Журнал "Information Security/ Информационная безопасность" #3, 2024

специалиста сбор информации и помогает ему сконцентрироваться на проведении расследований и принятии решений. Центр расследований работает по прин- ципу одного окна. Данные собираются разными специализированными инстру- ментами (InfoWatch Vision, InfoWatch Activity Monitor, InfoWatch Data Discovery, InfoWatch Prediction) в единую консоль. Специалист ИБ в несколько кликов может формировать интересующий его срез данных и сразу получать результат. Все это – без необходимости переключаться между инструментами и сопоставлять данные вручную. Этот принцип работы позволяет сократить время на каждом этапе расследования, так что ИБ-спе- циалисты могут сосредоточиться на ана- лизе информации и принятии решений, а не тратить время на поиск и сбор дан- ных из разных источников. Интерфейс Центра расследований интуитивно понятен и легко адаптируется под конкретные задачи пользователей. Независимо от сложности и масштаба инцидента, специалисты могут быстро оценить ситуацию, построить цепочку событий и выработать стратегию реаги- рования, а также отслеживать цифровой след сотрудника, анализировать его и при необходимости действовать на опережение. При этом каждый шаг в про- цессе расследования проанализирован и задокументирован, что минимизирует риски и повышает точность выводов. Интеграция с различными системами и отслеживание аномалий в режиме реального времени обеспечивают непре- рывный контроль и возможность мгно- венно приступить к решению проблемы. Концепция Центра расследования InfoWatch 1. DLP-система InfoWatch Traffic Monitor контролирует все необходимые каналы коммуникаций и точно детектирует кон- фиденциальную информацию. 2. InfoWatch Activity Monitor помогает отслеживать действия сотрудников за ПК. 3. DCAP-возможности позволяют про- водить аудит файлов, прав доступа и исправлять проблемы. 4. Модуль BI-аналитики InfoWatch Vision позволяет кратно ускорить анализ коммуникаций. 5. Поведенческая аналитика InfoWatch Prediction автоматически оповещает спе- циалиста ИБ о потенциально опасном поведении сотрудников. Как Центр расследований InfoWatch сокращает время от обнаружения нарушения до принятия решения? 1. Объединяет события DLP, данные о действиях сотрудников, хранении и доступе к файлам, визуальную анали- тику и оповещение о грядущих рисках в едином информационном пространстве. 2. Единая консоль обеспечивает рабо- ту с необходимыми данными в режиме одного окна. 3. Единый фильтр и интерактивный интерфейс позволяют бесшовно сколь- зить между разными срезами данных и при этом сохранять контекст расследо- вания и фокус на важных деталях. Можно сопоставлять информацию из нескольких подсистем и быстро интерпретировать данные для принятия решений. 4. Возможна настройка нужного коли- чества рабочих панелей под каждую утилитарную задачу. Так, обнаружение инцидентов и контроль сотрудников можно проводить без лишних настроек фильтра и без формиро- ваний отчетов. 5. Отчет о расследова- нии можно формировать по ходу сбора обстоя- тельств во встроенном блокноте. Например, события DLP попадают в отчет о расследовании по клику. Пример расследования в едином информационном пространстве Специалист ИБ обратил внимание на инцидент на дашборде для ежедневного мониторинга и добавил связанные собы- тия в расследование. Затем переклю- чился в раздел "Мониторинг" и без пере- настройки фильтра оценил действия сотрудника до, во время и после инци- дента. Находясь в том же контексте, он перешел в раздел "Аналитика" и на графе связей посмотрел круг общения сотрудника, чтобы найти всех задей- ствованных в инциденте, а в разделе "Риски" увидел, в какие группы риска входят эти сотрудники. Все файлы, кото- рые хранятся на ПК сотрудника, нахо- дятся в разделе "Хранение файлов". Вся собранная информация аккумулирована в форме досье в разделе "Персоны". Оформление расследования происходит без перехода в сторонние текстовые редакторы в разделе "Расследования". Осталось одним кликом выгрузить отчет. Гибкие настройки рабочих панелей и прав доступа позволяют эффективно интегрировать результаты работы ИБ с другими подразделениями компании, не снижая уровень безопасности. Важно, что дашборды можно настроить в зави- симости от конкретной роли в организа- ции и выполняемых задач, при этом каждый специалист видит только свою зону ответственности и доступные ему данные. l • 31 DLP+DCAP www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ INFOWATCH см. стр. 70 NM Реклама Фото: InfoWatch