Весенние обновления «СёрчИнформ КИБ»: еще больше поисковых возможностей и оптимизация нагрузки

Весенние обновления «СёрчИнформ КИБ»: еще больше поисковых возможностей и оптимизация нагрузки
Стало удобнее работать с перехватом вручную, настраивать политики безопасности и просматривать отчеты онлайн.

Новые виды поиска

Расширились возможности настройки автоматизированного поиска инцидентов в AlertCenter. Теперь можно искать информацию по формам со стандартными полями – например, заполненные анкеты с полями «ФИО», «дата рождения», «место жительства» и др. Механизм действия похож на поиск по регулярным выражениям, но учитывает сразу совокупность полей, а потому хорошо подходит для обработки больших объемов стандартизированных данных.


Возможности поиска по регулярным выражениям тоже выросли. Появились новые группы выражений для разных сфер: банковской (например, номера БИК, SWIFT, ISN), финансовой (ОГРН, КПП), страховой (ОСАГО, полисы ОМС), а также госсектора, промышленности, телекома, энергетики, издательского дела и др. Добавились и новые форматы номеров документов гособразца: от трудовых книжек до военных билетов.

Обновления затронули регулярные выражения для РФ. Другая локальная новинка – в системе появилась база данных русских фамилий для поиска с морфологией, которая позволяет находить фамилии с учетом их словоформ, т.е. в любых склонениях.


Фразовый поиск приобрел две новых разновидности. Можно искать словосочетания в контексте – по комбинации фраз с указанием, какие еще слова/выражения должны быть рядом с искомой фразой в тексте. Или настроить поиск по количеству фраз: тогда можно указать в запросе сразу несколько словосочетаний, а система среагирует только на тексты, в которых упоминаются все или не менее N из них. Использовать эти виды поиска можно в политиках безопасности или вручную в консоли аналитика.

К тому же источников для поиска стало больше. Теперь КИБ индексирует письма MS Outlook в формате TNEF и лучше работает с документами OpenOffice в форматах ODF и OFG. То же касается писем, защищенных шифрованием и/или цифровой подписью по стандарту PGP, – КИБ научился распознавать и анализировать их содержимое. Специалистам по безопасности больше не придется разбираться с ними вручную, все случаи, когда нарушители попытаются передать в них закрытую информацию, автоматически попадут в поле зрения системы.


А для неиндексируемого перехвата (например, данных о посещаемых сайтах или подключаемых устройствах) добавились атрибуты. Например, теперь можно искать снимки MonitorController по фоновому процессу и заголовку открытого окна, а события в перехвате DeviceController – по дате создания, изменения документов на флешках или последнего взаимодействия с ними пользователей. Также можно искать случаи, когда пользователи вводят с клавиатуры спецсимволы или используют служебные клавиши. Это поможет распознать маскировку текста (например, когда через комбинацию «Alt + числовое значение» вводят буквы с диакритическими знаками и из иных алфавитов – πρυβéτ). И обнаружить попытки использовать системные команды для управления компьютером (например, нажатие Pause/Break).

Чтобы использовать это многообразие функций было проще, в AlertCenter увеличили длину сложного поискового запроса. Теперь в каждом подзапросе помещается больше символов и их сочетаний, это позволяет задавать больше условий поиска в рамках одной политики безопасности.

Экономия мощностей

Чтобы КИБ работал быстрее, появились новые опции для экономичного хранения перехвата и распределения нагрузки между компонентами системы при его обработке.

Теперь можно произвольно ограничить количество найденных позиций в документе, чтобы не перегружать базу перехвата. Например, если мы ищем упоминания секретной разработки, а они встречаются в тексте 10 раз, системе необязательно учитывать их все. Если пользователь отправит такой документ нежелательному адресату, КИБ в любом случае сообщит о сливе, а в доказательство сохранит только выдержки с двумя-тремя совпадениями по поисковому запросу. Количество «обязательных» для сохранения совпадений можно задать вручную.

Нагрузку на систему при индексации рабочих станций теперь можно равномерно распределить между несколькими группами индексов. Большие объемы информации с ПК пользователей будут делиться на «порции», каждый индекс из группы будет обрабатывать свою небольшую часть общего потока. Это позволит проводить «инвентаризацию» содержимого пользовательских ПК быстрее. Такое же распределение можно настроить при индексации файловых систем, чтобы обрабатывать хранилища большего объема.

В процессе система покажет загрузку центрального процессора сервера индексации. Это полезно, чтобы отслеживать состояние компонентов системы и оценивать свободные мощности – например, чтобы параллельно запустить мониторинг по политикам безопасности или отказаться от него, если текущая нагрузка на сервер слишком велика.

Онлайн-отчеты

ИБ-специалистам стало удобнее получать сводки о происходящем в компании благодаря новым отчетам в веб-консоли.
В отчете «Количество инцидентов по датам» отображается статистика сработок политик безопасности в заданные периоды. Можно отслеживать динамику инцидентов и анализировать, с какими событиями в жизни компании может быть связан внезапный рост или снижение количества нарушений. Также онлайн можно посмотреть количество инцидентов по пользователям. Детализация удобна, чтобы вовремя выявить заядлых нарушителей и взять их на особый контроль.



Добавилась возможность просмотреть в веб-консоли отчеты по подключаемым устройствам и суммарной активности процессов. Причем в онлайн-версии отчет «Суммарная активность процессов/сайтов» получил привычную детализацию по пользователям, процессам, программам и сайтам. Также сгруппировать результаты можно по годам.  


А отчет о связях пользователей в веб-версии можно кастомизировать даже больше, чем в десктопной. Для графа связей можно задать форму узлов, выбрать цвет для отображения внешних, внутренних связей, обмена информацией по разным каналам. И ранжировать оттенки в зависимости от интенсивности переписки (чем больше сообщений – тем ярче цвет). Специалисты по безопасности получат наглядное представление о кругах общения в коллективе в максимально удобном формате.

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.