Falcongaze_3
.pdf
2. Создание правила Контроль по словарю
Алгоритм действий
2.1В списке правил Центра обеспечения безопасности выбираем группу Моя группа.
2.2Нажимаем Добавить на панели меню и выбираем пункт
Контроль по словарю.
Рис. 13. Создание правила “Контроль по словарю”.
2.3Вводим название правила Контроль рассылки резюме в окне добавления правила.
2.4Нажимаем кнопку Менеджер словарей.
11
2.4.1На панели команд окна менеджера выбираем Создать словарь.
Рис. 14. Менеджер словарей.
2.4.2Вводим название словаря Мой словарь "Резюме".
Рис. 15. Создание своего словаря.
2.4.3 Открываем файл Словарь Резюме.docx, расположенном на рабочем столе Вашего компьютера в папке Student. Копируем термины, приведенные в файле, и вставляем в поле Слова и выражения, используя сочетание CTRL+V либо команду Paste контекстного меню.
12
2.4.4Нажимаем Создать для сохранения словаря.
2.4.5Выбираем словарь Мой словарь "Резюме" в списке и нажимаем
Выбрать.
Результат: Имя словаря отображается в поле списка Словарь.
Рис. 16. Результат выбора нашего словаря из менеджера словарей.
2.5 Передвигаем ползунок Порог срабатывания на значение 21% (8 слов из 38).
13
2.6Нажимаем ссылку Добавить условие.
Рис. 17. Создание доп. условия и изменение порога срабатывания.
2.7Выбираем условие поиска Область поиска в списке условий. Раскрываем поле с дополнительными параметрами и отменяем выбор областей Мессенджеры и Прочее для осуществления поиска только в почтовых сообщениях и данным, отправленным в Интернет через браузер (электронная почта, посты на формах, соцсетях, веб-формы резюме).
2.8Отмечаем Применить правило ко всем проиндексированным данным и нажимаем OK.
Рис. 18. Правило “Контроль по словарю” создано и обработано.
14
2.9 Дожидаемся завершения обработки правила. Изучаем полученные результаты срабатывания правила.
Рис. 19. Результат срабатывания правила (Порог 8).
Результат: В результате обработки правила обнаружено 20 инцидентов безопасности.
2.10 Выбираем правило по словарю в списке и нажимаем Изменить на панели команд либо выбираем команду в контекстном меню правила. Изменяем порог срабатывания на произвольный, применяем правило ко всем проиндексированным данным и сохраняем изменения. Обратите внимание, как это скажется на результатах срабатывания.
Рис. 20. Изменение порога срабатывания.
15
Рис. 21. Результат после изменения порога срабатывания (Порог 1).
Вывод: Так как мы выбираем минимальное число слов, которое должно содержаться, мы не находим в базе пользователей со всеми словами.
3. Создание статистического правила
Алгоритм действий
3.1Создаем статистическое правило, выбрав соответствующий пункт
вменю Добавить. Вводим название правила Бездействие пользователя в рабочее время.
Рис. 22. Создание статистического правила.
16
Рис. 23. Окно создания статистического правила.
3.2 Устанавливаем следующие значения в полях раздела Тип условия:
●Активность пользователей / Активность пользователей за ПК
Рис. 24. Типы условий при создании статического правила, выбираем «Активность пользователей».
●Произвольный временной интервал: от 9 до 18 час
●Активность >1 часа
17
Рис. 25. Настройка статического правила (Произвольный временной интервал: от 9 до 18 час и Активность больше 1 часа)
3.3В полях раздела Активность: Бездействие > 3 Часов.
Рис. 26. Настройка статического правила (Бездействие больше 3 часов).
3.4Применяем правило ко всем проиндексированным данным.
3.5Нажимаем ОК для сохранения настроек.
18
Рис. 27. Статистическое правило создано и обработано.
3.6 Дважды кликаем по имени правила после завершения обработки и изучаем полученные результаты срабатывания правила.
3.6.1 Для того чтобы развернуть/свернуть уведомление, нажимаем соответствующую кнопку в левом верхнем углу карточки уведомления.
Рис. 28. Разворачивание карточки инцидента.
3.6.2 Переключаемся между закладками в зоне просмотра инцидента для отображения доступных отчетов об активности.
19
Рис. 29. Активность пользователя за компьютером.
Рис. 30. Активность приложений.
20