Уровень риска событий и пользователей¶
Начиная с версии 5.5 функциональность Уровень риска позволяет присвоить значимость событиям политик безопасности.
На основе этих данных вы можете оценить серьезность инцидентов и связанные c каждым сотрудником риски.
Активация уровня риска¶
Функциональность Уровень риска не активирована по умолчанию, потому что включение может привести к увеличению нагрузки на сервер.
Чтобы включить Уровень риска:
Откройте на сервере конфигурационный файл /etc/staffcop/config с помощью nano или в другом удобном для вас редакторе:
sudo nano /etc/staffcop/config
Добавьте в конце файла строку:
RISK_LEVEL_ENABLED = True
Сохраните изменения в файле.
Перезапустите Staffcop командой:
staffcop restart
После активации функционал станет доступен в Конструкторе в Сработавших политиках.

Настройка уровня риска¶
Вы можете присвоить уровень риска только политикам и словарям, которые относятся к категории Инцидент. Поэтому сначала присвойте политике категорию Инцидент, а после этого задайте уровень риска.
Примечание
Функциональность действует как для предустановленных, так и кастомных политик и словарей.
Примечание
Не рекомендуется устанавливать уровень риска для политик, которые обрабатывают большие группы событий — например, Политики продуктивности. Это может привести к увеличению уровня риска пользователя за счёт множества ложных срабатываний.
В окне Политики или Поиска по словарю перейдите во вкладку Свойства.
В поле Категория выберите Инцидент.
В поле Уровень риска укажите значение от 0 до 10.
Готово! После настройки событию будет присваиваться уровень риска. Уровень риска пользователей присваивается на основе уровня риска сработавших для них событий.
Примечание
Если уровень риска не задан или категория политики изменена с Инцидент на другую, уровень риска сбрасывается до значения по умолчанию — 0.
Управление уровнем риска событий¶
После назначения Уровня риска политики сервер при срабатывании политики присвоит событию уровень риска.
Отображение в Конструкторе событий¶
Чтобы посмотреть события, которым присвоен уровень риска:
Перейдите в Конструктор.
В разделе Сработавшие политики выберите Уровень риска политики.
В Конструкторе появится список событий, сгруппированных по уровню риска сработавших политик. Уровень риска события отображается в Таблице.
Поставьте галочку в чекбоксе, чтобы группа событий отобразилась в Линзе событий. Уровень риска отдельного события отражен в Информации о событии.

В Линзе событий столбец Уровень риска не отображается по умолчанию. Чтобы столбец появился в таблице:
Нажмите на иконку с шестернями и выберите Новая настройка.
В разделе Доступные поля → Факт нажмите на строку Уровень риска. Строка переместится в Выбранные поля.
После сохранения настройки в таблице появится столбец:
Увеличение уровня риска события¶
События могут совмещать в себе несколько сработавших политик. В этом случае общий уровень риска события — это сумма уровня рисков всех политик.
Пример¶
Установите значение Уровня риска. В этом примере для события Кредитных карт значение равно трем, а у Словаря ненормативной лексики — шести:
При появлении события перейдите в Конструкторе к измерению Сработавшие политики. В Названии выберите политики, рядом с которыми указано значение уровня риска.
Выберите событие. Например, Перехваченный файл. В нашем примере в тексте перехваченного файла есть и номер кредитной карты, и номер паспорта, поэтому в информации о событии уровень риска равен девяти. Это общая сумма для всех политик, которые сработали при передаче файла.
Фильтрация и настройка уведомлений¶
Используйте фильтр и сложный запрос для сортировки событий с определенным уровнем риска. Например, вы можете получить список событий с уровнем риска 10 для определенной подсети. Чтобы отфильтровать события по суммарному риску, используйте сложный запрос.
После настройки фильтрации в Конструкторе событий отобразятся только события, которые соответствуют заданным условиям.
Фильтр событий на основе уровня риска сработавших политик¶
Создайте или перейдите в существующий фильтр.
Перейдите во вкладку Фильтр → Сложный запрос.
Нажмите на кнопку +Условие.
Выставите значение Сработавшие политики — Уровень риска политики.
Выберите логический оператор и введите значение уровня риска.
При необходимости добавьте другие условия и настройте отправку уведомлений на почту во вкладке Уведомления.
Сохраните фильтр.
Результат: в линзе отображаются события, на которые среагировала хотя бы одна политика с заданным в условии уровнем риска.
Создайте или перейдите в существующий фильтр.
Перейдите во вкладку Фильтр → Конструктор.
Выберите в левой боковой панели Уровень риска политики в разделе Сработавшие политики.
Выберите уровень риска.
При необходимости добавьте другие условия и настройте отправку уведомлений на почту во вкладке Уведомления.
Сохраните фильтр.
Результат: в линзе отображаются события, на которые среагировала хотя бы одна политика с заданным в условии уровнем риска.
Фильтр событий по суммарному уровню риска¶
Используйте сложный запрос для фильтрации событий, чей уровень риска суммируется за счет всех сработавших политик:
Создайте или перейдите в существующий фильтр.
Перейдите во вкладку Фильтр → Сложный запрос.
Нажмите на кнопку + Условие.
Выставите значение Сработавшие политики — Суммарный риск события.
Выберите логический оператор и введите значение уровня риска.
При необходимости добавьте другие условия и настройте отправку уведомлений на почту во вкладке Уведомления.
Сохраните фильтр.
Результат: в линзе отображаются события, чей суммарный уровень риска сработавших политик соответствует условию.
Отчеты¶
Для построения наглядных графиков и статистики используйте инструменты меню Анализа с указанием меры Уровень риска:
Выберите в меню Анализ способ отображения данных. В примере используется Линейный график:
Выберите измерения данных, по которым нужно построить график, например Дата — По дням:
Установите в качестве меры Уровень риска:
Система автоматически сгенерирует график:
Управление уровнем риска пользователей¶
Предупреждение
Чтобы видеть уровень риска пользователей, активируйте Карточку сотрудника.
Система оценивает Уровень риска пользователя на основе событий пользователя.
Каждое событие с присвоенным уровнем риска увеличивает общий показатель. Чем больше таких событий — тем выше уровень риска пользователя.
система суммирует риски событий за несколько дней — количество дней задаётся в Параметрах сервера;
в пределах одного дня учитывается только максимальное значение риска, заданное в Параметрах сервера — чтобы избежать резких скачков риска за день;
полученные данные отображаются в сводной карточке и в карточках сотрудников.
Чтобы задать параметры для оценки уровня риска пользователя:
Перейдите в Панель управления → Параметры сервера .
На странице Параметры сервера установите значения в двух параметрах:
Параметры расчета риска пользователя: количество дней – задаёт количество дней, в течение которых будут учитываться события пользователя для расчета уровня риска.
число от 0 до 84,
значение по умолчанию: 14 дней.
Параметры расчета риска пользователя: максимальное значение риска за день – определяет максимальное количество баллов риска, которые могут быть учтены за один день.
число от 0 до 10 000,
значение по умолчанию: 100.
Оба параметры обязательны для заполнения.
Сохраните изменения.
Пример расчета риска пользователя¶
В Параметрах сервера указаны значения по умолчанию для Параметров расчета риска пользователя:
уровень риска пользователя считается за последние 14 дней,
при расчете уровень риска за день не превышает максимальное значение риска за день = 100.
За период с 16 сентября по 14 октября система зафиксировала у пользователя:
Период |
События с уровнем риска > 0 |
Суммарный уровень риска событий |
Уровень риска пользователя |
Пояснение |
16.09 — 30.09 |
Нет |
0 |
0 |
— |
01.10 |
Зафиксированы события |
90 |
90 |
Суммарный уровень не превышает максимальное значение за день. |
02.10 — 13.10 |
Нет |
0 |
90 |
За последние 14 дней были события с суммарным уровнем = 90 |
14.10 |
Зафиксированы события |
250 |
190 |
Суммарный уровень = 250, превышает максимальное значение. |
15.10 |
Нет |
0 |
100 |
Уровня риска пользователя равен максимальным 100. |
Настройка уведомлений¶
Чтобы создать уведомление, нажмите + Создать и выберите Уведомление о риске пользователя.
Настройте уведомления по инструкции. После настройки уведомления о уровня риска пользователя будут приходить на почту не чаще одного раза в сутки.
Обратите внимание, что сам рост уровня риска фиксируется в Конструкторе в измерении Уведомления в одном из событий при достижении порогового значения:
Высокий уровень риска пользователя— событие срабатывает, когда уровень риска достигает заданного значения.
Увеличение уровня риска пользователя — событие фиксируется, когда риск увеличивается на указанное значение.
Для того, чтобы эти события создавались, выберите одно из них во вкладке Уведомления в поле Уведомлять о и задайте значение:

Отчет об уровне риске пользователя¶
Отчет об уровне риска пользователя — инструмент, который показывает, у каких пользователей уровень риска выше или ниже заданного значения.
Чтобы создать отчет, нажмите + Создать и выберите Отчет об уровне риске пользователя.

См.также
Как создать и настроить Отчет об уровне риска пользователя.
Отчет отправляется на почту ежедневно/еженедельно/ежемесячно. В отчете доступна группировка данных по пользователям или дате. Используйте вкладку Фильтр, чтобы выбрать, по каким пользователям формировать отчет.
Отображение уровня риска сотрудника¶
Уровень риска сотрудника отображается в карточках сотрудников. Карточки сотрудников находятся во вкладке Сотрудники.
Нажмите на пользователя, чтобы открыть карточку.
В карточке данные отображаются во вкладках:
Профиль – отображает уровень риска сотрудника по дням за последние семь дней. График предоставляет визуализацию изменения уровня риска со временем.
Инциденты – отображает сумму уровней риска событий сотрудника по дням за последние семь дней.
Внимание
Графики во вкладке Профиль напрямую зависят от Параметров расчета риска пользователя в Параметрах сервера.

Примечание
Если у пользователя несколько учетных записей, то уровень риска суммируется.
Сводная карточка¶
В Сводной карточке отображается общая информация по уровням риска сотрудников.
В отчете Топ сотрудников по уровню риска представлены десять сотрудников с наибольшим уровнем риска:
