Обогащение данных

Инструменты Обогащение данных позволяют оценивать продуктивность и опасность событий. На основе этого можно настроить ответные действия системы: уведомления, смену конфигурации.

Политика

Политика — это набор правил, который помогает определить продуктивность сотрудников и уровень опасности их действий на рабочем месте.

Когда сотрудник работает за компьютером, его действия проверяются по заданным правилам. Если действие подходит под правило — политика присваивает ему категорию продуктивности рабочего времени: продуктивное, непродуктивное, нейтральное, премиальное.

Например, работа с корпоративными документами считается продуктивной активностью. Когда сотрудник заходит на сайт по поиску работы — сработает политика Сайты по трудоустройству, а время будет засчитано как непродуктивное. В отчетах учета рабочего времени оно выделено красным цветом.

Некоторые события могут попадать под категорию Инцидент. Это значит, что действие небезопасно. Например, обход мониторинга может расцениваться, как несанкционированное действие.

../_images/policy_example1.png

Поиск по словарю

Поиск по словарю — отдельная политика для поиска указанного в настройках контента. Помогает находить персональные данные, служебную информацию и другие важные категории данных в текстовых полях. Поиск по словарю использует контекстный анализ, поддерживает морфологию и регулярные выражения, что делает его точным и эффективным инструментом.

Примечание

Активируйте модуль Hyperscan для увеличения производительности при поиске регулярных выражений, определения веса строк.

../_images/dictionary_example.png

Срабатывание по порогу

Срабатывание по порогу — политика, которая отправляет уведомление при достижении установленного порога за определенное время.

Порог можно задать для измерений:

  • Количество событий,

  • Время разговора,

  • Время активности,

  • Размер файла.

Примечание

Срабатывание по порогу не обогащает данные, но анализирует поступающие события и отправляет уведомление, если условия срабатывания выполнены.

../_images/threshold_triggering.png

Пример настройки: допустим, уведомление должно приходить, если сотрудник распечатывает более 50 страниц за 5 минут.

  1. Нажмите + СоздатьСрабатывание по порогу.

  2. В открывшемся окне заполните поля Название и Описание.

  3. Во вкладке Фильтр выделите Тип событияПечать документов.

  4. Во вкладке Уведомления укажите:

  • По мереКоличество событий,

  • При достижении50 событий,

  • За период0 дней 0 часов 5 минут.

  1. Активируйте Отправлять уведомления и укажите в поле Кому электронную почту.

  2. Нажмите Сохранить.

Уведомление о риске пользователя

Уведомление о риске пользователя — политика, которая отправляет уведомления, если зафиксирован повышенный Уровень риска.

../_images/alert_level_risk.png

Чтобы создать уведомление, выполните следующие действия:

  1. Нажмите + Создать и выберите Уведомление о риске пользователя.

../_images/risk_lvl_alert_1.png
  1. Заполните поля Название и Описание.

../_images/risk_lvl_alert_2.png
  1. Перейдите во вкладку Уведомления.

Вкладка Уведомления

  1. Активируйте галочку Активировать уведомления.

  2. Выберите условие уведомления в поле Уведомлять о:

  • Достижении пользователем уровня риска — при достижении определенного уровня риска создает событие Высокий уровень риска пользователя;

  • Изменении уровня риска на указанное значение — при изменении уровня риска на указанное значение создает событие Увеличение уровня риска пользователя.

Примечание

События Высокий уровень риска пользователя и Увеличение уровня риска пользователя доступны в КонструктореУведомления.

  1. Если вы выбрали опцию Изменение уровня риска на указанное значение, то укажите период, за который должно измениться значение риска. По умолчанию — 1 день.

  2. Задайте Значение уровня риска. По умолчанию — 70.

../_images/risk_lvl_alert_4.png
  1. Заполните опции из разделов Регулярность, чтобы получать регулярную рассылку отчетов:

  • по пользователям с высоким уровнем риска,

  • по пользователям с резким ростом уровня риска за период, который указан в разделе Регулярность .

  1. Если вы хотите, чтобы при срабатывании политики создавался инцидент, поставьте галочку Инцидент и укажите:

  • Шаблон реагирования для инцидента — шаблон действий для решения инцидента,

  • Группу инцидента — группу, к которой может относиться инцидент, например, Уровень риска.

../_images/risk_lvl_alert_5.png
  1. Укажите Адрес получателя уведомления или активируйте опцию Отправлять уведомления на email-адрес для фильтров/политик по умолчанию.

../_images/risk_lvl_alert_6.png
  1. Перейдите во вкладку Фильтр.

Вкладка Фильтр

  1. Выберите тип фильтра — Сложный запрос.

  2. Нажмите + Условие.

  3. Заполните поля: ПользовательПолное имяРавноимя пользователя.

../_images/risk_lvl_alert_7.png

Примечание

Если фильтр по пользователям не настроен, уведомления будут отправляться по риску всех пользователей.

Вкладка Назначение конфигурации

При необходимости вы можете включить изменение конфигурации при срабатывании политики. Это может быть полезно, если у пользователя зафиксирован резкий рост уровня риска, и нужно сменить конфигурацию на другую.

  1. Поставьте галочку Включить.

  2. Выберите в списки конфигурацию, которая включится при срабатывании политики. Например, вы можете активировать более строгий контроль через конфигурацию Усиленный контроль.

После настройки политики сервер отобразит в правой части экрана отчет, в котором указаны пользователи и уровень риска.

Отчет об уровне риска пользователя

Отчет об уровне риска пользователя — инструмент, который отображает пользователей, чей уровень риска больше или меньше заданного.

../_images/report_risk_lvl_example.png

Чтобы создать отчет:

  1. Нажмите + Создать и выберите Отчет об уровне риске пользователя.

../_images/risk_lvl_report_1.png
  1. Заполните поля Название и Описание.

../_images/risk_lvl_report_2.png
  1. Перейдите во вкладку Уведомления.

Вкладка Уведомления

  1. Активируйте галочку Активировать уведомления.

  2. Укажите условие уведомления в поле Уровень риска:

  • Больше или равно — отображать пользователей с уровнем риска больше или равным заданному в поле Уровень риска,

  • Меньше — отображать пользователей с уровнем риска меньше заданного в поле Уровень риска.

  1. Задайте значение уровня риска в поле слева от Уровня риска. По умолчанию — 70.

  2. Выберите опцию в поле Группировать: Группировать по дате или Группировать по пользователю.

  3. Заполните опции из разделов Регулярность, чтобы получать регулярную рассылку отчетов.

../_images/risk_lvl_report_3.png
  1. Укажите Адрес получателя уведомления или активируйте опцию Отправлять уведомления на email-адрес для фильтров/политик по умолчанию.

  2. Перейдите во вкладку Фильтр и при необходимости выберите пользователей, по которым нужно формировать отчет.

Вкладка Фильтр

Примечание

Если фильтр по пользователям не настроен, отчет будет формироваться по риску всех пользователей.

  1. Выберите тип фильтра — Сложный запрос.

  2. Нажмите + Условие.

  3. Заполните поля: ПользовательПолное имяРавноимя пользователя.

    ../_images/risk_lvl_report_6.png

После настройки инструмент появится на вкладке Политики — нажмите на него, чтобы отчет отобразился в Линзе событий.

../_images/risk_lvl_report_7.png