В преддверии осеннего RoadShow, которое в этом году пройдет в 25 городах России и стран СНГ, компания SearchInform представила масштабное обновление существующих продуктов, а также анонсировала выход нового продукта — SIEM — SearchInform Event Manager.
Так, возможности AlertCenter — аналитического модуля «Контура информационной безопасности», позволяющего производить автоматический мониторинг перехваченных данных на предмет выявления нарушений политик безопасности — были расширены за счет добавления новой службы синхронизации. Это позволило значительно упростить работу системы при использовании нескольких серверов AlertCenter. Например, изменения параметров политики безопасности (включая критерии поиска, перечень проверки, получатели уведомлений, расписание проверки, списки исключений, регулярные выражения и т.д.) на одном сервере, автоматически переносятся в копию политики на другом (процесс репликации). Другими словами, чтобы поменять параметры для политики на всех серверах, достаточно сменить их на одном. Кроме того, служба синхронизации позволяет создавать разовые копии политик безопасности на других серверах.
Компания продолжила расширять возможности SearchInform Client — модуля, предназначенного для ручного поиска информации при проведении ретроспективных расследований. Новая возможность — детектирование печатей — позволяет распознавать печати в перехваченной документации и производить поиск по ним. В частности, она может использоваться для выявления фактов передачи отсканированной копии подписанного документа с заданными печатями, что позволяет закрыть одну из дыр безопасности. Тем самым, поиск подобных конфиденциальных документов значительно упрощается.
Кроме того, была добавлена возможность поиска по правам доступа к файлам. Данная возможность позволяет отслеживать изменения в правах доступа к определенным файлам. Тем самым, при возникновении инцидента можно отследить не только тех, кто «работал» с файлом, но и тех, кто разрешал к нему доступ.
Недавно в аналитических модулях «Контура информационной безопасности» были расширены возможности поиска по цифровым отпечаткам, которые позволяют выявлять меру схожести для двух произвольных документов. При этом, сравнение происходит не только по «текстовой» части. Релевантность вычисляется как для бинарного содержимого проверяемых файлов, так и для извлеченного текста. Таким образом, можно обнаруживать факт пересылки любых файлов: фотографии или скриншота части карты, исполняемых файлы и т.д.
Обновления коснулись и модуля отчетности — ReportCenter. Модуль пополнился новыми отчётами, среди которых:
- «Промежутки неактивности». Отчет отображает интервалы отсутствия активности пользователей, что позволяет в удобном режиме отметить, часто ли сотрудник отвлекался от работы и сколько длились его «перекуры»;
- «Эффективность пользователей». Отчет отображает обобщенную сводку всего рабочего времени сотрудника за выбранный период, включая график рабочего времени, диаграммы активности пользователя в определенных процессах или на сайтах, а также продуктивное время работы. Особенностью отчета являются категории процессов: «Продуктивный» / «нейтральный» / «непродуктивный». Все они могут редактироваться в зависимости от специфики работы отдела. К примеру, продолжительная работа в Photoshop «продуктивна» для дизайнера, но «непродуктивна» для бухгалтера. Таким образом, с помощью всего одного отчета можно оценить полезность того или иного сотрудника.
- отчет по списку компьютеров, выполнивших вход в домен, но не имеющих агентов. Данный отчет позволяет выявить, подключались ли к рабочим станциям, подключений к которым быть в штатном режиме не должно. Например, это могут быть различные серверы, доступ к которым должен служить тревожным сигналом.