За время работы с Дозором мы видели всякое. Но неизменно одно – при первой встрече система мало кого оставляет равнодушным. Одна группа клиентов встречает демонстрацию словами: «Ну наконец-то! DLP, где всё просто и наглядно!». Однако они ошибаются. Другая чем-то вроде «Да это игрушка какая-то. Для нас будет недостаточно мощным». Но и они ошибаются. Так что же там, за звёздами?



Как и в предыдущей статье, вопросы технических требований, стабильности и полноты контроля оставим за скобками. Зоопарк ПО, масштабы и задачи у всех разные, а DLP – штука тонкой душевной организации. В итоге, про какого вендора на площади ни крикни, первыми прибегут те, у кого «упало», «тормозило», «не смогло». [И так уж совпало, что мы как раз готовы помочь – «поднять», «ускорить» и «оттюнить». Но это уже совсем другая история.]

Вернёмся к тому, что, как и любая информационная система, Dozor старается балансировать между мощью и простотой. Да так, чтобы обе составляющих выкрутить на максимум. Вот только возможно ли это?

Встречает нас простота – дашборд. Всё красиво, наглядно, в картинках. Дашборд руководителя – вообще сказка – тренды по нарушениям, ТОП нарушителей, оценка нагрузки на команду. Но что за этим стоит, откуда весь этот контент?


1. Рабочий стол (дашборд)


2. Рабочий стол руководителя

В основе всего лежит принцип оперирования информационными объектами. И вот он, момент, где функционал вытесняет наглядность. У нас довольно большая команда и после первого знакомства с системой мы потратили кучу времени, слайдов и фломастеров, чтобы понять, что же здесь творится. Если коротко и упрощая, система при помощи политики, состоящей из правил, оперирующих информационными объектами, заданными критериями с возможностью использования шаблонов, создаёт из сообщений события, имеющие возможность стать инцидентами.


3. На каком ты сейчас уровне?

Немного пугает, правда? Хорошая новость – для работы с системой в этом разбираться не обязательно. По крайней мере, всей команде. Найдите/наймите/арендуйте человека, который это всё настроит. Для всех остальных пусть самолётом управляет магия.


4. Схема выявления критичной информации

Самое главное, что из потока информации система создаёт «события» – уведомления о том, что вероятно что-то не в порядке. А дальше снова красота. У события есть красивая карточка, где кратко описано, кто, что и каким способом натворил. Для простоты карточки ранжируются по критичности и типу действий (снова магия). Остаётся внимательно на неё посмотреть и проверить, правильно ли заклинание сработало.


5. События в системе

В один клик отдаём неправильное нашему чародею на «допил», а правильное фиксируем как инцидент. Зафиксировали? Кричим в соседний кабинет: «Коллеги, примите в работу!». А нет, система просит назначить ответственного. Назначаем – самый ответственный получает уведомление. В итоге у каждого события есть статус, а у каждого инцидента – ответственный. Ничего не потеряли. Статусы система учла и считает те самые тренды. Красота.

На что ещё способна эта магия? Прерывать процесс передачи данных, если они классифицированы как информационный объект. Выдавать предупреждения о потенциальном нарушении (по тому же принципу). Приостанавливать почту в карантин (и сразу же уведомлять об этом на дашборде). Модифицировать письма, убирая критичные объекты. Распределять нарушителей в группы особого контроля.

С основной рутиной разобрались. Дальше – заглянуть в прошлое – поиск. И снова нас встречает красота – простой поиск. Привычными движениями «гуглим» информацию в строке поиска. Не хватает? Переходим в режим расширенного поиска. И снова наглядность нас покидает. Множество доступных для поиска атрибутов – хорошо, но попробуйте сходу отличить «отправитель» от «персона» или «источник» или даже «персона-источник». Так ещё логические операции выполняются в не самом очевидном порядке. Сложно. А вот умный поиск хорош – позволяет найти похожие файлы среди всех коммуникаций – всего пара кнопок, а какой простор для творчества.


6. Умный поиск

Досье. Снова красота. Вся информация по персоне так ещё и вся статистика по нарушениям (снова магия информационных объектов). Граф связей в комплекте, правда, ни красотой, ни мощью не отличается.



7. Пример досье

Отчеты. Выбор, конечно, не богат. Но вот «Тепловая карта коммуникаций» – очень полезная штука. Мало кто сходу сможет сказать, в каких подразделениях какая информация обрабатывается. А зачастую сложно даже определить, где какими каналами коммуникаций пользуются. Вот здесь и поможет тепловая карта. Вся активность выбранной группы сотрудников будет распределена по категориям, а дальше делаем выводы: какие действия норма, а какие – аномалия.


8. Тепловая карта

Полезно на старте настройки, пригодится и в дальнейшей работе. Остальные отчеты скорее для возможности передать коллегам/руководству всё то, что мы сами видим в различных разделах системы.

В итоге.

Там, за звёздами, темно и страшно. Возможно, когда-то красота доберётся и туда. А может это и нереально – сделать сложное совсем уж простым. Но пока вглубь системы рекомендуем отправлять туда только специально обученных людей с запасом жизненно необходимых мануалов.


9. Группа настройки

А вот оставшихся на поверхности ждет одна из самых дружелюбных систем.

Николай Постнов, руководитель направления конфигурирования Блока DLP компании Infosecurity a Softline Company.