Обновленный FileAuditor: больше видов поиска, алертов и отчетов

Обновленный FileAuditor: больше видов поиска, алертов и отчетов
С момента релиза «СёрчИнформ FileAuditor» прошел почти год. За это время система усилилась новыми инструментами: для сканирования директорий, настройки правил автоматического обнаружения и ручного поиска инцидентов.


Гибкое сканирование и отчеты


В FileAuditor появились дополнительные настройки, которые позволяют быстрее и качественнее вычитывать файловые хранилища в корпоративной сети.
Из сканирования можно исключить файлы и папки по заданным атрибутам. Например, чтобы не тратить ресурсы ПО на анализ системных файлов, можно на вкладке «Исключения» отметить соответствующую категорию объекта, его расширение, расположение и др.

Теперь система поддерживает сканирование директорий по символьным ссылкам. Даже если на сервере, который контролирует FileAuditor, хранятся не сами файлы, а только пути к ним, система проанализирует их и возьмет под защиту конфиденциальное содержимое. Если такой функционал не нужен, вычитку можно выключить.
В настройках также появились готовые шаблоны, которые ИБ-специалисты могут адаптировать под свои задачи, или создавать собственные – чтобы затем на их основе настраивать более детализированные правила. Это позволяет масштабировать и легко тиражировать правила, которые похожи между собой, но предназначены для разных задач.
Наконец, теперь можно просмотреть всю информацию о ходе вычитки каталогов с файлами по правилам FileAuditor. Доступна общая статистика по всем компьютерам и сетевым ресурсам, а также подробные отчеты о сканировании отдельных машин. ИБ-специалисты могут просмотреть, когда прошло последнее сканирование и сколько оно длилось, сколько файлов было проверено и какой объем они занимают, в какие категории попадает информация в них и не было ли ошибок во время вычитки.
Еще один новый отчет – список ошибок, возникших при последних сканированиях. Причем отчет укажет на причину их возникновения: например, если искомый файл защищен паролем, а потому не поддается индексации и не был вычитан системой. Еще новинка – перечень владельцев файловых ресурсов. Он особенно полезен, чтобы проконтролировать появление новых объектов в файловой системе и распределить права доступа к ним.


Правила классификации и ручная аналитика


В настройках правил классификации появилось больше видов поиска. На их основе система будет точнее распознавать, к какой категории относится информация в хранилищах.
Новые возможности появились в дополнение к поиску по атрибутам и фразовому поиску, который в нынешней версии усилился поиском по последовательности символов. Эта функция позволяет искать в документах информацию, содержащую специальные символы и знаки (иноязычные вставки, @, №, $, % и т.д.).
Также при настройке правил сканирования теперь можно задать критерии поиска по словарю. Например, можно научить систему определять принадлежность к категории «финансовая отчетность» всех документов, где встречаются одновременно больше 5 слов из словаря бухгалтерской терминологии.
Для правил сканирования FileAuditor также доработан функционал поиска по регулярным выражениям. Окно запроса превратилось в удобный редактор с виртуальной клавиатурой из готовых элементов формулы поиска, все они сопровождаются подробными комментариями. В редакторе можно создавать и сложные регулярные выражения, когда в одном поиске скомбинированы несколько условий. Например, учитывать в правиле классификации только файлы, где одновременно встречаются не менее 5 комбинаций из номеров карты и трехзначных CVC/CVV-кодов. Кроме того, можно сразу убедиться, что запрос работает корректно: появилось поле проверки, где можно задать пример искомой комбинации символов и протестировать, распознает ли его система.
А при ручном поиске по перехвату FileAuditor появился ещё один режим просмотра: «только текст». В этом режиме система подсвечивает в тексте все совпадения с запросом (слова, фразы, регулярные выражения) – удобно, чтобы сразу разобраться, почему документ попал в поисковую выдачу и где именно находится искомый фрагмент.
 
Автопоиск инцидентов


Для FileAuditor теперь можно задать политики безопасности, которые помогут отследить действия пользователей с заданными категориями данных. Настроить автоматизированный поиск нарушений можно по атрибутам: категории файла или папки (в соответствии с правилами классификации), расположению, типу, расширению, пользовательским правам доступа, дате создания или изменения и т.д. Например, можно создать политику, которая оповестит, если пользователи вносили изменения или создавали новые файлы, попадающие в категорию «коммерческая тайна». Или наоборот – если некий файл перестал попадать в заданную категорию, то есть пользователи удалили оттуда значимое содержимое или сам файл.
Таким образом, политики для FileAuditor позволяют узнать, что нового произошло с важными данными в корпоративной сети с момента последнего сканирования. В том числе – проконтролировать нарушения в работе с конфиденциальными файлами со стороны пользователей.

При сработке политики система отправит оповещение ИБ-специалисту и сохранит результаты поиска на вкладке «Инциденты». Там можно изучить срез по каждой «сработке» и сопутствующую информацию о попавших в поле зрения политики файлах: где и как они хранятся, к каким категориям относятся, кому принадлежат и кто еще имеет к ним доступ.
Alt text

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.