Правило поиска (поисковый запрос) может быть сформировано из комбинации поисковых условий, объединенных логическими связками.

Правило поиска, созданное, как это описано ниже, может использоваться:

• самостоятельно -- "обычный поиск";
• как набор дополнительных условий для поиска по словарю или банку цифровых отпечатков.

Для того, чтобы добавить новое условие поиска:

1. Нажмите Добавить условие.

2. Для выбора типа условия раскройте список с предустановленным значением Текст и следуйте рекомендациям текущей главы.

Поиск по тексту

Поиск документов, содержащих все указанные в запросе слова, отдельную фразу или любые из слов, введенных в поисковом запросе. Возможно также исключение из поиска документов, содержащих указанные слова. В случае ввода в строку нескольких слов они должны разделяться пробелами. Помимо отдельных слов в строку можно вводить заключенные в кавычки словосочетания для поиска точного совпадения фразы.

При поиске по ключевым словам (тексту) можно установить дополнительные параметры поиска, нажав на кнопку справа от поля ввода:

• Нечеткий поиск. Поиск указанных слов, содержащих ошибки (опечатки) в написании. При активации данной опции, с помощью ползунка можно установить степень нечеткости поиска, т.е. степень отличия искомых слов от указанных в строке ввода. Не рекомендуется устанавливать слишком высокое значение нечеткости для коротких слов, т.к. это может привести к большому числу ложных срабатываний правила безопасности.

• Расстояние между словами (применимо только для поиска по всем указанным словам). Поиск всех введенных в строку слов с учетом расстояния между ними. Например, при установке значения «5» правило безопасности будет срабатывать при обнаружении в потоке трафика введенного словосочетания, только если между отдельными словами в нем будет присутствовать не более пяти других слов.

• Соблюдать порядок слов (только при активированной опции Расстояние между словами). При активации данной опции правило безопасности будет срабатывать, только если все указанные слова были обнаружены в том же порядке, в каком они были введены в текстовое поле.

• Транслитерация. Поиск введенного слова (слов) с учетом транслитерации латинскими символами. Например, при вводе в текстовое поле слова «стол» будет также найдено слово «stol».

• Отключить морфологию. Поиск введенного слова (слов) "по точному совпадению" без учета грамматических форм.

Поиск по типам данных (опция Область поиска)

Поиск по информации, отправленной и полученной с помощью электронной почты, поиск по информации в переписках через мессенджеры, по Web (HTTP) трафику, переданным и полученным файлам и прч.

Отмечая соответствующие опции можно ограничить область поиска по доступным в раскрывающемся списке критериям.

Поиск по пользователям

Для ограничения области поиска только данными перехвата сетевой и компьютерной активности определенных пользователей, задайте соответствующие условия поиска:

• Для поиска среди данных пользователей без учета того, распознаны ли они системой в ходе перехвата как локальные или удаленные пользователи, задайте параметр Локальный или удаленный. В противном случае выберите один из параметров Локальный или Удаленный.

• Далее выберите Равно (для анализа трафика конкретного пользователя) или Не равно (для анализа трафика всех пользователей, кроме выбранного) и выберите имя пользователя из списка либо нажмите кнопку Найти пользователя для выбора с учетом расширенной информации о пользователе.

• Для детализации запроса в части привязочной информации, которую следует учитывать во время поиска, нажмите кнопку раскрытия и выберите соответствующие типы идентификаторов пользователя.

Поиск по дате

Для поиска по дате можно задать условия Равно (для анализа трафика только за указанный день), Не равно (для анализа трафика за все дни, кроме указанного), В диапазоне (анализ трафика за указанный период), Вне диапазона (анализ трафика за все время, кроме указанного периода), Последние N дней (анализ трафика за последние N дней начиная от текущей даты).

Поиск по времени, дням недели

Для поиска по времени можно задать условия, аналогичные условиям поиска по датам;

Для поиска по дням недели можно задать условия Равно (анализ трафика только за указанные дни недели) либо Не равно (анализ трафика за все дни недели, кроме указанного) и выбрать нужный день из списка.

Поиск по размеру документа

Для поиска по размеру документа можно задать условия Равно (поиск документов определенного размера), Не равно (поиск документов любых размеров, кроме указанного), В диапазоне (указание нижней и верхней границ размера документа), Вне диапазона (поиск документов любых размеров, кроме соответствующих выбранному диапазону). После указания размера документа в поле ввода необходимо выбрать единицу измерения (байт, килобайт, мегабайт, гигабайт).

Статус документа

В системе SecureTower документам присваиваются различные статусы. Для поиска доступны следующие статусы:

• Шифрован - данные зашифрованы или доступ к информации запрещен (защищенные паролем архивы, документы MS Word, MS Excel);
• Расшифрован - данные были расшифрованы (зашифрованные данные, переданные по протоколу SSL, которые были перехвачены и расшифрованы агентом);
• Поврежден - данные были повреждены (данные, которые были повреждены при пересылке либо изначально);
• Заблокирован - документ был заблокирован ( файлы, передача которых была заблокирована системой в соответствии с правилами блокирования, подробнее см. п. Блокировка данных Руководства системного администратора);

• Документ верхнего уровня - данные были переданы индивидуально, а не в составе родительского документа. Документами верхнего уровня могут являться как документы, включающие в себя дочерние (архивный файл, почтовое сообщение или переписка с вложениями), так и отдельные документы;
• Направление: принят или отправлен - данные были переданы в определенном направлении (исходящие либо принятые пользователем данные).

Для поиска данных по определенному статусу укажите желаемую позицию в списке статусов и выберите условие соответствия перехваченных данных выбранному статусу - Да/Нет. При выборе условия Да система будет генерировать оповещения при обнаружении данных, имеющих соответствующий статус. При условии соответствия статусу Нет, система будет игнорировать данные с указанным статусом при анализе перехваченной информации.

Поиск распознанных данных

Для контроля за трафиком изображений, PDF- или DjVu-документов, содержащих фрагменты текста либо печати, выберите тип условия Распознанное содержимое и укажите желаемое условие:

• Для поиска документов, которые были распознаны, выберите Распознанный текст. Для того, чтобы правило срабатывало при обнаружении текстовых фрагментов в результатах распознавания, установите значение поля Документ содержит распознанный текст в позицию ДА. В противном случае, установите значение НЕТ.

• Для поиска документов, в которых были распознаны определенные печати, выберите Распознанные печати. Для того, чтобы указать образец печати, выберите имя образца в списке либо нажмите кнопку Менеджер печатей и выберите файл с изображением печати на диске. Для поиска всех документов, содержащих изображение любой печати из банка образцов, выберите Любая печать в списке.

Поиск по атрибутам процесса

Для контроля активности процессов необходимо выбрать тип условия Процесс. Доступен контроль по именам процессов, контроль по каталогу, из которого был произведен запуск процесса, а также по заголовку окна приложения.

При поиске по атрибутам процесса можно задать условия Содержит (поиск процесса с определенным атрибутом) либо Не содержит (поиск любых процессов, кроме процесса с указанным атрибутом). Кроме того можно отслеживать факты Запуска, Завершения или Любой активности процессов с указанными атрибутами.

Используйте тип Полный путь к файлу для исключения из результатов поиска процессов обновления разрешенного программного обеспечения или поиска активности процессов, принадлежащих одному семейству программного обеспечения.

В примере на рисунке выше задано условие поиска фактов запуска всех процессов, кроме содержащих в имени ключевое слово "Adobe" , и исключения из результатов поиска данных об активности любого характера процессов обновлений Windows, расположенных по пути: C:\Windows\SoftwareDistribution\Download\Install.

Используйте тип Заголовок окна чтобы отслеживать работу пользователя в приложениях только с определенными документами.

Поиск по регулярному выражению

Система предоставляет возможность поиска по расширенным комбинациям символов. Регулярные выражения можно использовать для поиска определенного типа документов, таких как кредитные карты, электронные письма, почтовые индексы и т.д.

Для того, чтобы выполнить поиск или создать правило безопасности с поиском по регулярному выражению, в раскрывающемся списке поисковых условий выберите Регулярное выражение и в соответствующем поле введите необходимые значения либо выберите один из предустановленных шаблонов регулярных выражений, нажав кнопку рядом с текстовым полем.

Регулярное выражение, включенное в поисковый запрос, должно указываться в кавычках и начинаться с символов ##.

Система поддерживает версию TR1 регулярных выражений. Для получения более подробной информации перейдите по ссылке: http://msdn.microsoft.com/en-us/library/bb982727.aspx

• Ограничения:

1. Регулярное выражение должно включать одно полное слово. Например, поиск по "##app.*ie" не выдаст результат "apple pie".
2. Поиск осуществляется только по буквам. Поиск по символам, которые не индексируются как буквы, не производится даже при использовании регулярных выражений, потому что индекс не содержит информации о них.
3. Так как индекс не хранит информацию о разрывах строк, поиск, включающий критерии регулярного выражения «начало строки» или «конец строки» («^» и «$»), не будет работать.

• Выполнение поиска:

Что касается влияния использования универсального символа «*» в регулярном выражении на скорость поиска, то чем ближе расположено выражение к началу слова, тем сильнее оно влияет на снижение скорости поиска. Поиск по "Appl.*" будет осуществляться приблизительно с такой же скоростью, что и поиск по "Apple", в то время как поиск по ".*pple" будет производиться намного медленнее.

• Поиск по числам:

Поиск с использованием символа «=» производится быстрее, чем с использованием шаблона регулярных выражений «/d». Например, для того, чтобы найти номер социального страхования, можно использовать "=== == ====" вместо эквивалентного регулярного выражения. Обратите внимание на то, что в данном случае не нужно начинать запрос с символов «##».

Поиск по компьютеру

Для поиска данных по атрибутам компьютера, с которого данные были перехвачены, выберите условие Компьютер в списке условий. Вы можете задать компьютер, используя его Имя или SID.

Поиск по домену

Для поиска данных, которые были перехвачены от пользователей либо с компьютеров, входящих в определенный домен, выберите условие Домен в списке.

Вы можете задать условие поиска данных, перехваченных в домене, по имени или по SID домена.

Поиск по IP

Для поиска по IP-адресам и портам можно указать следующие условия: локальный/удаленный IP-адрес или порт, равно/не равно для отдельного значения, в диапазоне/вне диапазона для диапазона значений.

Поиск в Почте

При поиске в почте можно задать следующие условия:

• Отправитель (поиск писем, содержащих или не содержащих указанные выражения в поле «Отправитель»). Доступен ввод нескольких позиций в строке условия через пробел;
• Получатель (поиск писем, содержащих или не содержащих указанные выражения в поле «Получатель»). Доступен ввод нескольких позиций в строке условия через пробел;

• Тема (поиск писем, содержащих или не содержащих указанные выражения в поле «Тема»);
• UserDN (уникальное имя, указанное в ActiveDirectory);
• Прочие параметры в заголовке (поиск почтовых сообщений протокола SMTP, содержащих или не содержащих указанные выражения в полях "MAIL FROM" и "RCPT To" команд протокола);
• Письма с вложениями (поиск писем, содержащих или не содержащих прикрепленных файлов).

Поиск в данных Мессенджеров

При поиске в переписках через мессенджеры можно задать следующие условия:

• Локальный UIN (ник) (поиск переписок, в которых UIN (ник) локального пользователя содержит или не содержит указанное выражение);
• Удаленный UIN (ник) (поиск переписок, в которых UIN (ник) удаленного пользователя содержит или не содержит указанное выражение);
• Локальный пользователь доп. инфо (поиск переписок, в которых указанное выражение содержится или не содержится в полях дополнительной информации о локальном пользователе);
• Удаленный пользователь доп. инфо (поиск переписок, в которых указанное выражение содержится или не содержится в полях дополнительной информации об удаленном пользователе);
• Чаты содержат файлы (поиск переписок, в ходе которых пользователи обменивались или не обменивались файлами);
• Количество сообщений (поиск переписок, содержащих указанное количество сообщений (диапазон).

Поиск в данных Web-перехвата

При поиске в веб-трафике (по протоколу HTTP(S)) можно задать следующие условия:

• Распознанные по шаблону сайты. Для более удобного представления информации, отправленной по протоколу HTTP, в системе SecureTower созданы шаблоны отображения данных. Такие шаблоны существуют для большинства популярных сайтов, через которые пользователи могут обмениваться какой-либо информацией (в виде сообщений, электронных писем, записей и комментариев в блогах, на форумах и т.д.): mail.ru (включая МойМир - my.mail.ru), moikrug.ru, yandex.ru, facebook.com (включая чаты и сообщения), odnoklassniki.ru, vkontakte.ru (vk.com), gmail.com, blogger.com, livejournal.com, mailqip.ru, rambler.ru, hotmail.com, myspase.com, linkedin.com, twitter.com, loveplanet.com, иные форумы (если в адресе есть слово «forum»), веб-мессенджеры и т.д. При создании правила безопасности можно включить в поиск только информацию, отправленную через сайты, для которых существуют или не существуют шаблоны.

• URL. Поиск данных о посещениях веб-страниц и документов, переданных на сайты, в URL которых содержится или не содержится указанное выражение.
• Домен браузер-активности. Поиск информации о посещении через браузер каких-либо сайтов, в доменных именах которых содержится либо не содержится указанное выражение.
• Тип web-коммуникаций. Поиск данных, переданных через web-приложения, в зависимости от выбранного типа:

1. Почта (почтовые сообщения, отправленные и полученные (просмотренные) через почтовые веб-приложения, доступные через браузер);
2. Публикация (публикации в блогах, на форумах и в социальных сетях).

Поиск в данных, переданных на внешние накопители (опция Устройства)

Для осуществления поиска по данным контроля устройств выберите интересующий вид контроля. Для выбора доступны:

• данные, полученные при перехвате отправленных на устройства файлов (тип Файлы с накопителей);
• данные аудита устройств (тип Аудит устройств).

Для осуществления поиска информации по файлам, переданным на внешние накопители, либо по данным аудита необходимо указать хотя бы один из атрибутов устройства. Для получения атрибутов устройств, подключенных к контролируемым рабочим станциям:

1. Запустите Консоль администратора Falcongaze SecureTower.
2. Выберите вкладку Агенты на боковой панели выбора компонент.
3. Выберите вкладку Схема установки агентов.
4. В окне вкладки выберите имя нужного компьютера в списке агентов и скопируйте значение нужного параметра внешнего устройства (если таковое подключено к компьютеру в данный момент), как описано в пункте Отслеживание состояния установленных агентов Руководства системного администратора.
5. Вставьте либо введите значение выбранного параметра в поле ввода. Для получения наиболее релевантных результатов задайте максимальное число известных параметров устройства в условиях поиска.

Поиск в данных перехвата активности принтеров

Для осуществления поиска по данным, которые были перехвачены при отправке документов на печать на сетевые и локальные принтеры, выберите одно из доступных условий:

• Количество страниц в документе. Поиск будет произведен по отправленным на печать документам, количество страниц которых находится в заданном диапазоне.
• Имя принтера. Поиск будет произведен по документам, отправленным на печать на принтер с заданным именем.

Поиск Файлов

Поиск конкретных файлов система может осуществлять по их имени или по расширению:

• при выборе опции поиска по имени файла можно выбрать дополнительное условие – Равно или Не равно – для поиска файлов с конкретным именем либо всех файлов, кроме имеющих указанное имя (имя файла в этом случае указывается в поле ввода справа);

• при выборе опции поиска по расширению файла можно выбрать дополнительные условия: Равно (поиск файлов только с указанным расширением), Не равно (поиск файлов с любыми расширениями, кроме указанного) или Расширение не соответствует типу (поиск файлов, расширение которых было изменено). Расширение файлов указывается в поле ввода справа.

Обратите внимание, что для каждого нового расширения в рамках одного правила создается отдельное поисковое условие, как показано в примере ниже:

Поисковый запрос с произвольным атрибутом

Для поиска документов в базе перехваченных данных SecureTower по произвольным атрибутам используйте соответствующий тип условия поиска. Для выбора типа атрибута и его значения обратитесь в службу технической поддержки Falcongaze SecureTower.

Например, для поиска только данных аудита файлов (исключая сами перехваченные файлы) используйте условие поиска по атрибуту MimeType: docs/fileaudit.

Для поиска графических либо PDF, DjVu - файлов, на которых были распознаны текстовые фрагменты, используйте условие поиска по атрибуту recognized_text.

Для поиска данных, переданных на определенный веб-ресурс(например, depositfiles.com) , используйте условие поиска по атрибуту Host: depositfiles.com, где depositfiles.com - имя интересующего ресурса.

Формирование поискового запроса вручную

Для того, чтобы сформировать произвольный поисковый запрос, выберите Произвольный запрос в списке типов условий. Для составления запроса используйте синтаксис языка поисковых запросов SecureTower.

Для того, чтобы получить информацию о правилах составления запроса обратитесь в службу технической поддержки Falcongaze SecureTower.

Логические операторы поиска

С помощью логических операторов можно уточнить поиск содержимого, создавая более сложные выражения поиска из простых условий и блоков условий. Логические операторы определяют, как несколько условий (блоков условий) поиска должны объединяться в поисковом запросе. Система допускает использование трех видов логических операторов:

• Оператор конъюнкции "И". Если условия объединены по "И", результаты поиска будут содержать только данные, которые удовлетворяют ВСЕМ указанным условиям поиска (блокам условий) одновременно.

• Оператор дизъюнкции "ИЛИ". Если условия объединены логическим "ИЛИ", результаты поиска будут содержать только данные, которые удовлетворяют ЛЮБОМУ из указанных условий поиска (блоков условий).
• Оператор отрицания "Не" применяется к поисковому запроса в целом и применяется для исключения из результатов поиска отдельных данных. Если выбран оператор "Не", результаты поиска будут содержать ВСЕ ДАННЫЕ, КРОМЕ удовлетворяющих заданному поисковому запросу.

Для формирования логических условий поиска выберите нужный оператор в поле Выберите операцию, применяемую к условиям в блоке.

При создании сложного запроса (например, текст, имя первого пользователя и имя второго пользователя) поиск может осуществляться либо с учетом всех этих условий одновременно, либо с учетом одного из перечисленных условий (в соответствии с выбранной операцией «И» либо «ИЛИ», применяемой к данным условиям).

В первом случае служба безопасности получит уведомление только о переписках между указанными пользователями, содержащими слово "привет".

Во втором случае – уведомление о любом виде активности любого из указанных пользователей, а также все документы, в которых встречается указанный текст, если таковые данные были перехвачены.

Для того, чтобы в уведомлении сообщалось о переписке не только между указанными пользователями, но и каждого из них с другими пользователями, необходимо создать комбинированный запрос. Запрос должен содержать одиночное условие поиска по тексту, а блок – условия поиска по именам первого и второго пользователей. Условия блока необходимо объединить операцией «ИЛИ», а сам блок и условие поиска по тексту – операцией «И». Служба безопасности получит уведомление, если найдены данные по одному из указанных пользователей, содержащие указанный текст.

Для того, чтобы исключить из результатов поиска все данные, полученные в результате выполнения запроса из примера выше, необходимо применить к запросу оператор "Не". Служба безопасности получит уведомление о перехвате любых данных, кроме данных, перехваченных от любого из указанных пользователей и содержащих указанный текст.

Операции с условиями поиска

1. Для удаления какого-либо условия нажмите на кнопку удаления, расположенную справа от соответствующего условия.

2. Для того, чтобы добавить блок условий, нажмите Добавить блок. Новые блоки или условия можно также добавлять в состав других блоков и условий.
3. Для объединения всех введенных условий поиска в один блок, нажмите Обрамить блоком. Для разгруппировки объединенных в блок условий нажмите Отменить обрамление.
4. Для перехода к работе с дополнительными операциями нажмите кнопку Инструменты , расположенную справа в строке условия либо блока.

5. Используйте пояснения, приведенные далее для каждой операции:

• Изменение позиции. Позиция условия поиска или блока может быть изменена в пределах родительского блока. Используйте одну из команд меню Изменение позиции для перемещения при составлении поискового запроса.

• Вырезать. Используйте операцию Вырезать для удаления выбранного условия либо блока из тела родительского блока с помещением копии как элемента SecureTower в буфер обмена. После применении данной операции вырезанный элемент доступен для вставки как в текущий запрос, так и другие поисковые запросы в рамках системы.

• Копировать. Используйте операцию Копировать для копирования выбранного условия либо блока условий как элемента SecureTower в буфер обмена. После применении данной операции элемент доступен для операций вставки как в текущий запрос, так и другие поисковые запросы в рамках системы.

• Вставить. Данная операция доступна, если предварительно к условиям либо блокам условий были применены операции Копировать или Вырезать. Используйте операцию Вставить для вставки элемента правила системы SecureTower в родительский блок условий. Содержимое буфера обмена может быть вставлено выше либо ниже выбранного условия в родительском блоке:

1. Для вставки элемента строкой выше выбранного условия либо блока условий, используйте команду Вставить выше.
2. Для вставки элемента строкой ниже выбранного условия либо блока условий, используйте команду Вставить ниже.

• Копировать условия поиска как изображение. При выполнении данной операции в буфер обмена помещается графическое изображение корневого блока условий поиска. Данная операция доступна только для корневого блока условий поиска.

• Сохранить как изображение. Используйте операцию Сохранить условия поиска как изображение для сохранения корневого блока условий поиска в отдельный файл формата PNG. В открывшемся окне выберите место на диске компьютера для сохранения файла с изображением условий поиска и нажмите Сохранить для завершения процесса. Данная операция доступна только для корневого блока условий поиска.