Новые виды поиска
Расширились возможности настройки автоматизированного поиска инцидентов в AlertCenter. Теперь можно искать информацию по формам со стандартными полями – например, заполненные анкеты с полями «ФИО», «дата рождения», «место жительства» и др. Механизм действия похож на поиск по регулярным выражениям, но учитывает сразу совокупность полей, а потому хорошо подходит для обработки больших объемов стандартизированных данных.

Обновления затронули регулярные выражения для РФ. Другая локальная новинка – в системе появилась база данных русских фамилий для поиска с морфологией, которая позволяет находить фамилии с учетом их словоформ, т.е. в любых склонениях.

Фразовый поиск приобрел две новых разновидности. Можно искать словосочетания в контексте – по комбинации фраз с указанием, какие еще слова/выражения должны быть рядом с искомой фразой в тексте. Или настроить поиск по количеству фраз: тогда можно указать в запросе сразу несколько словосочетаний, а система среагирует только на тексты, в которых упоминаются все или не менее N из них. Использовать эти виды поиска можно в политиках безопасности или вручную в консоли аналитика.
К тому же источников для поиска стало больше. Теперь КИБ индексирует письма MS Outlook в формате TNEF и лучше работает с документами OpenOffice в форматах ODF и OFG. То же касается писем, защищенных шифрованием и/или цифровой подписью по стандарту PGP, – КИБ научился распознавать и анализировать их содержимое. Специалистам по безопасности больше не придется разбираться с ними вручную, все случаи, когда нарушители попытаются передать в них закрытую информацию, автоматически попадут в поле зрения системы.

Чтобы использовать это многообразие функций было проще, в AlertCenter увеличили длину сложного поискового запроса. Теперь в каждом подзапросе помещается больше символов и их сочетаний, это позволяет задавать больше условий поиска в рамках одной политики безопасности.
Экономия мощностей
Чтобы КИБ работал быстрее, появились новые опции для экономичного хранения перехвата и распределения нагрузки между компонентами системы при его обработке.
Теперь можно произвольно ограничить количество найденных позиций в документе, чтобы не перегружать базу перехвата. Например, если мы ищем упоминания секретной разработки, а они встречаются в тексте 10 раз, системе необязательно учитывать их все. Если пользователь отправит такой документ нежелательному адресату, КИБ в любом случае сообщит о сливе, а в доказательство сохранит только выдержки с двумя-тремя совпадениями по поисковому запросу. Количество «обязательных» для сохранения совпадений можно задать вручную.

В процессе система покажет загрузку центрального процессора сервера индексации. Это полезно, чтобы отслеживать состояние компонентов системы и оценивать свободные мощности – например, чтобы параллельно запустить мониторинг по политикам безопасности или отказаться от него, если текущая нагрузка на сервер слишком велика.
Онлайн-отчеты
ИБ-специалистам стало удобнее получать сводки о происходящем в компании благодаря новым отчетам в веб-консоли.
В отчете «Количество инцидентов по датам» отображается статистика сработок политик безопасности в заданные периоды. Можно отслеживать динамику инцидентов и анализировать, с какими событиями в жизни компании может быть связан внезапный рост или снижение количества нарушений. Также онлайн можно посмотреть количество инцидентов по пользователям. Детализация удобна, чтобы вовремя выявить заядлых нарушителей и взять их на особый контроль.

Добавилась возможность просмотреть в веб-консоли отчеты по подключаемым устройствам и суммарной активности процессов. Причем в онлайн-версии отчет «Суммарная активность процессов/сайтов» получил привычную детализацию по пользователям, процессам, программам и сайтам. Также сгруппировать результаты можно по годам.

А отчет о связях пользователей в веб-версии можно кастомизировать даже больше, чем в десктопной. Для графа связей можно задать форму узлов, выбрать цвет для отображения внешних, внутренних связей, обмена информацией по разным каналам. И ранжировать оттенки в зависимости от интенсивности переписки (чем больше сообщений – тем ярче цвет). Специалисты по безопасности получат наглядное представление о кругах общения в коллективе в максимально удобном формате.
