Solar Dozor – что скрывается за звездами?
За время работы с Дозором мы видели всякое. Но неизменно одно – при первой встрече система мало кого оставляет равнодушным. Одна группа клиентов встречает демонстрацию словами: «Ну наконец-то! DLP, где всё просто и наглядно!». Однако они ошибаются. Другая чем-то вроде «Да это игрушка какая-то. Для нас будет недостаточно мощным». Но и они ошибаются. Так что же там, за звёздами?
Как и в предыдущей статье, вопросы технических требований, стабильности и полноты контроля оставим за скобками. Зоопарк ПО, масштабы и задачи у всех разные, а DLP – штука тонкой душевной организации. В итоге, про какого вендора на площади ни крикни, первыми прибегут те, у кого «упало», «тормозило», «не смогло». [И так уж совпало, что мы как раз готовы помочь – «поднять», «ускорить» и «оттюнить». Но это уже совсем другая история.]
Вернёмся к тому, что, как и любая информационная система, Dozor старается балансировать между мощью и простотой. Да так, чтобы обе составляющих выкрутить на максимум. Вот только возможно ли это?
Встречает нас простота – дашборд. Всё красиво, наглядно, в картинках. Дашборд руководителя – вообще сказка – тренды по нарушениям, ТОП нарушителей, оценка нагрузки на команду. Но что за этим стоит, откуда весь этот контент?
1. Рабочий стол (дашборд)
2. Рабочий стол руководителя
В основе всего лежит принцип оперирования информационными объектами. И вот он, момент, где функционал вытесняет наглядность. У нас довольно большая команда и после первого знакомства с системой мы потратили кучу времени, слайдов и фломастеров, чтобы понять, что же здесь творится. Если коротко и упрощая, система при помощи политики, состоящей из правил, оперирующих информационными объектами, заданными критериями с возможностью использования шаблонов, создаёт из сообщений события, имеющие возможность стать инцидентами.
3. На каком ты сейчас уровне?
Немного пугает, правда? Хорошая новость – для работы с системой в этом разбираться не обязательно. По крайней мере, всей команде. Найдите/наймите/арендуйте человека, который это всё настроит. Для всех остальных пусть самолётом управляет магия.
4. Схема выявления критичной информации
Самое главное, что из потока информации система создаёт «события» – уведомления о том, что вероятно что-то не в порядке. А дальше снова красота. У события есть красивая карточка, где кратко описано, кто, что и каким способом натворил. Для простоты карточки ранжируются по критичности и типу действий (снова магия). Остаётся внимательно на неё посмотреть и проверить, правильно ли заклинание сработало.
5. События в системе
В один клик отдаём неправильное нашему чародею на «допил», а правильное фиксируем как инцидент. Зафиксировали? Кричим в соседний кабинет: «Коллеги, примите в работу!». А нет, система просит назначить ответственного. Назначаем – самый ответственный получает уведомление. В итоге у каждого события есть статус, а у каждого инцидента – ответственный. Ничего не потеряли. Статусы система учла и считает те самые тренды. Красота.
На что ещё способна эта магия? Прерывать процесс передачи данных, если они классифицированы как информационный объект. Выдавать предупреждения о потенциальном нарушении (по тому же принципу). Приостанавливать почту в карантин (и сразу же уведомлять об этом на дашборде). Модифицировать письма, убирая критичные объекты. Распределять нарушителей в группы особого контроля.
С основной рутиной разобрались. Дальше – заглянуть в прошлое – поиск. И снова нас встречает красота – простой поиск. Привычными движениями «гуглим» информацию в строке поиска. Не хватает? Переходим в режим расширенного поиска. И снова наглядность нас покидает. Множество доступных для поиска атрибутов – хорошо, но попробуйте сходу отличить «отправитель» от «персона» или «источник» или даже «персона-источник». Так ещё логические операции выполняются в не самом очевидном порядке. Сложно. А вот умный поиск хорош – позволяет найти похожие файлы среди всех коммуникаций – всего пара кнопок, а какой простор для творчества.
6. Умный поиск
Досье. Снова красота. Вся информация по персоне так ещё и вся статистика по нарушениям (снова магия информационных объектов). Граф связей в комплекте, правда, ни красотой, ни мощью не отличается.
7. Пример досье
Отчеты. Выбор, конечно, не богат. Но вот «Тепловая карта коммуникаций» – очень полезная штука. Мало кто сходу сможет сказать, в каких подразделениях какая информация обрабатывается. А зачастую сложно даже определить, где какими каналами коммуникаций пользуются. Вот здесь и поможет тепловая карта. Вся активность выбранной группы сотрудников будет распределена по категориям, а дальше делаем выводы: какие действия норма, а какие – аномалия.
8. Тепловая карта
Полезно на старте настройки, пригодится и в дальнейшей работе. Остальные отчеты скорее для возможности передать коллегам/руководству всё то, что мы сами видим в различных разделах системы.
В итоге.
Там, за звёздами, темно и страшно. Возможно, когда-то красота доберётся и туда. А может это и нереально – сделать сложное совсем уж простым. Но пока вглубь системы рекомендуем отправлять туда только специально обученных людей с запасом жизненно необходимых мануалов.
9. Группа настройки
А вот оставшихся на поверхности ждет одна из самых дружелюбных систем.
Николай Постнов, руководитель направления конфигурирования Блока DLP компании Infosecurity a Softline Company.