Уровень риска событий и пользователей

Начиная с версии 5.5 функциональность Уровень риска позволяет присвоить значимость событиям политик безопасности.

На основе этих данных вы можете оценить серьезность инцидентов и связанные c каждым сотрудником риски.

Активация уровня риска

Функциональность Уровень риска не активирована по умолчанию, потому что включение может привести к увеличению нагрузки на сервер.

Чтобы включить Уровень риска:

  1. Откройте на сервере конфигурационный файл /etc/staffcop/config с помощью nano или в другом удобном для вас редакторе:

sudo nano /etc/staffcop/config
  1. Добавьте в конце файла строку:

RISK_LEVEL_ENABLED = True
  1. Сохраните изменения в файле.

  2. Перезапустите Staffcop командой:

staffcop restart

После активации функционал станет доступен в Конструкторе в Сработавших политиках.

../_images/risk_lvl_activation.png

Настройка уровня риска

Вы можете присвоить уровень риска только политикам и словарям, которые относятся к категории Инцидент. Поэтому сначала присвойте политике категорию Инцидент, а после этого задайте уровень риска.

Примечание

Функциональность действует как для предустановленных, так и кастомных политик и словарей.

Примечание

Не рекомендуется устанавливать уровень риска для политик, которые обрабатывают большие группы событий — например, Политики продуктивности. Это может привести к увеличению уровня риска пользователя за счёт множества ложных срабатываний.

  1. В окне Политики или Поиска по словарю перейдите во вкладку Свойства.

  2. В поле Категория выберите Инцидент.

  3. В поле Уровень риска укажите значение от 0 до 10.

../_images/risk_lvl_incident.png

Уровень риска выделяется цветом в зависимости от значения:

  • 0: белый,

  • 1–2: светло-зеленый,

  • 3–5: светло-синий,

  • 6–8: оранжевый,

  • 9–10: красный.

  1. Готово! После настройки событию будет присваиваться уровень риска. Уровень риска пользователей присваивается на основе уровня риска сработавших для них событий.

Примечание

Если уровень риска не задан или категория политики изменена с Инцидент на другую, уровень риска сбрасывается до значения по умолчанию — 0.

Управление уровнем риска событий

После назначения Уровня риска политики сервер при срабатывании политики присвоит событию уровень риска.

Отображение в Конструкторе событий

Чтобы посмотреть события, которым присвоен уровень риска:

  1. Перейдите в Конструктор.

  2. В разделе Сработавшие политики выберите Уровень риска политики.

  3. В Конструкторе появится список событий, сгруппированных по уровню риска сработавших политик. Уровень риска события отображается в Таблице.

Поставьте галочку в чекбоксе, чтобы группа событий отобразилась в Линзе событий. Уровень риска отдельного события отражен в Информации о событии.

../_images/risk_lvl_constructor.png

В Линзе событий столбец Уровень риска не отображается по умолчанию. Чтобы столбец появился в таблице:

  1. Нажмите на иконку с шестернями и выберите Новая настройка.

../_images/risk_lvl_gears.png
  1. В разделе Доступные поляФакт нажмите на строку Уровень риска. Строка переместится в Выбранные поля.

../_images/risk_lvl_fact.png
  1. После сохранения настройки в таблице появится столбец:

../_images/rsk_lvl_column.png

Увеличение уровня риска события

События могут совмещать в себе несколько сработавших политик. В этом случае общий уровень риска события — это сумма уровня рисков всех политик.

Пример

  1. Установите значение Уровня риска. В этом примере для события Кредитных карт значение равно трем, а у Словаря ненормативной лексики — шести:

risk_lvl_credit_card risk_lvl_passport

  1. При появлении события перейдите в Конструкторе к измерению Сработавшие политики. В Названии выберите политики, рядом с которыми указано значение уровня риска.

../_images/risk_lvl_policy_4_6.png
  1. Выберите событие. Например, Перехваченный файл. В нашем примере в тексте перехваченного файла есть и номер кредитной карты, и номер паспорта, поэтому в информации о событии уровень риска равен девяти. Это общая сумма для всех политик, которые сработали при передаче файла.

../_images/risk_lvl_policy_10.png

Примечание

Значения суммируются, но общее значение для отдельного события не может превышать 20. Ограничение позволяет более реалистично оценить общий риск без чрезмерного влияния отдельных высоких рисков на итоговую оценку.

Фильтрация и настройка уведомлений

Используйте фильтр и сложный запрос для сортировки событий с определенным уровнем риска. Например, вы можете получить список событий с уровнем риска 10 для определенной подсети. Чтобы отфильтровать события по суммарному риску, используйте сложный запрос.

После настройки фильтрации в Конструкторе событий отобразятся только события, которые соответствуют заданным условиям.

Фильтр событий на основе уровня риска сработавших политик

  1. Создайте или перейдите в существующий фильтр.

  2. Перейдите во вкладку ФильтрСложный запрос.

../_images/risk_lvl_complexfilter_1.png
  1. Нажмите на кнопку +Условие.

  2. Выставите значение Сработавшие политикиУровень риска политики.

  3. Выберите логический оператор и введите значение уровня риска.

../_images/risk_lvl_complexfilter_2.png
  1. При необходимости добавьте другие условия и настройте отправку уведомлений на почту во вкладке Уведомления.

  2. Сохраните фильтр.

Результат: в линзе отображаются события, на которые среагировала хотя бы одна политика с заданным в условии уровнем риска.

Фильтр событий по суммарному уровню риска

Используйте сложный запрос для фильтрации событий, чей уровень риска суммируется за счет всех сработавших политик:

  1. Создайте или перейдите в существующий фильтр.

  2. Перейдите во вкладку ФильтрСложный запрос.

../_images/risk_lvl_complexfilter_1.png
  1. Нажмите на кнопку + Условие.

  2. Выставите значение Сработавшие политикиСуммарный риск события.

  3. Выберите логический оператор и введите значение уровня риска.

../_images/risk_lvl_complexfilter_3.png
  1. При необходимости добавьте другие условия и настройте отправку уведомлений на почту во вкладке Уведомления.

  2. Сохраните фильтр.

Результат: в линзе отображаются события, чей суммарный уровень риска сработавших политик соответствует условию.

Отчеты

Для построения наглядных графиков и статистики используйте инструменты меню Анализа с указанием меры Уровень риска:

  1. Выберите в меню Анализ способ отображения данных. В примере используется Линейный график:

../_images/rsk_lvl_analyze.png
  1. Выберите измерения данных, по которым нужно построить график, например ДатаПо дням:

../_images/risk_lvl_days.png
  1. Установите в качестве меры Уровень риска:

../_images/risk_lvl_chart_2.png
  1. Система автоматически сгенерирует график:

../_images/risk_lvl_chart.png

Управление уровнем риска пользователей

Предупреждение

Чтобы видеть уровень риска пользователей, активируйте Карточку сотрудника.

Система оценивает Уровень риска пользователя на основе событий пользователя.
Каждое событие с присвоенным уровнем риска увеличивает общий показатель. Чем больше таких событий — тем выше уровень риска пользователя.

  • система суммирует риски событий за несколько дней — количество дней задаётся в Параметрах сервера;

  • в пределах одного дня учитывается только максимальное значение риска, заданное в Параметрах сервера — чтобы избежать резких скачков риска за день;

  • полученные данные отображаются в сводной карточке и в карточках сотрудников.

Чтобы задать параметры для оценки уровня риска пользователя:

  1. Перейдите в Панель управленияПараметры сервера .

  2. На странице Параметры сервера установите значения в двух параметрах:

  • Параметры расчета риска пользователя: количество дней – задаёт количество дней, в течение которых будут учитываться события пользователя для расчета уровня риска.

    • число от 0 до 84,

    • значение по умолчанию: 14 дней.

  • Параметры расчета риска пользователя: максимальное значение риска за день – определяет максимальное количество баллов риска, которые могут быть учтены за один день.

    • число от 0 до 10 000,

    • значение по умолчанию: 100.

Оба параметры обязательны для заполнения.

  1. Сохраните изменения.

Пример расчета риска пользователя

В Параметрах сервера указаны значения по умолчанию для Параметров расчета риска пользователя:

  • уровень риска пользователя считается за последние 14 дней,

  • при расчете уровень риска за день не превышает максимальное значение риска за день = 100.

За период с 16 сентября по 14 октября система зафиксировала у пользователя:

Период

События с уровнем риска > 0

Суммарный уровень риска событий

Уровень риска пользователя

Пояснение

16.09 — 30.09

Нет

0

0

01.10

Зафиксированы события
с суммарным уровнем риска = 90

90

90

Суммарный уровень не превышает максимальное значение за день.
За последние 14 дней событий с уровнем риска не было

02.10 — 13.10

Нет

0

90

За последние 14 дней были события с суммарным уровнем = 90

14.10

Зафиксированы события
с суммарным уровнем риска = 250

250

190

Суммарный уровень = 250, превышает максимальное значение.
К значению уровня риска пользователя = 90
прибавится максимальное значение за день = 100

15.10

Нет

0

100

Уровня риска пользователя равен максимальным 100.
Дополнительные 90 баллов обнулились через 14 дней

Настройка уведомлений

Чтобы создать уведомление, нажмите + Создать и выберите Уведомление о риске пользователя.

../_images/risk_lvl_alert_1.png

Настройте уведомления по инструкции. После настройки уведомления о уровня риска пользователя будут приходить на почту не чаще одного раза в сутки.

Обратите внимание, что сам рост уровня риска фиксируется в Конструкторе в измерении Уведомления в одном из событий при достижении порогового значения:

  • Высокий уровень риска пользователя— событие срабатывает, когда уровень риска достигает заданного значения.

  • Увеличение уровня риска пользователя — событие фиксируется, когда риск увеличивается на указанное значение.

Для того, чтобы эти события создавались, выберите одно из них во вкладке Уведомления в поле Уведомлять о и задайте значение:

../_images/risk_lvl_img.png

Отчет об уровне риске пользователя

Отчет об уровне риска пользователя — инструмент, который показывает, у каких пользователей уровень риска выше или ниже заданного значения.

Чтобы создать отчет, нажмите + Создать и выберите Отчет об уровне риске пользователя.

../_images/risk_lvl_report_1.png

См.также

Как создать и настроить Отчет об уровне риска пользователя.

Отчет отправляется на почту ежедневно/еженедельно/ежемесячно. В отчете доступна группировка данных по пользователям или дате. Используйте вкладку Фильтр, чтобы выбрать, по каким пользователям формировать отчет.

Отображение уровня риска сотрудника

Уровень риска сотрудника отображается в карточках сотрудников. Карточки сотрудников находятся во вкладке Сотрудники.

Нажмите на пользователя, чтобы открыть карточку.

В карточке данные отображаются во вкладках:

  • Профиль – отображает уровень риска сотрудника по дням за последние семь дней. График предоставляет визуализацию изменения уровня риска со временем.

  • Инциденты – отображает сумму уровней риска событий сотрудника по дням за последние семь дней.

Внимание

Графики во вкладке Профиль напрямую зависят от Параметров расчета риска пользователя в Параметрах сервера.

../_images/risk_lvl_usercard_1.png

Примечание

Если у пользователя несколько учетных записей, то уровень риска суммируется.

Сводная карточка

В Сводной карточке отображается общая информация по уровням риска сотрудников.

В отчете Топ сотрудников по уровню риска представлены десять сотрудников с наибольшим уровнем риска:

../_images/risk_lvl_usercard_2.png