Проведение расследований
При поиске по словам или фразам в объемных документах КИБ теперь создает краткое резюме. Функция доступна в AlertCenter при просмотре результатов отработки политик безопасности. По каждому алерту в отдельной вкладке выводится список всех вариантов (предложений), в которых в тексте встретилось искомое выражение. Это позволяет сэкономить время, чтобы вникнуть в обстоятельства инцидента. Полностью с документами по-прежнему можно ознакомиться во вкладках «Родной формат» и «Только текст».
Просмотр резюме поиска в AlertCenter
Еще удобнее стало контролировать пользователей, которые одновременно работают на одной машине. На вкладке «Сетевое окружение» в EndpointController отображаются все активные подключения пользователей к ПК или серверу, в том числе в режиме удаленного доступа. Это позволяет отслеживать нагрузку на машину, оперативно фиксировать случаи неправомерного доступа и сужать «круг подозреваемых», если на рабочей станции произойдет инцидент. Кроме того, для каждого пользователя можно настроить доступы и разрешения.Настройка системы
Продолжается адаптация возможностей КИБ для иностранных организаций. Теперь система доступна в испаноязычном интерфейсе. Реализована поддержка морфологии азербайджанского, грузинского и монгольского: глубокие расследования и детальный поиск в перехвате на этих языках стали эффективнее. В «арсенале» КИБ уже более 30 языков – это максимум среди других отечественных DLP-систем.
В этом же ключе специалисты «СёрчИнформ» обновили пакеты предустановленных политик безопасности. Их скорректировали под требования регуляторов и особенности бизнес-процессов в разных странах. Например, различаются словари или наборы регулярных выражений (форматы записи автомобильных, телефонных номеров, номеров документов и пр.). Выбрать подходящий пакет можно в AlertCenter: при настройке достаточно отметить страну, правила для которой необходимо использовать.
Импорт предустановленных политик для разных стран в AlertCenter
Универсальная новинка – возможность блокировать работу VPN-соединений в HTTPS/SOCKS в браузере Opera. Шифрованный трафик ранее оказывался недоступен для перехвата. Сейчас его можно пропустить без обработки либо заблокировать на усмотрение ИБ-специалиста. Настройки задаются в DataCenter для всей организации или выборочно для отдельных машин и пользователей.Оптимизация нагрузки
Теперь КИБ работает быстрее, а данные перехвата занимают меньше места.
Система распознает дублирование писем и вложений в почте в разных видах перехвата (например, вложения из одного и того же письма, открытое через почтовое приложение и в веб-форме). Такие письма и вложения учитываются и индексируются только один раз, это экономит место на сервере и ускоряет поиск.
Оптимизирован перехват медиа. MicrophoneController теперь поддерживает кодаки Opus и Flac, которые сжимают записываемый звук для экономичного хранения без потери качества. MonitorController научился записывать видео с экранов пользователей в процентах от оригинала. Например, картинка в Full-HD-качестве зачастую избыточна по размеру для проведения расследований. Внутренние исследования компании показали, что без потери читаемости текста на экране можно использовать записанное видео и скриншоты в размере 65% от Full-HD.
Индикация проблем с компонентами серверов в DataCenter
Выросла и стабильность системы. КИБ автоматически проверяет состояние оборудования, с которым работает, и оповещает о неполадках в DataCenter. Проблемные серверы КИБ и их компоненты в общем списке подсвечиваются красным – например, если не запущен какой-либо из установленных на сервере продуктов или отсутствует доступ к базе перехвата.