Уровень риска событий и пользователей

Начиная с версии 5.5 функциональность Уровень риска позволяет присвоить значимость событиям политик безопасности.

На основе этих данных вы можете оценить серьезность инцидентов и связанные c каждым сотрудником риски.

Активация уровня риска

Функционал Уровень риска не активирован по умолчанию, потому что включение может привести к увеличению нагрузки на сервер.

Чтобы включить Уровень риска:

  1. Откройте на сервере конфигурационный файл /etc/staffcop/config с помощью nano или в другом удобном для вас редакторе:

sudo nano /etc/staffcop/config

  1. Добавьте в конце файла строку:

RISK_LEVEL_ENABLED = True

  1. Сохраните изменения в файле.

  2. Перезапустите Staffcop командой:

staffcop restart

После активации функционал будет доступен в веб-интерфейсе.

Настройка уровня риска

Вы можете присвоить уровень риска политикам и словарям категории Инцидент.

Категория Инцидент доступна для:

  • политик продуктивности,

  • политик безопасности,

  • поиска по словарю.

Примечание

Если уровень риска не задан или категория политики изменена с Инцидент на другую, уровень риска сбрасывается до значения по умолчанию — 0.

Функциональность действует как для предустановленных, так и кастомных политик и словарей.

Примечание

Не указывайте Уровень риска для политик, которые обрабатывают большие группы событий — например, Политики продуктивности. Это может привести к увеличению уровня риска пользователя за счёт множества ложных срабатываний.

Чтобы настроить уровень риска:

  1. В окне Политики или Поиска по словарю перейдите во вкладку Свойства.

  2. В поле Категория выберите Инцидент.

  3. В поле Уровень риска укажите значение от 0 до 10.

../_images/risk_lvl_incident.png

Уровень риска выделяется цветом в зависимости от значения:

  • 0: белый,

  • 1–2: светло-зеленый,

  • 3–5: светло-синий,

  • 6–8: оранжевый,

  • 9–10: красный.

  1. Готово!

Управление уровнем риска событий

Увеличение уровня риска события

После назначения Уровня риска политики сервер присвоит событию уровень риска при срабатывании политики.

Пример

  1. Установите значение Уровня риска. В этом примере для события Кредитных карт значение равно четырем:

../_images/risk_lvl_credit_card.png

У Номера паспорта — шести:

../_images/risk_lvl_passport.png

  1. При появлении события перейдите в Конструкторе к измерению Сработавшие политики. Найдите политики, рядом с которыми указано значение уровня риска.

../_images/risk_lvl_policy_4_6.png

  1. В информации о событии уровень риска равен восьми. Это общая сумма для всех политик с установленным уровнем риска. В нашем примере в тексте перехваченного файла есть и номер кредитной карты, и номер паспорта:

../_images/risk_lvl_policy_10.png

Примечание

Значения суммируются, но общее значение для отдельного события не может превышать 20. Ограничение позволяет более реалистично оценить общий риск без чрезмерного влияния отдельных высоких рисков на итоговую оценку.

Отображение в Конструкторе событий

Чтобы посмотреть события, которым присвоен уровень риска:

  1. Перейдите в Конструктор.

  2. В разделе Сработавшие политики выберите Уровень риска политики.

  3. В Конструкторе появится список событий, сгруппированных по уровню риска сработавших политик. Уровень риска события отображается в Таблице.

Поставьте галочку в чекбоксе, чтобы группа событий отобразилась в Линзе событий. Уровень риска отдельного события отражен в Информации о событии.

../_images/risk_lvl_constructor.png

В Линзе событий столбец Уровень риска не отображается по умолчанию. Чтобы столбец появился в таблице:

  1. Нажмите на иконку с шестернями и выберите Новая настройка.

../_images/risk_lvl_gears.png

  1. В разделе Доступные поляФакт нажмите на строку Уровень риска. Строка переместится в Выбранные поля.

../_images/risk_lvl_fact.png

  1. После сохранения настройки в таблице появится столбец:

../_images/rsk_lvl_column.png

Фильтрация и настройка уведомлений

Используйте фильтр и сложный запрос для сортировки событий с определенным уровнем риска. Чтобы отфильтровать события по суммарному риску, используйте сложный запрос. В Конструкторе событий отобразятся только события, которые соответствуют заданным условиям.

Вы можете настроить и в фильтре, и в сложном запросе уведомления о событиях с заданным уровнем риска.

Фильтр событий на основе уровня риска сработавших политик

  1. Создайте или перейдите в существующий фильтр.

  2. Перейдите во вкладку ФильтрСложный запрос.

../_images/risk_lvl_complexfilter_1.png

  1. Нажмите на кнопку +Условие.

  2. Выставите значение Сработавшие политикиУровень риска политики.

  3. Выберите логический оператор и введите значение уровня риска.

../_images/risk_lvl_complexfilter_2.png

  1. При необходимости добавьте другие условия и настройте отправку уведомлений на почту во вкладке Уведомления.

  2. Сохраните фильтр.

Результат: в линзе отображаются события, на которые среагировала хотя бы одна политика с заданным в условии уровнем риска.

Фильтр событий по суммарному уровню риска

Используйте сложный запрос для фильтрации событий, чей уровень риска суммируется за счет всех сработавших политик:

  1. Создайте или перейдите в существующий фильтр.

  2. Перейдите во вкладку ФильтрСложный запрос.

../_images/risk_lvl_complexfilter_1.png

  1. Нажмите на кнопку + Условие.

  2. Выставите значение Сработавшие политикиСуммарный риск события.

  3. Выберите логический оператор и введите значение уровня риска.

../_images/risk_lvl_complexfilter_3.png

  1. При необходимости добавьте другие условия и настройте отправку уведомлений на почту во вкладке Уведомления.

  2. Сохраните фильтр.

Результат: в линзе отображаются события, чей суммарный уровень риска сработавших политик соответствует условию.

Анализ — Уровень Риска

Для построения наглядных графиков и статистики используйте инструменты меню Анализа с указанием меры Уровень риска:

  1. Выберите в меню Анализ способ отображения данных. В примере используется Линейный график:

../_images/rsk_lvl_analyze.png

  1. Выберите измерения данных, по которым нужно построить график, например ДатаПо дням:

../_images/risk_lvl_days.png

  1. Установите в качестве меры Уровень риска:

../_images/risk_lvl_chart_2.png

  1. Готово!

../_images/risk_lvl_chart.png

Управление уровнем риска пользователей

Предупреждение

Активируйте Карточку сотрудника для просмотра Уровня риска пользователей.

Расчет уровня риска пользователей позволяет оценить уровень риска на основе событий с уровнем риска:

  • сервер суммирует риски событий за заданное количество дней с учетом максимально допустимого значения в день и оповещает о повышении риска;

  • данные отображаются в сводной карточке и в карточках сотрудников;

  • расчет производится на основе Параметров сервера.

Чтобы задать оценку уровня риска пользователя:

  1. Перейдите в Панель управленияПараметры сервера .

  2. На странице Параметры сервера установите значения в двух параметрах:

  • Параметры расчета риска пользователя: количество дней – задаёт количество дней, в течение которых будут учитываться события пользователя для расчета уровня риска.

    • число от 0 до 84,

    • значение по умолчанию: 14 дней.

  • Параметры расчета риска пользователя: максимальное значение риска за день – определяет максимальное количество баллов риска, которые могут быть учтены за один день.

    • число от 0 до 10 000,

    • значение по умолчанию: 100.

Оба параметры обязательны для заполнения.

  1. Сохраните изменения.

Пример расчета риска пользователя

В Параметрах сервера указаны значения по умолчанию для Параметров расчета риска пользователя:

  • уровень риска пользователя считается за последние 14 дней,

  • при расчете уровень риска за день не превышает максимальное значение риска за день = 100.

За период с 16 сентября по 14 октября система зафиксировала у пользователя:

Период

События с уровнем риска > 0

Суммарный уровень риска событий

Уровень риска пользователя

Пояснение

16.09 — 30.09

Нет

0

0

01.10

Зафиксированы события
с суммарным уровнем риска = 90

90

90

Суммарный уровень не превышает максимальное значение за день.
За последние 14 дней событий с уровнем риска не было

02.10 — 13.10

Нет

0

90

За последние 14 дней были события с суммарным уровнем = 90

14.10

Зафиксированы события
с суммарным уровнем риска = 250

250

190

Суммарный уровень = 250, превышает максимальное значение.
К значению уровня риска пользователя = 90
прибавится максимальное значение за день = 100

15.10

Нет

0

100

Уровня риска пользователя равен максимальным 100.
Дополнительные 90 баллов обнулились через 14 дней

Настройка уведомлений

Чтобы сервер отправлял уведомления, создайте политику. Уведомления будут приходить в Уведомления во вкладке Конструктор.

  1. Нажмите + Создать и выберите Уведомление о риске пользователя.

../_images/risk_lvl_alert_1.png

  1. В поле Название укажите Уведомление о риске пользователя.

../_images/risk_lvl_alert_2.png

  1. Опционально: добавьте Описание политики.

  2. Перейдите во вкладку Уведомления.

Вкладка Уведомления

  1. Во вкладке Уведомления активируйте галочку Активировать уведомления.

  2. Выберите условие уведомления в поле Уведомлять о: Достижение пользователем уровня риска или Изменение уровня риска на указанное значение.

  3. Если вы выбрали опцию Изменение уровня риска на указанное значение, то укажите период, за который должно измениться значение риска. По умолчанию — 1 день.

  4. Задайте Значение уровня риска. По умолчанию — 70.

../_images/risk_lvl_alert_4.png

  1. Заполните опции из разделов Регулярность, чтобы получать регулярную рассылку отчетов:

  • по пользователям с высоким уровнем риска,

  • по пользователям с резким ростом уровня риска за указанный в разделе Регулярность период.

  1. Если вы хотите, чтобы при срабатывании политики создавался инцидент, поставьте галочку Инцидент и укажите:

  • Шаблон реагирования для инцидента — предустановленный шаблон действий для решения инцидента,

  • Группу инцидента — группу, к которой может относиться инцидент, например Уровень риска.

  1. Укажите Адрес получателя уведомления или активируйте отправку на адрес по умолчанию.

../_images/risk_lvl_alert_6.png

  1. Перейдите во вкладку Фильтр.

Вкладка Фильтр

  1. Выберите тип фильтра — Сложный запрос.

  2. Нажмите + Условие.

  3. Заполните поля: ПользовательПолное имяРавноимя пользователя.

../_images/risk_lvl_alert_7.png

Примечание

Если фильтр по пользователям не настроен, уведомления будут отправляться по риску всех пользователей.

Вкладка Назначение конфигурации

При необходимости вы можете включить изменение конфигурации при срабатывании политики. Это может быть полезно, если у пользователя зафиксирован резкий рост уровня риска, и нужно сменить конфигурацию на другую.

  1. Поставьте галочку Включить.

  2. Выберите в списки конфигурацию, которая включится при срабатывании политики. Например, вы можете активировать более строгий контроль через конфигурацию Усиленный контроль.

После настройки политики сервер отобразит в правой части экрана отчет, в котором указаны пользователи и уровень риска.

Отображение уровня риска сотрудника

Уровень риска сотрудника отображается в карточках сотрудников. Карточки сотрудников находятся во вкладке Сотрудники. Нажмите на пользователя, чтобы открыть карточку.

В карточке данные отображаются во вкладках:

  • Профиль – отображает уровень риска сотрудника по дням за последние семь дней. График предоставляет визуализацию изменения уровня риска со временем.

  • Инциденты – отображает сумму уровней риска событий сотрудника по дням за последние семь дней.

../_images/risk_lvl_usercard_1.png

Примечание

Если у пользователя несколько учетных записей, то уровень риска УЗ суммируется.

Сводная карточка

В Сводной карточке отображается общая информация по уровням риска сотрудников.

В отчете Топ сотрудников по уровню риска представлены десять сотрудников с наибольшим уровнем риска:

../_images/risk_lvl_usercard_2.png