Настройка уведомлений о нарушениях политик безопасности в DLP SecureTower
План статьи
В прошлых материалах мы рассматривали, какие группы правил безопасности можно создавать в DLP SecureTower. Освежить их в памяти можно тут:
- правило контроля по словарю;
- обычное правило;
- правило контроля по цифровым отпечаткам;
- правило контроля по банкам хешей;
- статистическое правило.
Перейдем к главному
Есть простые нарушения — они не требуют мгновенной реакции. Опоздал кто-то на работу, пролистал соцсети, посмотрел горящие туры — не критично.
А есть инциденты, где каждая минута промедления может привести к утечке коммерческой тайны или персональных данных.
Поэтому главное — узнать об этом вовремя и как можно быстрее принять меры.
Уведомления о нарушениях можно получать в реальном времени прямо из системы. Они всплывают в правом нижнем углу рабочего стола. Но это превращает специалиста по безопасности в «заложника монитора»: нужно сидеть и ждать, пока система снова подаст сигнал.
Именно поэтому DLP SecureTower умеет уведомлять о критичных событиях разными способами. Как именно это работает и сколько каналов оповещения доступно — читаем дальше.
Где можно получать уведомления о сработке правил?
На дату публикации этой статьи в SecureTower доступны три канала для быстрого оповещения о нарушениях:
- электронная почта;
- Telegram;
- Syslog.
При этом мы постоянно работаем над расширением возможностей системы и обязательно прислушиваемся к потребностям клиентов.
Как настроить?
Чаще всего работа с рассылкой уведомлений начинается во вкладке «Настройки уведомлений» при создании или редактировании правила безопасности или группы правил.
Чтобы добавить уведомления, нажмите «Добавить» на панели инструментов и выберите удобный для вас канал.
Если вы выбрали электронную почту…
В окне «Настройки адресов электронной почты» введите почтовые адреса для рассылки и, при необходимости, добавьте описание.
Затем выберите пользователя, права которого будут учтены при формировании списка инцидентов — если в системе включена авторизация.
Нажмите «Сохранить» — и ожидайте уведомления о сработке правил на указанные адреса.
Создавайте готовые списки почтовых адресов — это удобно
В системе можно заранее создать списки адресов электронной почты и загружать их при настройке нового правила. Это экономит время специалиста и снижает риск ошибок при формировании списка получателей уведомлений.
Что еще можно настроить?
Выберите предпочтительную форму отчета:
- Краткий отчет (без перечня документов) — список правил безопасности, которые сработали в системе, с указанием количества, но без описания.
- Полный отчет (без вложений) — список правил с перечнем уведомлений по всем инцидентам. Заголовки уведомлений — интерактивные ссылки на детальную информацию по инциденту в Консоли пользователя. (Опция выбрана по умолчанию.)
- Полный отчет с вложениями — детальная информация по каждому инциденту без необходимости запускать SecureTower.
Если вы выбрали Telegram…
Для настройки такого типа оповещений сперва придется поработать в Консоли администратора и самом Telegram.
Сначала нужно по инструкции настроить Telegram-бота.
Инструкция по настройке Telegram-бота:
1. Откройте Telegram и войдите в учетную запись.
2. В поле поиска введите @BotFather.
3. Перейдите к контакту BotFather — это бот для создания других ботов.
4. В диалоговом окне нажмите кнопку Меню и выберите команду /newbot, либо введите ее вручную.
5. Введите желаемое имя бота — любое, по вашему выбору.
6. После этого создание бота будет завершено.
На вкладке «Общие настройки» в поле Токен бота Telegram вставьте ранее скопированный токен. Введите имя и описание (при необходимости). На вкладке «Настройки авторизации» можно задать запрос пароля при каждой авторизации.
На заметку! За каждым клиентом закрепляется менеджер и технический специалист, которые помогут обучиться работе с системой и настроить ее под задачи безопасности — в том числе и систему быстрых оповещений.
Следующий шаг — вернитесь в Telegram и перейдите по ссылке из сообщения.
В диалоговом окне с ботом нажмите «СТАРТ» или введите команду /start.
Бот предложит ввести личные данные и номер телефона. После отправки информации придет сообщение, что заявка принята и ожидает одобрения администратора.
Одобрите ее в Консоли администратора.
Готово!
Теперь при создании или редактировании правила безопасности вы можете выбрать этого Telegram-пользователя — и он будет получать оповещения о нарушениях в любом месте и в любое время, если у него под рукой телефон.
Если вы выбрали Syslog…
Чтобы настроить новое Syslog-подключение, в области «Настройка Syslog-подключений» модуля Сервер уведомлений нажмите «Добавить».
В открывшемся окне «Настройка Syslog-подключения» введите адрес или имя подключения и, при необходимости, добавьте описание.
Затем выберите протокол передачи данных — UDP или TCP.
Нажмите «Сохранить» — и готово!
Обращаем внимание, что в новой версии SecureTower реализовано гибкое разделение прав доступа к политикам безопасности.
Кроме прав доступа ко всему модулю теперь можно настроить права для каждого правила или группы правил. Эта настройка особенно актуальна, если систему используют несколько специалистов, каждый со своей зоной ответственности. Выберите пользователя или группу пользователей и укажите для них права. Каждый специалист по безопасности будет видеть только те правила и те инциденты, для просмотра которых у него есть права.
Что делать в случае, если мы создали политики, настроили оповещение, но специалист не смог в силу объективных причин вовремя обработать инцидент?
В SecureTower реализована возможность настройки автоматических действий для тех случаев, когда инцидент в системе не обрабатывается в течение определенного времени:
1. Включите переключатель «Изменять статус инцидента через.
2. Введите число и выберите единицы измерения времени из выпадающего списка: минуты, часы или дни.
3. В поле «Устанавливаемый статус» выберите статус, который будет получать инцидент по истечении времени, которое вы выбрали в п.2. По умолчанию это статус «Расследование инцидента отложено».
4. При необходимости включите переключатель «Назначать другое ответственное лицо инциденту при превышении времени обработки».
Заключение
Мы научим вас идеально настраивать уведомления — и SecureTower будет отправлять их мгновенно. Разработайте понятный план реагирования на ИБ-инциденты, заблаговременно настройте блокировку нежелательных операций, распределите роли — и даже серьезный инцидент не застанет вас врасплох.
.jpg)
