотрудники.
Нажмите на пользователя, чтобы открыть карточку.
В карточке данные отображаются во вкладках:
Профиль – отображает уровень риска сотрудника по дням за последние семь дней. График предоставляет визуализацию изменения уровня риска со временем.
Инциденты – отображает сумму уровней риска событий сотрудника по дням за последние семь дней.
Внимание
Графики во вкладке Профиль напрямую зависят от Параметров расчета риска пользователя в Параметрах сервера.
Примечание
Если у пользователя несколько учетных записей, то уровень риска суммируется.
Сводная карточка¶
В Сводной карточке отображается общая информация по уровням риска сотрудников.
В отчете Топ сотрудников по уровню риска представлены десять сотрудников с наибольшим уровнем риска:
