DLP SecureTower: как создать статистическое правило

Анастасия Завадская

Менеджер по развитию бизнеса

В этом материале мы вместе рассмотрим последнее правило — статистическое. А еще разберемся, зачем оно нужно, как его создавать и использовать.

Ранее мы рассмотрели:

Как работает статистическое правило?

Статистическое правило — это так называемый счетчик информации: писем, переписок в мессенджерах, отправленных файлов, посещенных сайтов. Правило позволяет уведомлять о сетевых событиях за определенный промежуток времени, количество которых ниже или выше указанного порогового значения.

С помощью таких правил можно отслеживать:

активность пользователей за ПК (время работы/простоя компьютера);
времени начала и завершения работы, продолжительность рабочего дня;
активность в разрезе приложений и сайтов;
количество писем, переписок, звонков, файлов.

Статистические правила очень многофункциональны. Используя их, вы можете контролировать соблюдение трудового распорядка, анализировать загруженность персонала. На основе отчетов по статистическим правилам можно улучшать бизнес-процессы, перераспределять нагрузку между отделами, выявлять сезонные закономерности в работе организации.

В этом кейсе мы рассказали, как в том числе с использованием статистических правил удалось установить факты нарушения трудовой дисциплины в аудиторской компании. Другие остросюжетные кейсы можно найти в этом разделе.

В системе уже предустановлено более 30 статистических правил, распределенных по разным тематикам:

Предустановленные статистические правила в DLP SecureTower

Вы можете активировать правило, а также дублировать его с возможностью внесения дополнительных условий. Или, конечно, создавать свои статистические правила под конкретные задачи.

Дублирование правила безопасности

Как создать статистическое правило?

Рассмотрим создание правила на простом примере: контроль злоупотребления социальными сетями в рабочее время.

Допустим, вы хотите, чтобы DLP сообщала вам, когда сотрудники слишком много активного времени проводят в VK за скроллингом ленты или на YouTube — за просмотром роликов.

Для этого мы создадим статистическое правило.

Начинаем работу в модуле «Политики безопасности».

Консоль пользователя

Выбираем вкладку «Правила». Жмем кнопку «Добавить» и в раскрывающемся списке выбираем пункт «Статистическое».

Создание правила безопасности

Откроется окно создания нового правила.

Вводим название правила и выбираем условия в раскрывающемся списке. В нашем случае это будет «Активность в браузерах».

Создание статистического правила безопасности в DLP

В следующем условии выбираем пункт «В течение дня». При этом у вас есть возможность выбрать произвольный временной интервал, например, с 09:00 до 18:00.

Далее — выбираем значение «Больше» и указываем время, при превышении которого придет уведомление о нарушении сотрудниками трудовой дисциплины. В нашем случае это будет «Более 1 часа».

Затем нам нужно ввести два дополнительных условия:

Web — Домен браузер активности — Содержит — youtube.com

Web —Домен браузер активности — Содержит — vk.com

Не забудьте выбрать логический оператор «Или».

Вы можете добавить любое количество доменов, активное время на которых хотите контролировать (время будет суммироваться по ним). Также обращаем внимание, что учет времени происходит по активным вкладкам браузера и приложений, а вот фоновый режим работы приложений и сайтов в учет активности не попадает.

Во втором условии мы исключим обеденный перерыв. Для этого выбираем условие «Время» и заполняем остальные поля, как указано на изображении:

Время — Вне диапазона — 13:00–14:00

Создание статистического правила безопасности в DLP ST

Чтобы применить правило к уже перехваченным данным, активируем переключатель внизу окна создания правила.

Нужно создать более сложное правило, но не знаете, как? За каждым клиентом Falcongaze мы закрепляем менеджера и технического специалиста, которые обучат работе с системой и помогут настроить правила безопасности.

Что будет дальше?

Теперь система автоматически оповестит вас, если кто-либо из сотрудников проведет более 1 часа активного времени в соцсетях в течение дня. Ну, а что делать с этой информацией — решать только вам.

Учет рабочего времени, безусловно важная задача. Однако, основная задача DLP — предотвращение утечки информации. В разрезе статистического правила советую обратить внимание на условие «Файлы». Оно позволит отслеживать передачу документов по различным каналам.

За 8 лет моей практики клиенты чаще всего сталкивались с утечками по USB, через мессенджеры и электронную почту.

Контроль передачи документов в офисе

В следующем цикле материалов мы рассмотрим, как происходит работа с политиками безопасности: настройка уведомлений, разграничение прав доступа к правилам, цветовые метки, шаблоны поиска, назначение статуса инцидентам и переход в модуль «Активность пользователей» для быстрого расследования инцидента (карточки сотрудников, статистика по активности, взаимосвязи).

До встречи в следующих материалах!