Руководство пользователя
Орлан версии 1.6.25
АО "Инновации Безопасности", 2026
Все права собственности и авторские права на программу (в том числе любые включенные в нее управляющие программы (applets), компоненты ActiveX, библиотеки), сопровождающие ее печатные материалы и любые копии программы принадлежат Автору (АО "Инновации Безопасности"). Все права Автора на программу защищены законами и международными соглашениями об авторских правах, а также другими законами и договорами, регулирующими отношения авторского права. Следовательно, с программой необходимо обращаться, как с любым другим объектом авторского права. Копирование сопровождающих программу печатных материалов запрещено.
Содержание
1. Введение
1.1. Назначение системы
1.2. Терминология
1.3. Целевая аудитория
1.4. Помощь
2. Начало работы
2.1. Вход в систему
2.2. Основные разделы:
2.3. Смена пароля и выход из системы
2.4. Онлайн-помощь
3. Раздел «Рабочая область»
3.1. Левая часть Рабочей области
3.2. Правая часть Рабочей области
4. Раздел «Отчеты»
4.1. Закладка «Отчеты»
4.2. Закладка «Мои отчеты»
4.3. Закладка «Результаты»
4.4. Закладка «Подписки»
5. Раздел «Инциденты»
6. Раздел «Журналы»
6.1. Закладка «Журналы»
6.2. Закладка «Мои журналы»
6.3. Закладка «Подписки»
7. Раздел «Настройки пользователя»
7.1. Закладка «Правила классификации»
7.2. Закладка «Справочники»
7.3. Закладка «Анализ файлов»
7.4. Закладка «Поиск похожих файлов»
7.5. Закладка «Полнотекстовый поиск»
7.6. Закладка «Инциденты»
7.7. Закладка «Поведенческий анализ»
7.8. Закладка «Категории УЗ»
7.9. Закладка «Метки»
7.10. Закладка «Владельцы данных»
7.11. Закладка «Шаблоны сообщений»
7.12. Закладка «Глобальные группы»
7.13. Закладка «Группы объектов»
7.14. Закладка «Обнаружение сетевых папок»
7.15. Закладка «Настройки отчетов»
7.16. Закладка «Восстановление журналов из архивов»
8. Раздел «О программе»
1. Введение
1.1. Назначение системы
1.2. Терминология
1.3. Целевая аудитория
1.4. Помощь
2. Начало работы
2.1. Вход в систему
2.2. Основные разделы:
2.3. Смена пароля и выход из системы
2.4. Онлайн-помощь
3. Раздел «Рабочая область»
3.1. Левая часть Рабочей области
3.2. Правая часть Рабочей области
4. Раздел «Отчеты»
4.1. Закладка «Отчеты»
4.2. Закладка «Мои отчеты»
4.3. Закладка «Результаты»
4.4. Закладка «Подписки»
5. Раздел «Инциденты»
6. Раздел «Журналы»
6.1. Закладка «Журналы»
6.2. Закладка «Мои журналы»
6.3. Закладка «Подписки»
7. Раздел «Настройки пользователя»
7.1. Закладка «Правила классификации»
7.2. Закладка «Справочники»
7.3. Закладка «Анализ файлов»
7.4. Закладка «Поиск похожих файлов»
7.5. Закладка «Полнотекстовый поиск»
7.6. Закладка «Инциденты»
7.7. Закладка «Поведенческий анализ»
7.8. Закладка «Категории УЗ»
7.9. Закладка «Метки»
7.10. Закладка «Владельцы данных»
7.11. Закладка «Шаблоны сообщений»
7.12. Закладка «Глобальные группы»
7.13. Закладка «Группы объектов»
7.14. Закладка «Обнаружение сетевых папок»
7.15. Закладка «Настройки отчетов»
7.16. Закладка «Восстановление журналов из архивов»
8. Раздел «О программе»
Орлан версии 1.6.25
АО "Инновации Безопасности", 2026
Все права собственности и авторские права на программу (в том числе любые включенные в нее управляющие программы (applets), компоненты ActiveX, библиотеки), сопровождающие ее печатные материалы и любые копии программы принадлежат Автору (АО "Инновации Безопасности"). Все права Автора на программу защищены законами и международными соглашениями об авторских правах, а также другими законами и договорами, регулирующими отношения авторского права. Следовательно, с программой необходимо обращаться, как с любым другим объектом авторского права. Копирование сопровождающих программу печатных материалов запрещено.
Содержание
1. Введение
1.1. Назначение системы
1.2. Терминология
1.3. Целевая аудитория
1.4. Помощь
2. Начало работы
2.1. Вход в систему
2.2. Основные разделы:
2.3. Смена пароля и выход из системы
2.4. Онлайн-помощь
3. Раздел «Рабочая область»
3.1. Левая часть Рабочей области
3.2. Правая часть Рабочей области
4. Раздел «Отчеты»
4.1. Закладка «Отчеты»
4.2. Закладка «Мои отчеты»
4.3. Закладка «Результаты»
4.4. Закладка «Подписки»
5. Раздел «Инциденты»
6. Раздел «Журналы»
6.1. Закладка «Журналы»
6.2. Закладка «Мои журналы»
6.3. Закладка «Подписки»
7. Раздел «Настройки пользователя»
7.1. Закладка «Правила классификации»
7.2. Закладка «Справочники»
7.3. Закладка «Анализ файлов»
7.4. Закладка «Поиск похожих файлов»
7.5. Закладка «Полнотекстовый поиск»
7.6. Закладка «Инциденты»
7.7. Закладка «Поведенческий анализ»
7.8. Закладка «Категории УЗ»
7.9. Закладка «Метки»
7.10. Закладка «Владельцы данных»
7.11. Закладка «Шаблоны сообщений»
7.12. Закладка «Глобальные группы»
7.13. Закладка «Группы объектов»
7.14. Закладка «Обнаружение сетевых папок»
7.15. Закладка «Настройки отчетов»
7.16. Закладка «Восстановление журналов из архивов»
8. Раздел «О программе»
1. Введение
1.1. Назначение системы
1.2. Терминология
1.3. Целевая аудитория
1.4. Помощь
2. Начало работы
2.1. Вход в систему
2.2. Основные разделы:
2.3. Смена пароля и выход из системы
2.4. Онлайн-помощь
3. Раздел «Рабочая область»
3.1. Левая часть Рабочей области
3.2. Правая часть Рабочей области
4. Раздел «Отчеты»
4.1. Закладка «Отчеты»
4.2. Закладка «Мои отчеты»
4.3. Закладка «Результаты»
4.4. Закладка «Подписки»
5. Раздел «Инциденты»
6. Раздел «Журналы»
6.1. Закладка «Журналы»
6.2. Закладка «Мои журналы»
6.3. Закладка «Подписки»
7. Раздел «Настройки пользователя»
7.1. Закладка «Правила классификации»
7.2. Закладка «Справочники»
7.3. Закладка «Анализ файлов»
7.4. Закладка «Поиск похожих файлов»
7.5. Закладка «Полнотекстовый поиск»
7.6. Закладка «Инциденты»
7.7. Закладка «Поведенческий анализ»
7.8. Закладка «Категории УЗ»
7.9. Закладка «Метки»
7.10. Закладка «Владельцы данных»
7.11. Закладка «Шаблоны сообщений»
7.12. Закладка «Глобальные группы»
7.13. Закладка «Группы объектов»
7.14. Закладка «Обнаружение сетевых папок»
7.15. Закладка «Настройки отчетов»
7.16. Закладка «Восстановление журналов из архивов»
8. Раздел «О программе»
Руководство пользователя
программного обеспечения «Орлан.DCAP»
1. Введение
1.1. Назначение системы
Назначение программного обеспечения «Орлан.DCAP» (далее – ПО «Орлан»): контроль прав доступа пользователей, контроль размещения конфиденциальных данных, расследование действий сотрудников, оповещение об аномальной активности, поиск дубликатов файлов, и другие задачи.
1.2. Терминология
Для целей настоящего Руководства, термином «пользователь» будет обозначаться сотрудник компании, где установлено ПО «Орлан». Сотрудник работает с неструктурированными данными, расположенными на платформах, контролируемых с помощью ПО «Орлан». С этой точки зрения, например, администратор домена или служебная учётная запись, из-под которой выполняется автоматизированный процесс, тоже является «пользователем» в терминах данного документа.
Термином «Оператор» будет обозначаться сотрудник, работающий в графическом интерфейсе пользователя ПО «Орлан», и выполняющий задачи, для решения которых предназначено ПО «Орлан».
Под термином «платформа» понимается система, которая контролируется с помощью ПО «Орлан», например, файловый сервер Windows, система файлового хранения NetApp NAS, каталог пользователей, или почтовая система.
1.3. Целевая аудитория
Этот документ предназначен для сотрудников компании-заказчика («операторов»), работающих в графическом интерфейсе ПО «Орлан» на регулярной основе, для решения своих повседневных задач в области информационной безопасности и информационных технологий.
1.4. Помощь
Если у вас есть вопросы, связанные с эксплуатацией ПО «Орлан», а также замечания и предложения по документации, вы можете связаться с производителем по адресу:
support@orlansec.ru
2. Начало работы
2.1. Вход в систему
Для входа в графический веб-интерфейс ПО «Орлан», оператор должен быть заранее добавлен администратором ПО «Орлан» в список пользователей ПО, а также оператору должна быть назначена роль с полномочиями, достаточными для решения служебных задач оператора.
Если у вас, как у оператора, имеется роль для работы с ПО, запустите поддерживаемый браузер (обозреватель), и введите адрес графического интерфейса пользователя. Адрес можно получить у администратора ПО.
Появится страница аутентификации. Введите имя пользователя и пароль. Если имя пользователя «локальное» (не в домене) – то вводится только имя пользователя. Если используется доменное имя пользователя, то оно вводится в формате логин@домен.полный или домен.полный\логин, например, user7324@corp.lan Для уточнения имени входа, или при возникновении проблем со входом в интерфейс, обратитесь к администратору ПО «Орлан».
После успешной аутентификации, в интерфейсе появится главное меню (слева), в котором будут отображены основные функциональные разделы ПО «Орлан». Если меню не видно на экране, то надо нажать на три горизонтальных черты в верхнем левом углу интерфейса. Конкретный список отображаемых разделов зависит от набора привилегий, которые активны для роли оператора, зашедшего в интерфейс.
2.2. Основные разделы:
Раздел «Рабочая область» - для интерактивной работы с правами доступа, результатами классификации, метками, бизнес-владельцами, эталонными правами, для анализа и просмотра файлов. Одновременно отображаются все подключенные ресурсы (разрешенные ролевой моделью).
Раздел «Отчеты» - для получения в табличном виде требуемой информации, с использованием расширенной фильтрации, в интерактивном режиме и в режиме подписки (по расписанию).
Раздел «Инциденты» - для просмотра срабатываний оповещений в реальном времени, а также срабатываний подсистемы поведенческого анализа пользователей. Имеется базовый рабочий процесс для инцидентов.
Раздел «Настройки пользователя» - содержит настройки, связанные с решением служебных задач.
Раздел «О программе» содержит информацию о версии ПО «Орлан» и об установленной лицензии. Также в этом разделе могут отображаться лицензионные счётчики (суммарное число пользователей, общий объем контролируемых данных). Лицензионные данные могут не отображаться в демонстрационных версиях.
2.3. Смена пароля и выход из системы
Имя пользователя, вошедшего в систему, отображается в верхнем правом углу интерфейса. При клике мышью на имя пользователя, появляется возможность сменить локальный пароль (если пользователь аутентифицировался не через домен), а также возможность выйти из системы. Кроме того, текущий пользователь будет автоматически выведен из системы после периода неактивности, заданного администратором ПО «Орлан».
2.4. Онлайн-помощь
В некоторых сборках ПО присутствует онлайн-помощь, доступная через знак вопроса в верхнем правом углу интерфейса. При клике мышью на знак вопроса откроется страница онлайн-помощи.
Далее приведено подробное описание разделов главного меню (расположено слева на экране).
3. Раздел «Рабочая область»
Раздел «Рабочая область» предназначен для решения следующих задач:
- просмотр дерева контролируемых ресурсов;
- интерактивный просмотр прав доступа к тому или иному объекту (список пользователей и групп, имеющих доступ);
- интерактивный просмотр прав доступа пользователя или группы к объектам (дерево объектов, к которым пользователь или группа имеют доступ);
- интерактивный просмотр результатов работы полнотекстового классификатора;
- интерактивный просмотр меток, установленных на папках, на пользователях и на группах;
- возможность задания меток для папок, пользователей и групп;
- возможность задания эталонных прав доступа для папок;
- возможность задания «владельцев данных» (бизнес-владельцев) для папок;
- возможность анализа результатов классификации с подсветкой срабатываний в тексте, непосредственно с файлового или почтового ресурса (или портала);
- возможность просмотра содержимого документов, непосредственно с файлового или почтового ресурса (или портала).
3.1. Левая часть Рабочей области
В левой части Рабочей области представлены контролируемые ресурсы – файловые серверы, устройства NAS, каталоги пользователей, почтовые системы, порталы документов. Для раскрытия уровня необходимо кликнуть на значок «плюс» в дереве ресурсов.
В дереве ресурсов отображаются 4 колонки. В колонке «Имя» отображается собственно дерево, имена объектов (папок, файлов, OU, библиотек документов, почтовых ящиков, бакетов S3, проектов Jira, и т.д.) В колонке «Размер» отображается размер данной папки вместе с подпапками (только для файловых и почтовых серверов). В колонке «Классификация (правила)» отображаются сокращенные названия правил классификации, с указанием числа срабатываний правила в папке плюс по всех подпапках. В колонке «Классификация (категории)» отображаются сокращенные названия категорий классификации, с указанием суммарного числа срабатываний всех правил из данной категории в папке плюс по всех подпапках.
3.2. Правая часть Рабочей области
Правая часть Рабочей области предназначена для отображения пользователей, групп и компьютеров. Правая часть может работать в двух режимах отображения: «список пользователей», или «права доступа».
Режим «список пользователей» - исходный режим, предназначен для отображения списка субъектов безопасности (пользователей, групп и компьютеров) из подключенных (контролируемых) доменов. В этом режиме, для каждого субъекта в списке отображаются имя, имя входа (логин), домен, электронная почта, а также полный путь в домене (DN).
Все группы, имеющие членов, кроме глобальных групп, можно раскрыть кликом на значок «плюс», и тогда будут отображаться члены групп.
Режим «права доступа» в правой части Рабочей области активируется при клике мышью на объект в левой части рабочей области, для которого ПО «Орлан» отсканировало права доступа. В этом случае, в правой части Рабочей области отображается содержимое списка контроля доступа для объекта, который был кликнут мышью в левой части. Наверху отображается текст «Права для…» и выводится путь к объекту, к которому относится выводимый ниже список контроля доступа. Ниже отображаются следующие колонки:
- «Отображаемое имя» (имя субъекта безопасности),
- «Логин» (имя входа),
- «Домен» (тот домен, из которого данный субъект безопасности),
- «Доступ» (права доступа субъекта, специфичные для конкретной платформы, например, RXL или «Чтение свойств»),
- «Эл. почта» (если у объекта заполнен этот атрибут, то он будет отображаться),
- «DN» (полный путь в домене, либо указание на то, что данный субъект безопасности не является доменным, а относится к локальным пользователям и группам на каком-то конкретном хосте).
В колонке «Отображаемое имя» перечислены пользователи, группы и компьютеры, которые физически присутствуют в списке контроля доступа (в дескрипторе безопасности). Если группы имеют какие-либо дочерние объекты, то такая группа будет сопровождаться значком «плюс». При клике на «плюс», членство в группах раскрывается, показывая вложенные объекты, то же самое верно и для вложенных групп.
Имеется возможность вернуться из режима отображения «Права доступа» в режим отображения «Список пользователей», кликнув на кнопку «Показать все объекты» в верхней части экрана.
Вне зависимости от того, в каком режиме отображения находится правая половина Рабочей области, при клике мышью в правой части по пользователю, группе или компьютеру, в левой части папки и другие объекты станут отображаться зеленым цветом (если у субъекта есть доступ), либо серым цветом (если у субъекта нет доступа). Кроме того, в левой части появятся дополнительные колонки, в частности, «Права», в которых будут отображаться права доступа субъекта к данному объекту, например, к папке.
4. Раздел «Отчеты»
В разделе «Отчеты» содержатся отчёты, которые были добавлены производителем ПО «Орлан».
На закладке «Отчёты» содержатся функционально сгруппированные отчёты в их исходном виде, то есть либо вообще без фильтров, либо с фильтрами, установленными в значения по умолчанию.
На закладке «Мои отчёты» содержатся отчёты, которые были когда-либо сохранены текущим оператором ПО.
На закладке «Результаты» хранятся отчёты, которые запускались за последнее время. Сохраняются как настройки отчёта, так и сами результаты.
На закладке «Подписки» доступны подписки (расписания и настройки для автоматического выполнения отчётов с заданной периодичностью).
Дополнительно, для удобства оператора, при создании и редактировании отчётов, при редактировании подписок, и при просмотре результатов выполнения, ПО «Орлан» открывает отдельные дополнительные закладки правее основных четырёх закладок, перечисленных выше. Дополнительные закладки можно закрыть крестиком, расположенным на закладке.
4.1. Закладка «Отчеты»
Закладка содержит отчёты, подготовленные производителем ПО «Орлан». Отчеты сгруппированы по логическим группам в соответствии с решаемыми задачами. Доступность для текущего оператора тех или иных отчётов может быть ограничена ролевой моделью и установленной лицензией.
В колонке «Название» отображается название отчёта. Название является кликабельным. При клике на название отчёта открывается форма, в которой можно отредактировать параметры отчёта перед запуском, сохранить отчёт под другим именем в «Мои отчёты», или создать подписку, выполняемую по расписанию.
В колонке «Шаблон» отображается исходный шаблон, на основе которого был создан тот или иной отчёт.
В колонке «Описание» приведено краткое описание отчёта и решаемой с его помощью задачи.
Для работы с отчетом, кликните его название. Окно управления отчётом откроется в дополнительной закладке. Практически каждый отчёт имеет 4 основных секции: «Параметры отчета», «Отображение», элементы управления отчётом, и область вывода.
В секции «Параметры» расположены фильтры, некоторые из них работают примерно одинаково для всех отчётах, а другие являются специфичными для конкретных отчётов. Наиболее распространенными фильтрами являются:
- фильтр по папке,
- фильтр по пользователю / группе,
- фильтры по исключенным пользователям и группам,
- фильтры по членам группы,
- фильтры по правам доступа,
- фильтр по дате (по датам),
- фильтры по домену или по файловому серверу.
В секции «Отображение» задаются следующие параметры:
- «Максимальное число строк» - задает сколько строк будет в отчёте.
- «Отображаемые столбцы» - задает список столбцов и их порядок вывода.
- «Группировать по» - задает порядок группировки при выводе результатов.
- «Сортировать по» - задает порядок сортировки при выводе результатов.
В секции элементов управления отчётом представлены кнопки:
- Кнопка «Запустить» - запускает отчёт на выполнение с текущими фильтрами и настройками отображения. Прервать выполнение отчёта можно кнопкой «Прервать».
- Кнопка «Сохранить» - позволяет сохранить текущий набор фильтров и настроек отображения под новым именем в раздел «Мои отчёты».
- Кнопка «Создать подписку» - выполняет одновременно два действия: сохраняет набор фильтров и колонок в «Мои отчёты» под новым именем, создаёт подписку (с тем же именем, что и сохранённый отчёт), и «привязывает» подписку к сохраненному отчёту.
Настройка «Формат» задаёт, в каком формате будут рассылаться (или выгружаться в папку) отчёты.
Блок настроек «Расписание» задаёт время запуска в настройке «Следующий запуск» (время либо единственного запуска, если не отмечена опция «Повторять каждые:», либо первого запуска, если эта опция отмечена). Также задаётся периодичность повторных запусков, если соответствующая опция отмечена. Периодичность отсчитывается от времени первого запуска, указанного в настройках «Следующий запуск».
- Кнопка «Экспорт» доступна по завершении выполнения отчета, и позволяет вручную (интерактивно) выгрузить построенный отчёт в требуемом формате.
В секции вывода отображается либо построенный отчёт, либо сообщение об ошибке, если отчёт по каким-либо причинам не удалось построить. В правой части экрана отображается общее число строк построенного отчёта (значение «Всего:»)
4.2. Закладка «Мои отчеты»
На данной закладке отображается список отчётов, которые были ранее сохранены операторами ПО «Орлан» (с подписками и без подписок).
Список сохранённых отчётов в «Моих отчётах» организован иерархически, таким же образом, как исходные, «заводские» отчёты.
Для доступа к сохранённому отчёту необходимо кликнуть его название. Откроется дополнительная закладка с отчётом. Все фильтры, набор отображаемых столбцов, максимальное число строк, группировка, сортировка, и опции подписки будут восстановлены в таком виде, как их сохранил оператор.
.
4.3. Закладка «Результаты»
На закладке отображаются результаты выполнения отчётов (запущенных как интерактивно, так и по расписанию). Просмотр результатов выполнения чужих отчётов работает так же, как на закладке «Мои отчёты».
Результаты выполнения можно просмотреть, кликнув на конкретный запуск нужного отчёта в колонке «Название». Откроется дополнительная закладка, в которой будут воспроизведены все фильтры, столбцы, группировка, сортировка, а также уже готовые результаты данного запуска отчёта на выполнение.
4.4. Закладка «Подписки»
На закладке «Подписки» можно просмотреть, изменить или удалить подписки на отчёты. Просмотр чужих отчётов работает так же, как на закладке «Мои отчёты».
5. Раздел «Инциденты»
Раздел предназначен для просмотра фактов срабатывания правил оповещения в реальном времени, а также фактов срабатывания правил выявления нежелательных состояний защищенности контролируемых платформ.
На странице «Инциденты» имеется основная закладка «Обзор», а также могут открываться дополнительные закладки со списками срабатываний того или иного типа инцидентов. Между закладками можно оперативно переключаться, а ненужные дополнительные закладки можно закрыть.
После настройки фильтров кликните кнопку «Обновить», чтобы обновился график и список инцидентов.
График отображает количество инцидентов каждого уровня критичности в конкретные даты (график автоматически масштабируется по оси времени, так и по количеству инцидентов).
Под графиком отображается таблица с основными инцидентами. Для удобства оператора, имеется опция «Показывать только открытые». При активации этой опции, в таблице отображаются только те типы инциденты, у которых есть хотя бы одно срабатывание, имеющее статус «Открыт» или «В работе».
Дополнительно отображаются колонки с датой создания (срабатывания) инцидента, и с датой закрытия инцидента (если инцидент не закрыт – значение в колонке пустое).
В верхней части дополнительной закладки расположены фильтры по дате создания и по дате закрытия инцидента, и по статусу инцидента (открыт / в работе / закрыт), при изменениях в фильтрах необходимо кликнуть «Найти», чтобы информация в таблице обновилась.
Для каждого срабатывания инцидента есть возможность отметить его, и изменить его статус на «в работе» и «закрыт», кликнув на соответствующие кнопки в верхней части экрана.
6. Раздел «Журналы»
Раздел «Журналы» предназначен для просмотра действий, выполненных пользователями и другими акторами (компьютерами, системой и т.д.) на всех контролируемых платформах. Состав информации, фиксируемый для каждого из типов платформ, может различаться, но практически для всех платформ собираются основные базовые элементы событий:
- дата операции,
- тип операции,
- тип объекта, над которым была произведена операция (файл, папка и т.п.),
- имя пользователя, выполнившего операцию,
- имя сервера, на котором расположен объект, с которым выполнена операция,
- имя объекта, над которым была произведена операция (например, имя файла, или имя папки, учетная запись пользователя),
- расширение имени файла,
- протокол доступа к файлам (NFS, SMB).
Состав типов собираемых операций зависит от платформы.
Раздел «Журналы» состоит из трёх закладок – «Журналы», «Мои журналы» и «Подписки».
6.1. Закладка «Журналы»
На закладке «Журналы» можно интерактивно просмотреть журналы и статистику действий пользователей, выгрузить результаты в файл, сохранить настройки (фильтры, столбцы) для дальнейшего использования, и создать подписку для автоматический рассылки журналов или для их выгрузки в папку по расписанию.
В таблице с результатами поиска отображается либо построенный журнал, либо сообщение об ошибке, если журнал по каким-либо причинам не удалось построить.
6.2. Закладка «Мои журналы»
На данной закладке отображается список журналов, которые были ранее сохранены операторами ПО «Орлан» (с подписками и без подписок).
Возможные действия с сохранёнными журналами:
- открыть (кликнуть на название журнала),
- создать подписку,
- изменить подписку,
- удалить подписку,
- удалить журнал.
6.3. Закладка «Подписки»
На закладке «Подписки» можно просмотреть, изменить или удалить подписки на журналы. Просмотр чужих журналов работает так же, как на закладке «Мои журналы».
7. Раздел «Настройки пользователя»
В данном разделе главного меню оператор может получить доступ к большинству настроек, необходимых в повседневной эксплуатации ПО «Орлан» для решения поставленных задач.
7.1. Закладка «Правила классификации»
Закладка «Правила классификации» предназначена для создания, изменения и удаления категорий и правил классификации.
Категория классификации позволяет логически объединить несколько правил классификации, чтобы оперировать категориями, а не отдельными правилами, в отчётах и в других разделах программы. Для создания категории кликните кнопку «Создать категорию», и в появившейся форме укажите название, которое будет использоваться во всех фильтрах и списках в интерфейсе ПО «Орлан», например, «Списки клиентов». Также введите короткое название, которое будет отображаться в Рабочей области, чтобы повысить разборчивость выводимой информации (например, «СпКл»). Дополнительно, заполните более подробное описание, которое поможет другим операторам ПО эффективно использовать созданную категорию. После заполнения всех полей, кликните кнопку «Сохранить». Новая категория появится в списке-дереве.
Для редактирования категории, кликните на её название в списке (дереве) категорий и правил.
Правило классификации представляет из себя набор фильтров, объединенных по И/ИЛИ. Правило считается сработавшим для файла (или другого объекта), если набор фильтров (и их модификаторов) выполнен с соблюдением всех логических операций.
В системе имеются созданные производителем ПО «Орлан», специальные служебные «псевдо-правила», которые невозможно редактировать, но они считаются сработавшими для некоторых файлов, по результатам обработки в ПО «Орлан».
Для создания нового правила классификации кликните кнопку «Создать правило». В появившейся форме заполните поля:
- поле «Категория» - выберите одну из существующих категорий. Поле является обязательным для заполнения. Если надо создать новую категорию – закройте диалог создания правила, кликнув на кнопку «Отменить», и создайте новую категорию, как описано выше. Затем заново начните создание нового правила. Категорию для конкретного правила в дальнейшем можно будет изменить.
- Поле «Название» - введите понятное название для правила, которое будет использоваться в фильтрах и отчётах. Обязательное поле. Название правила в дальнейшем можно изменить.
- Поле «Короткое название» - для компактного, наглядного отображения в Рабочей области, обычно несколько символов. Необязательное поле.
- Признак (опция) «Отключено» - если он установлен, то правило не участвует в фильтрах отчётов, и не отображается в отчётах и в Рабочей Области.
- Уровень (выпадающее меню от 0 до 100) – уровень критичности для данного правила. Затем может использоваться в фильтрах отчётов, и в ролевой модели (какие правила и результаты классификации видны тем или иным пользователям). Оператор может сам решить, какой уровень считать наиболее критичным (0 или 100), в зависимости от опыта эксплуатации другого программного обеспечения, или от принятой в компании модели угроз. Уровень правила в дальнейшем можно редактировать.
- Поле «Описание» (необязательное) - более подробное описание правила, которое поможет другим операторам ПО эффективно использовать созданное правило. Поле можно редактировать в дальнейшем.
- Группа фильтров «Условие». Хотя бы одно условие должно быть указано.
Для редактирования правила, кликните на его название в списке (дереве) категорий и правил. Процесс редактирования правила классификации в целом не отличается от процесса создания нового правила.
7.2. Закладка «Справочники»
На закладке «Справочники» оператор ПО «Орлан» может создавать, редактировать и удалять справочники, содержащие либо списки текстовых строк для поиска внутри файлов в процессе полнотекстовой классификации, либо списки имен файлов, типов файлов, и путей, для использования в процессе анализа событий при генерации инцидентов.
Для удаления справочника кликните корзину слева от имени справочника.
7.3. Закладка «Анализ файлов»
На закладке «Анализ файлов» у оператора есть возможность проверить, как именно полнотекстовый классификатор ПО «Орлан» работает с тем или иным произвольным файлом или просто с текстом. Это часто требуется для отладки правил классификации, особенно если они содержат регулярные выражения.
7.4. Закладка «Инциденты»
На закладке «Инциденты» у оператора имеется возможность просмотреть список типов инцидентов, предустановленных в системе производителем ПО «Орлан», а также создать свои новые типы инцидентов.
Важное замечание: на данной закладке настраиваются только типы (виды) инцидентов, но не отображаются конкретные срабатывания инцидентов (оповещений). Конкретные срабатывания отображаются в разделе «Инциденты» Главного меню (слева), и описаны в пункте “Раздел «Инциденты»” настоящего Руководства.
Раздел «Реакция» позволяет задать действия, выполняемые при выполнении условий, описанных в фильтрах. Можно выбрать более одной реакции одновременно.
Реакция типа «Email» позволяет выбрать почтовый коннектор (или отображает единственный коннектор, если в ПО «Орлан» задан только один коннектор). Также доступен выбор шаблона для тела почтового сообщения. Обычно используется встроенный в систему шаблон «Почтовое уведомление о новом инциденте по состоянию», но оператор может настроить и использовать другие шаблоны, как описано в соответствующем разделе настоящего Руководства. В поле «Адреса» можно задать один или более (разделенные запятой) почтовых адресов, на которые будет рассылаться уведомление.
Реакция типа «SysLog» позволяет выбрать SIEM-коннектор (или отображает единственный коннектор, если в ПО «Орлан» задан только один коннектор). Также доступен выбор шаблона для тела сообщения SysLog. Обычно используется встроенный в систему шаблон для форматов CEF или LEEF, но оператор может настроить и использовать другие шаблоны, как описано в соответствующем разделе настоящего Руководства. Возможно создание в ПО «Орлан» особого вида инцидента «По событию» - вид наблюдаемой платформы - «Анализ событий», в котором отсутствуют фильтры, кроме «Расположения», где можно выбрать информационный ресурс, из которого все события будут посылаться в SIEM. В секции о реагировании на инцидент выбирается SIEM-коннектор, в который будут посылаться все события с выбранного информационного ресурса.
Реакция типа «PowerShell» позволяет выбрать PowerShell-коннектор (или отображает единственный коннектор, если в ПО «Орлан» задан только один коннектор). Также доступен выбор шаблона для запускаемого скрипта PowerShell. Обычно используется встроенный в систему шаблон для скрипта, который модифицируется под конкретные задачи. Оператор может создать и настроить несколько шаблонов типа PowerShell, как описано в соответствующем разделе настоящего Руководства.
Инциденты «по событию» позволяют оповестить оператора ПО «Орлан» о возникновении нежелательного события на соответствующей платформе – например, о работе с файлами, являющимися хакерскими утилитами. Инцидент формируется по результатам анализа потока событий в реальном времени.
7.5. Закладка «Поведенческий анализ»
На основании накопленной статистики ПО «Орлан» детектирует поведенческие аномалии и выдаёт оповещения доступными в системе способами. На закладке «Поведенческий анализ» представлен список имеющихся в текущей версии поведенческих моделей, а также общие настройки оповещения и исключений для минимизации ложных срабатываний. Срок обучения поведенческих моделей составляет от 60 дней. Важно отметить, что поведенческие модели нормально работают при реальном потоке событий в промышленной инфраструктуре, и ненадёжно работают при синтетическом (тестовом, лабораторном) потоке событий.
Секция «Общие фильтры»
Глобальные опции, действующие для всех поведенческих моделей, но внутри каждой модели можно отключить их, а также добавить дополнительные (индивидуальные) фильтры и исключения.
- Активировать поведенческий анализ только для следующих серверов – можно выбрать только конкретные сервера, для которых будут срабатывать поведенческие модели.
- Активировать поведенческий анализ только для следующих доменов – можно выбрать только конкретные домены, для которых будут срабатывать поведенческие модели.
- Исключить папки – исключить конкретные папки для всех поведенческих моделей, для минимизации ложных срабатываний.
- Исключить группы – исключить конкретные группы для всех поведенческих моделей, для минимизации ложных срабатываний.
- Исключить пользователей – исключить конкретных пользователей для всех поведенческих моделей, для минимизации ложных срабатываний.
программного обеспечения «Орлан.DCAP»
1. Введение
1.1. Назначение системы
Назначение программного обеспечения «Орлан.DCAP» (далее – ПО «Орлан»): контроль прав доступа пользователей, контроль размещения конфиденциальных данных, расследование действий сотрудников, оповещение об аномальной активности, поиск дубликатов файлов, и другие задачи.
1.2. Терминология
Для целей настоящего Руководства, термином «пользователь» будет обозначаться сотрудник компании, где установлено ПО «Орлан». Сотрудник работает с неструктурированными данными, расположенными на платформах, контролируемых с помощью ПО «Орлан». С этой точки зрения, например, администратор домена или служебная учётная запись, из-под которой выполняется автоматизированный процесс, тоже является «пользователем» в терминах данного документа.
Термином «Оператор» будет обозначаться сотрудник, работающий в графическом интерфейсе пользователя ПО «Орлан», и выполняющий задачи, для решения которых предназначено ПО «Орлан».
Под термином «платформа» понимается система, которая контролируется с помощью ПО «Орлан», например, файловый сервер Windows, система файлового хранения NetApp NAS, каталог пользователей, или почтовая система.
1.3. Целевая аудитория
Этот документ предназначен для сотрудников компании-заказчика («операторов»), работающих в графическом интерфейсе ПО «Орлан» на регулярной основе, для решения своих повседневных задач в области информационной безопасности и информационных технологий.
1.4. Помощь
Если у вас есть вопросы, связанные с эксплуатацией ПО «Орлан», а также замечания и предложения по документации, вы можете связаться с производителем по адресу:
support@orlansec.ru
2. Начало работы
2.1. Вход в систему
Для входа в графический веб-интерфейс ПО «Орлан», оператор должен быть заранее добавлен администратором ПО «Орлан» в список пользователей ПО, а также оператору должна быть назначена роль с полномочиями, достаточными для решения служебных задач оператора.
Если у вас, как у оператора, имеется роль для работы с ПО, запустите поддерживаемый браузер (обозреватель), и введите адрес графического интерфейса пользователя. Адрес можно получить у администратора ПО.
Появится страница аутентификации. Введите имя пользователя и пароль. Если имя пользователя «локальное» (не в домене) – то вводится только имя пользователя. Если используется доменное имя пользователя, то оно вводится в формате логин@домен.полный или домен.полный\логин, например, user7324@corp.lan Для уточнения имени входа, или при возникновении проблем со входом в интерфейс, обратитесь к администратору ПО «Орлан».
После успешной аутентификации, в интерфейсе появится главное меню (слева), в котором будут отображены основные функциональные разделы ПО «Орлан». Если меню не видно на экране, то надо нажать на три горизонтальных черты в верхнем левом углу интерфейса. Конкретный список отображаемых разделов зависит от набора привилегий, которые активны для роли оператора, зашедшего в интерфейс.
2.2. Основные разделы:
Раздел «Рабочая область» - для интерактивной работы с правами доступа, результатами классификации, метками, бизнес-владельцами, эталонными правами, для анализа и просмотра файлов. Одновременно отображаются все подключенные ресурсы (разрешенные ролевой моделью).
Раздел «Отчеты» - для получения в табличном виде требуемой информации, с использованием расширенной фильтрации, в интерактивном режиме и в режиме подписки (по расписанию).
Раздел «Инциденты» - для просмотра срабатываний оповещений в реальном времени, а также срабатываний подсистемы поведенческого анализа пользователей. Имеется базовый рабочий процесс для инцидентов.
Раздел «Настройки пользователя» - содержит настройки, связанные с решением служебных задач.
Раздел «О программе» содержит информацию о версии ПО «Орлан» и об установленной лицензии. Также в этом разделе могут отображаться лицензионные счётчики (суммарное число пользователей, общий объем контролируемых данных). Лицензионные данные могут не отображаться в демонстрационных версиях.
2.3. Смена пароля и выход из системы
Имя пользователя, вошедшего в систему, отображается в верхнем правом углу интерфейса. При клике мышью на имя пользователя, появляется возможность сменить локальный пароль (если пользователь аутентифицировался не через домен), а также возможность выйти из системы. Кроме того, текущий пользователь будет автоматически выведен из системы после периода неактивности, заданного администратором ПО «Орлан».
2.4. Онлайн-помощь
В некоторых сборках ПО присутствует онлайн-помощь, доступная через знак вопроса в верхнем правом углу интерфейса. При клике мышью на знак вопроса откроется страница онлайн-помощи.
Далее приведено подробное описание разделов главного меню (расположено слева на экране).
3. Раздел «Рабочая область»
Раздел «Рабочая область» предназначен для решения следующих задач:
- просмотр дерева контролируемых ресурсов;
- интерактивный просмотр прав доступа к тому или иному объекту (список пользователей и групп, имеющих доступ);
- интерактивный просмотр прав доступа пользователя или группы к объектам (дерево объектов, к которым пользователь или группа имеют доступ);
- интерактивный просмотр результатов работы полнотекстового классификатора;
- интерактивный просмотр меток, установленных на папках, на пользователях и на группах;
- возможность задания меток для папок, пользователей и групп;
- возможность задания эталонных прав доступа для папок;
- возможность задания «владельцев данных» (бизнес-владельцев) для папок;
- возможность анализа результатов классификации с подсветкой срабатываний в тексте, непосредственно с файлового или почтового ресурса (или портала);
- возможность просмотра содержимого документов, непосредственно с файлового или почтового ресурса (или портала).
3.1. Левая часть Рабочей области
В левой части Рабочей области представлены контролируемые ресурсы – файловые серверы, устройства NAS, каталоги пользователей, почтовые системы, порталы документов. Для раскрытия уровня необходимо кликнуть на значок «плюс» в дереве ресурсов.
В дереве ресурсов отображаются 4 колонки. В колонке «Имя» отображается собственно дерево, имена объектов (папок, файлов, OU, библиотек документов, почтовых ящиков, бакетов S3, проектов Jira, и т.д.) В колонке «Размер» отображается размер данной папки вместе с подпапками (только для файловых и почтовых серверов). В колонке «Классификация (правила)» отображаются сокращенные названия правил классификации, с указанием числа срабатываний правила в папке плюс по всех подпапках. В колонке «Классификация (категории)» отображаются сокращенные названия категорий классификации, с указанием суммарного числа срабатываний всех правил из данной категории в папке плюс по всех подпапках.
3.2. Правая часть Рабочей области
Правая часть Рабочей области предназначена для отображения пользователей, групп и компьютеров. Правая часть может работать в двух режимах отображения: «список пользователей», или «права доступа».
Режим «список пользователей» - исходный режим, предназначен для отображения списка субъектов безопасности (пользователей, групп и компьютеров) из подключенных (контролируемых) доменов. В этом режиме, для каждого субъекта в списке отображаются имя, имя входа (логин), домен, электронная почта, а также полный путь в домене (DN).
Все группы, имеющие членов, кроме глобальных групп, можно раскрыть кликом на значок «плюс», и тогда будут отображаться члены групп.
Режим «права доступа» в правой части Рабочей области активируется при клике мышью на объект в левой части рабочей области, для которого ПО «Орлан» отсканировало права доступа. В этом случае, в правой части Рабочей области отображается содержимое списка контроля доступа для объекта, который был кликнут мышью в левой части. Наверху отображается текст «Права для…» и выводится путь к объекту, к которому относится выводимый ниже список контроля доступа. Ниже отображаются следующие колонки:
- «Отображаемое имя» (имя субъекта безопасности),
- «Логин» (имя входа),
- «Домен» (тот домен, из которого данный субъект безопасности),
- «Доступ» (права доступа субъекта, специфичные для конкретной платформы, например, RXL или «Чтение свойств»),
- «Эл. почта» (если у объекта заполнен этот атрибут, то он будет отображаться),
- «DN» (полный путь в домене, либо указание на то, что данный субъект безопасности не является доменным, а относится к локальным пользователям и группам на каком-то конкретном хосте).
В колонке «Отображаемое имя» перечислены пользователи, группы и компьютеры, которые физически присутствуют в списке контроля доступа (в дескрипторе безопасности). Если группы имеют какие-либо дочерние объекты, то такая группа будет сопровождаться значком «плюс». При клике на «плюс», членство в группах раскрывается, показывая вложенные объекты, то же самое верно и для вложенных групп.
Имеется возможность вернуться из режима отображения «Права доступа» в режим отображения «Список пользователей», кликнув на кнопку «Показать все объекты» в верхней части экрана.
Вне зависимости от того, в каком режиме отображения находится правая половина Рабочей области, при клике мышью в правой части по пользователю, группе или компьютеру, в левой части папки и другие объекты станут отображаться зеленым цветом (если у субъекта есть доступ), либо серым цветом (если у субъекта нет доступа). Кроме того, в левой части появятся дополнительные колонки, в частности, «Права», в которых будут отображаться права доступа субъекта к данному объекту, например, к папке.
4. Раздел «Отчеты»
В разделе «Отчеты» содержатся отчёты, которые были добавлены производителем ПО «Орлан».
На закладке «Отчёты» содержатся функционально сгруппированные отчёты в их исходном виде, то есть либо вообще без фильтров, либо с фильтрами, установленными в значения по умолчанию.
На закладке «Мои отчёты» содержатся отчёты, которые были когда-либо сохранены текущим оператором ПО.
На закладке «Результаты» хранятся отчёты, которые запускались за последнее время. Сохраняются как настройки отчёта, так и сами результаты.
На закладке «Подписки» доступны подписки (расписания и настройки для автоматического выполнения отчётов с заданной периодичностью).
Дополнительно, для удобства оператора, при создании и редактировании отчётов, при редактировании подписок, и при просмотре результатов выполнения, ПО «Орлан» открывает отдельные дополнительные закладки правее основных четырёх закладок, перечисленных выше. Дополнительные закладки можно закрыть крестиком, расположенным на закладке.
4.1. Закладка «Отчеты»
Закладка содержит отчёты, подготовленные производителем ПО «Орлан». Отчеты сгруппированы по логическим группам в соответствии с решаемыми задачами. Доступность для текущего оператора тех или иных отчётов может быть ограничена ролевой моделью и установленной лицензией.
В колонке «Название» отображается название отчёта. Название является кликабельным. При клике на название отчёта открывается форма, в которой можно отредактировать параметры отчёта перед запуском, сохранить отчёт под другим именем в «Мои отчёты», или создать подписку, выполняемую по расписанию.
В колонке «Шаблон» отображается исходный шаблон, на основе которого был создан тот или иной отчёт.
В колонке «Описание» приведено краткое описание отчёта и решаемой с его помощью задачи.
Для работы с отчетом, кликните его название. Окно управления отчётом откроется в дополнительной закладке. Практически каждый отчёт имеет 4 основных секции: «Параметры отчета», «Отображение», элементы управления отчётом, и область вывода.
В секции «Параметры» расположены фильтры, некоторые из них работают примерно одинаково для всех отчётах, а другие являются специфичными для конкретных отчётов. Наиболее распространенными фильтрами являются:
- фильтр по папке,
- фильтр по пользователю / группе,
- фильтры по исключенным пользователям и группам,
- фильтры по членам группы,
- фильтры по правам доступа,
- фильтр по дате (по датам),
- фильтры по домену или по файловому серверу.
В секции «Отображение» задаются следующие параметры:
- «Максимальное число строк» - задает сколько строк будет в отчёте.
- «Отображаемые столбцы» - задает список столбцов и их порядок вывода.
- «Группировать по» - задает порядок группировки при выводе результатов.
- «Сортировать по» - задает порядок сортировки при выводе результатов.
В секции элементов управления отчётом представлены кнопки:
- Кнопка «Запустить» - запускает отчёт на выполнение с текущими фильтрами и настройками отображения. Прервать выполнение отчёта можно кнопкой «Прервать».
- Кнопка «Сохранить» - позволяет сохранить текущий набор фильтров и настроек отображения под новым именем в раздел «Мои отчёты».
- Кнопка «Создать подписку» - выполняет одновременно два действия: сохраняет набор фильтров и колонок в «Мои отчёты» под новым именем, создаёт подписку (с тем же именем, что и сохранённый отчёт), и «привязывает» подписку к сохраненному отчёту.
Настройка «Формат» задаёт, в каком формате будут рассылаться (или выгружаться в папку) отчёты.
Блок настроек «Расписание» задаёт время запуска в настройке «Следующий запуск» (время либо единственного запуска, если не отмечена опция «Повторять каждые:», либо первого запуска, если эта опция отмечена). Также задаётся периодичность повторных запусков, если соответствующая опция отмечена. Периодичность отсчитывается от времени первого запуска, указанного в настройках «Следующий запуск».
- Кнопка «Экспорт» доступна по завершении выполнения отчета, и позволяет вручную (интерактивно) выгрузить построенный отчёт в требуемом формате.
В секции вывода отображается либо построенный отчёт, либо сообщение об ошибке, если отчёт по каким-либо причинам не удалось построить. В правой части экрана отображается общее число строк построенного отчёта (значение «Всего:»)
4.2. Закладка «Мои отчеты»
На данной закладке отображается список отчётов, которые были ранее сохранены операторами ПО «Орлан» (с подписками и без подписок).
Список сохранённых отчётов в «Моих отчётах» организован иерархически, таким же образом, как исходные, «заводские» отчёты.
Для доступа к сохранённому отчёту необходимо кликнуть его название. Откроется дополнительная закладка с отчётом. Все фильтры, набор отображаемых столбцов, максимальное число строк, группировка, сортировка, и опции подписки будут восстановлены в таком виде, как их сохранил оператор.
.
4.3. Закладка «Результаты»
На закладке отображаются результаты выполнения отчётов (запущенных как интерактивно, так и по расписанию). Просмотр результатов выполнения чужих отчётов работает так же, как на закладке «Мои отчёты».
Результаты выполнения можно просмотреть, кликнув на конкретный запуск нужного отчёта в колонке «Название». Откроется дополнительная закладка, в которой будут воспроизведены все фильтры, столбцы, группировка, сортировка, а также уже готовые результаты данного запуска отчёта на выполнение.
4.4. Закладка «Подписки»
На закладке «Подписки» можно просмотреть, изменить или удалить подписки на отчёты. Просмотр чужих отчётов работает так же, как на закладке «Мои отчёты».
5. Раздел «Инциденты»
Раздел предназначен для просмотра фактов срабатывания правил оповещения в реальном времени, а также фактов срабатывания правил выявления нежелательных состояний защищенности контролируемых платформ.
На странице «Инциденты» имеется основная закладка «Обзор», а также могут открываться дополнительные закладки со списками срабатываний того или иного типа инцидентов. Между закладками можно оперативно переключаться, а ненужные дополнительные закладки можно закрыть.
После настройки фильтров кликните кнопку «Обновить», чтобы обновился график и список инцидентов.
График отображает количество инцидентов каждого уровня критичности в конкретные даты (график автоматически масштабируется по оси времени, так и по количеству инцидентов).
Под графиком отображается таблица с основными инцидентами. Для удобства оператора, имеется опция «Показывать только открытые». При активации этой опции, в таблице отображаются только те типы инциденты, у которых есть хотя бы одно срабатывание, имеющее статус «Открыт» или «В работе».
Дополнительно отображаются колонки с датой создания (срабатывания) инцидента, и с датой закрытия инцидента (если инцидент не закрыт – значение в колонке пустое).
В верхней части дополнительной закладки расположены фильтры по дате создания и по дате закрытия инцидента, и по статусу инцидента (открыт / в работе / закрыт), при изменениях в фильтрах необходимо кликнуть «Найти», чтобы информация в таблице обновилась.
Для каждого срабатывания инцидента есть возможность отметить его, и изменить его статус на «в работе» и «закрыт», кликнув на соответствующие кнопки в верхней части экрана.
6. Раздел «Журналы»
Раздел «Журналы» предназначен для просмотра действий, выполненных пользователями и другими акторами (компьютерами, системой и т.д.) на всех контролируемых платформах. Состав информации, фиксируемый для каждого из типов платформ, может различаться, но практически для всех платформ собираются основные базовые элементы событий:
- дата операции,
- тип операции,
- тип объекта, над которым была произведена операция (файл, папка и т.п.),
- имя пользователя, выполнившего операцию,
- имя сервера, на котором расположен объект, с которым выполнена операция,
- имя объекта, над которым была произведена операция (например, имя файла, или имя папки, учетная запись пользователя),
- расширение имени файла,
- протокол доступа к файлам (NFS, SMB).
Состав типов собираемых операций зависит от платформы.
Раздел «Журналы» состоит из трёх закладок – «Журналы», «Мои журналы» и «Подписки».
6.1. Закладка «Журналы»
На закладке «Журналы» можно интерактивно просмотреть журналы и статистику действий пользователей, выгрузить результаты в файл, сохранить настройки (фильтры, столбцы) для дальнейшего использования, и создать подписку для автоматический рассылки журналов или для их выгрузки в папку по расписанию.
В таблице с результатами поиска отображается либо построенный журнал, либо сообщение об ошибке, если журнал по каким-либо причинам не удалось построить.
6.2. Закладка «Мои журналы»
На данной закладке отображается список журналов, которые были ранее сохранены операторами ПО «Орлан» (с подписками и без подписок).
Возможные действия с сохранёнными журналами:
- открыть (кликнуть на название журнала),
- создать подписку,
- изменить подписку,
- удалить подписку,
- удалить журнал.
6.3. Закладка «Подписки»
На закладке «Подписки» можно просмотреть, изменить или удалить подписки на журналы. Просмотр чужих журналов работает так же, как на закладке «Мои журналы».
7. Раздел «Настройки пользователя»
В данном разделе главного меню оператор может получить доступ к большинству настроек, необходимых в повседневной эксплуатации ПО «Орлан» для решения поставленных задач.
7.1. Закладка «Правила классификации»
Закладка «Правила классификации» предназначена для создания, изменения и удаления категорий и правил классификации.
Категория классификации позволяет логически объединить несколько правил классификации, чтобы оперировать категориями, а не отдельными правилами, в отчётах и в других разделах программы. Для создания категории кликните кнопку «Создать категорию», и в появившейся форме укажите название, которое будет использоваться во всех фильтрах и списках в интерфейсе ПО «Орлан», например, «Списки клиентов». Также введите короткое название, которое будет отображаться в Рабочей области, чтобы повысить разборчивость выводимой информации (например, «СпКл»). Дополнительно, заполните более подробное описание, которое поможет другим операторам ПО эффективно использовать созданную категорию. После заполнения всех полей, кликните кнопку «Сохранить». Новая категория появится в списке-дереве.
Для редактирования категории, кликните на её название в списке (дереве) категорий и правил.
Правило классификации представляет из себя набор фильтров, объединенных по И/ИЛИ. Правило считается сработавшим для файла (или другого объекта), если набор фильтров (и их модификаторов) выполнен с соблюдением всех логических операций.
В системе имеются созданные производителем ПО «Орлан», специальные служебные «псевдо-правила», которые невозможно редактировать, но они считаются сработавшими для некоторых файлов, по результатам обработки в ПО «Орлан».
Для создания нового правила классификации кликните кнопку «Создать правило». В появившейся форме заполните поля:
- поле «Категория» - выберите одну из существующих категорий. Поле является обязательным для заполнения. Если надо создать новую категорию – закройте диалог создания правила, кликнув на кнопку «Отменить», и создайте новую категорию, как описано выше. Затем заново начните создание нового правила. Категорию для конкретного правила в дальнейшем можно будет изменить.
- Поле «Название» - введите понятное название для правила, которое будет использоваться в фильтрах и отчётах. Обязательное поле. Название правила в дальнейшем можно изменить.
- Поле «Короткое название» - для компактного, наглядного отображения в Рабочей области, обычно несколько символов. Необязательное поле.
- Признак (опция) «Отключено» - если он установлен, то правило не участвует в фильтрах отчётов, и не отображается в отчётах и в Рабочей Области.
- Уровень (выпадающее меню от 0 до 100) – уровень критичности для данного правила. Затем может использоваться в фильтрах отчётов, и в ролевой модели (какие правила и результаты классификации видны тем или иным пользователям). Оператор может сам решить, какой уровень считать наиболее критичным (0 или 100), в зависимости от опыта эксплуатации другого программного обеспечения, или от принятой в компании модели угроз. Уровень правила в дальнейшем можно редактировать.
- Поле «Описание» (необязательное) - более подробное описание правила, которое поможет другим операторам ПО эффективно использовать созданное правило. Поле можно редактировать в дальнейшем.
- Группа фильтров «Условие». Хотя бы одно условие должно быть указано.
Для редактирования правила, кликните на его название в списке (дереве) категорий и правил. Процесс редактирования правила классификации в целом не отличается от процесса создания нового правила.
7.2. Закладка «Справочники»
На закладке «Справочники» оператор ПО «Орлан» может создавать, редактировать и удалять справочники, содержащие либо списки текстовых строк для поиска внутри файлов в процессе полнотекстовой классификации, либо списки имен файлов, типов файлов, и путей, для использования в процессе анализа событий при генерации инцидентов.
Для удаления справочника кликните корзину слева от имени справочника.
7.3. Закладка «Анализ файлов»
На закладке «Анализ файлов» у оператора есть возможность проверить, как именно полнотекстовый классификатор ПО «Орлан» работает с тем или иным произвольным файлом или просто с текстом. Это часто требуется для отладки правил классификации, особенно если они содержат регулярные выражения.
7.4. Закладка «Инциденты»
На закладке «Инциденты» у оператора имеется возможность просмотреть список типов инцидентов, предустановленных в системе производителем ПО «Орлан», а также создать свои новые типы инцидентов.
Важное замечание: на данной закладке настраиваются только типы (виды) инцидентов, но не отображаются конкретные срабатывания инцидентов (оповещений). Конкретные срабатывания отображаются в разделе «Инциденты» Главного меню (слева), и описаны в пункте “Раздел «Инциденты»” настоящего Руководства.
Раздел «Реакция» позволяет задать действия, выполняемые при выполнении условий, описанных в фильтрах. Можно выбрать более одной реакции одновременно.
Реакция типа «Email» позволяет выбрать почтовый коннектор (или отображает единственный коннектор, если в ПО «Орлан» задан только один коннектор). Также доступен выбор шаблона для тела почтового сообщения. Обычно используется встроенный в систему шаблон «Почтовое уведомление о новом инциденте по состоянию», но оператор может настроить и использовать другие шаблоны, как описано в соответствующем разделе настоящего Руководства. В поле «Адреса» можно задать один или более (разделенные запятой) почтовых адресов, на которые будет рассылаться уведомление.
Реакция типа «SysLog» позволяет выбрать SIEM-коннектор (или отображает единственный коннектор, если в ПО «Орлан» задан только один коннектор). Также доступен выбор шаблона для тела сообщения SysLog. Обычно используется встроенный в систему шаблон для форматов CEF или LEEF, но оператор может настроить и использовать другие шаблоны, как описано в соответствующем разделе настоящего Руководства. Возможно создание в ПО «Орлан» особого вида инцидента «По событию» - вид наблюдаемой платформы - «Анализ событий», в котором отсутствуют фильтры, кроме «Расположения», где можно выбрать информационный ресурс, из которого все события будут посылаться в SIEM. В секции о реагировании на инцидент выбирается SIEM-коннектор, в который будут посылаться все события с выбранного информационного ресурса.
Реакция типа «PowerShell» позволяет выбрать PowerShell-коннектор (или отображает единственный коннектор, если в ПО «Орлан» задан только один коннектор). Также доступен выбор шаблона для запускаемого скрипта PowerShell. Обычно используется встроенный в систему шаблон для скрипта, который модифицируется под конкретные задачи. Оператор может создать и настроить несколько шаблонов типа PowerShell, как описано в соответствующем разделе настоящего Руководства.
Инциденты «по событию» позволяют оповестить оператора ПО «Орлан» о возникновении нежелательного события на соответствующей платформе – например, о работе с файлами, являющимися хакерскими утилитами. Инцидент формируется по результатам анализа потока событий в реальном времени.
7.5. Закладка «Поведенческий анализ»
На основании накопленной статистики ПО «Орлан» детектирует поведенческие аномалии и выдаёт оповещения доступными в системе способами. На закладке «Поведенческий анализ» представлен список имеющихся в текущей версии поведенческих моделей, а также общие настройки оповещения и исключений для минимизации ложных срабатываний. Срок обучения поведенческих моделей составляет от 60 дней. Важно отметить, что поведенческие модели нормально работают при реальном потоке событий в промышленной инфраструктуре, и ненадёжно работают при синтетическом (тестовом, лабораторном) потоке событий.
Секция «Общие фильтры»
Глобальные опции, действующие для всех поведенческих моделей, но внутри каждой модели можно отключить их, а также добавить дополнительные (индивидуальные) фильтры и исключения.
- Активировать поведенческий анализ только для следующих серверов – можно выбрать только конкретные сервера, для которых будут срабатывать поведенческие модели.
- Активировать поведенческий анализ только для следующих доменов – можно выбрать только конкретные домены, для которых будут срабатывать поведенческие модели.
- Исключить папки – исключить конкретные папки для всех поведенческих моделей, для минимизации ложных срабатываний.
- Исключить группы – исключить конкретные группы для всех поведенческих моделей, для минимизации ложных срабатываний.
- Исключить пользователей – исключить конкретных пользователей для всех поведенческих моделей, для минимизации ложных срабатываний.
Секция «Общие настройки оповещения»
- Оповещение активно (опция) – будет ли использоваться данный канал оповещения (коннектор).
- Тип – тип используемого коннектора (почта, Syslog или запуск скрипта).
- Название – название используемого коннектора, как оно определено в настройках ПО «Орлан».
- Шаблон – название шаблона, как будет отформатировано оповещение, или код запускаемого скрипта. Задаётся в соответствующих настройках ПО «Орлан».
- Дополнительно – для методов оповещения, предполагающих дополнительные настройки, здесь отображаются эти настройки, в частности, для оповещений по электронной почте, здесь можно указать один или более почтовых адресов, по которым надо рассылать оповещение.
Опции отображения
- Не показывать неактивные модели поведенческого анализа – чтобы неактивные поведенческие модели не загромождали экран, можно скрыть их из таблицы.
- Отображать поведенческие модели, использующие следующие типы платформ – можно выбрать конкретные типы платформ, для которых будут отображаться актуальные для этих платформ модели.
- Отображать поведенческие модели с уровнем критичности – можно выбрать, например, только модели с высоким уровнем критичности.
Таблица «Модели поведенческого анализа»
- Название поведенческой модели – понятное пользователю название модели, несущее описание поведения.
- Критичность – производитель ПО «Орлан» предлагает уровни критичности по умолчанию, основанные на промышленной эксплуатации, но заказчик при необходимости имеет возможность выбрать другой уровень критичности при редактировании модели, в зависимости от конкретной модели угроз и приоритетов в политике ИБ.
- Модель активна – опция, которая показывает, будет ли данная модель использоваться для генерации инцидентов. Если какие-либо поведенческие модели неактуальны в контексте политики ИБ конкретного заказчика, либо генерируют слишком много ложных срабатываний, которых не удается исключить с помощью фильтров, то такую поведенческую модель можно деактивировать путем редактирования модели.
- Используемые платформы – типы платформ, информация с которых будет использоваться при статистическом анализе и детектировании аномального поведения. Неизменяемое поле, «зашитое» в бизнес-логику модели. Если требуемые типы платформ не лицензированы или не подключены к ПО «Орлан», то такая поведенческая модель может давать некорректные результаты, либо вообще не генерировать результатов.
- Общие методы оповещения – здесь перечислены общие методы оповещения, которые используются данной моделью. Можно изменить в процессе редактирования поведенческой модели.
- Имеются доп. методы оповещения – здесь перечислены индивидуальные методы оповещения, которые используются данной моделью. Можно изменить в процессе редактирования поведенческой модели.
- Имеются доп. исключения – здесь отображается факт, что внутри настроек модели есть дополнительные исключения и фильтры, в дополнение к глобальным (можно изменить при редактировании поведенческой модели).
- Описание – дополнительное описание поведенческой модели (неизменяемое поле).
При клике на поведенческую модель в таблице «Модели поведенческого анализа» открывается диалоговое окно, в котором можно просмотреть следующие параметры (и настроить некоторые из них):
- Тип – В данном разделе всегда отображается «Поведенческий анализ пользователей», чтобы отличать данные события от «Инцидентов», которые генерируются на основании настроенных вручную фильтров.
- Название – название поведенческой модели (неизменяемое поле).
- Уровень критичности – производитель ПО «Орлан» предлагает уровни критичности по умолчанию, основанные на промышленной эксплуатации, но заказчик при необходимости имеет возможность выбрать другой уровень критичности из выпадающего списка, в зависимости от конкретной модели угроз и приоритетов в политике ИБ.
- Описание – дополнительное описание поведенческой модели (неизменяемое поле).
- Модель активна – опция, которая показывает, будет ли данная модель использоваться для генерации инцидентов. Если какие-либо поведенческие модели неактуальны в контексте политики ИБ конкретного заказчика, либо генерируют слишком много ложных срабатываний, которых не удается исключить с помощью фильтров, то такую поведенческую модель можно деактивировать с помощью данной опции.
- Фильтры – используются для минимизации ложных срабатываний, и позволяют активировать модель только для конкретных серверов, для конкретных доменов, а также позволяют исключить конкретные папки, группы безопасности и пользователей. Все эти фильтры и исключения могут использоваться либо только из списка, общего для всех поведенческих моделей, либо используются общие списки плюс могут быть добавлены индивидуально фильтры и исключения для данной конкретной поведенческой модели.
- Настройки оповещения – для каждой поведенческой модели можно использовать как общие настройки оповещения для всех поведенческих моделей, так и индивидуальные настройки оповещения для конкретной поведенческой модели, аналогично общим оповещениям по электронной почте, Syslog, и запуск скриптов.
7.6. Закладка «Владельцы данных»
На закладке «Владельцы данных» оператор имеет возможность:
1) Посмотреть информацию о бизнес-владельце (в том числе состояние в AD - enabled/disabled и атрибуты AD) и о папке (папках), за которые он отвечает, с инлайн-фильтрами и сортировкой.
2) Редактировать владельца вручную (добавлять, удалять, изменять, изменять путь к папке, за которую он отвечает)
3) Выгрузить в файл Excel
4) Загрузить из файла присвоения владельца (После выгрузки и частичного редактирования в Excel, можно загрузить тот же файл обратно в ПО «Орлан», и он корректно загрузится).
5) Разрешить или запретить рассылать отчёты по конкретным бизнес-владельцам (специальные чекбоксы)
Для добавления бизнес-владельца нажмите кнопку "Добавить", по которой открывается диалоговое окно, такое же, как описано в пункте про редактирование владельцев, только поля изначально пустые, но чекбокс "Рассылать отчёты для бизнес-владельцев" уже установлен по умолчанию.
Для редактирования владельца данных кликните на иконку редактирования. При нажатии на иконку, откроется модальное диалоговое окно. Внизу диалога - кнопки "Сохранить" и "Отмена". В окне расположены три редактируемых поля:
Поле "Папка" отображает текущую папку, за которую отвечает владелец данных, также виден файловый сервер, с которого эта папка. Для выбора папки кликните кнопку "Выбрать". При выборе новой папки, она будет отображаться в поле «Папка».
Поле "Владелец" отображает домен и логин (sAMAccountName) текущего владельца (пользователь или группа), при этом виден домен пользователя/группы (например, CORP.LAN\ivpetrov). Для выбора владельца кликните кнопку "Выбрать".
Для удаления владельца данных кликните на иконку удаления. При нажатии на иконку удаления, появится окно подтверждения, и если подтвердить операцию, то бизнес-владелец будет удалён.
Далее расположена таблица со следующими колонками:
Чекбокс "Рассылать отчёты для бизнес-владельцев", разрешающий отправку отчётов по расписанию для данной комбинации папки и бизнес-владельца. Состояние чекбокса будет запомнено системой.
Колонка "Файловый сервер" отображает имя файлового сервера, на котором расположена папка, «принадлежащая» владельцу данных.
Колонка "Путь" отображает путь к папке.
Колонка без названия с иконкой "Пользователь" / "Задизабленный пользователь" / "Удаленный пользователь" / "Группа" / "Удаленная группа", которая отрисовывается в записимости от типа и статуса субъекта-владельца данных.
Колонка «Имя»: отображается имя пользователя/группы (атрибут ldap:name или displayName), например, "Петров Иван Иванович".
Колонка «Логин»: отображается логин пользователя/группы с полным доменом, например, "CORP.LAN\ipetrov".
Колонка "Эл. почта": для пользователя выводится его атрибут email. Для группы выводится через запятую список атрибутов email всех прямых членов данной группы типа "user".
Колонка "Подразделение/Описание": для пользователей выводится значение AD-атрибута department. Для групп выводится значение AD-атрибута description.
Колонка "Должность/Членство": для пользователей выводится атрибут title. Для групп выводится атрибут members через запятую.
Колонка "Рассылать отчёты": если для пользователя/группы установлен чекбокс "Рассылать отчёты для бизнес-владельцев", то в таблице отображается слово "Да", в противном случае выводится слово "Нет".
Эта же таблица используется и при рассылке отчётов по расписанию.
Если при добавлении или редактировании получается так, что у одной папки будет два или более владельца – это нормально. Аналогично, один пользователь или группа могут владеть более, чем одной папкой.
7.7. Закладка «Шаблоны сообщений»
На закладке «Шаблоны сообщений» есть возможность задать формат для следующих видов сообщений:
- для сообщений, которые высылаются пользователям по электронной почте,
- для сообщений, которые высылаются по протоколу syslog в систему управления инцидентами информационной безопасности (в SIEM-систему),
- для запуска скриптов на языке PowerShell, эти скрипты вызываются при срабатывании оповещений в реальном времени.
Для создания нового шаблона сообщений кликните кнопку «Создать», и выберите тип сообщения (Почта / SysLog / PowerShell). Затем появится форма, в которой надо заполнить название шаблона, тему (тема - только для шаблона типа «Почта»), и само сообщение. В полях «Тема» и «Сообщение» возможно использовать переменные, которые будут заполняться конкретными значениями в момент использования шаблона для отправки сообщения (или для запуска скрипта).
После нажатия на кнопку «Сохранить», новый шаблон сохраняется в ПО «Орлан» и может быть использован для генерации сообщений. Существующие в системе шаблоны отображаются в таблице из двух колонок: «Название» отображает имя шаблона, а «Тип» отображает тип шаблона (SysLog, Почта или PowerShell). Названия шаблонов кликабельные, и для редактирования шаблона необходимо кликнуть по нему мышкой.
Примеры шаблонов можно посмотреть, кликнув по названиям шаблонов, которые установлены в систему производителем ПО «Орлан».
7.8. Закладка «Глобальные группы»
На закладке «Глобальные группы» оператор может задать список групп из всех подключенных каталогов пользователей AD. Эти группы будут считаться «глобальными» в том смысле, что в них включено значительное число пользователей, либо все пользователи. Понятие «глобальной группы» используется в отчёте по общедоступным папкам: папка считается общедоступной, если к ней имеют доступ глобальные группы. Также глобальные группы используются в других отчётах.
Для добавления в список новой глобальной группы нажмите кнопку «Выбрать». Появившееся диалоговое окно позволяет выбрать в списке объектов AD конкретные объекты типа «группа безопасности» с одного или нескольких контролируемых доменов. Доступен поиск групп по имени, по логину, и по электронной почте, также при поиске можно включить отображение только объектов из одного конкретного домена, а не из всех доменов сразу.
После добавления группа появится в списке с отображением полного пути в домене. Для сохранения списка нажмите кнопку «Сохранить».
Для удаления глобальной группы кликните на крестик справа от пути к объекту-группе. Группа исчезнет из списка, но для сохранения списка кликните на «Сохранить».
7.9. Закладка «Настройки отчетов»
На данной закладке присутствуют детальные настройки конкретных отчетов, их состав зависит от версии. Например, в детальных настройках отчётов можно настроить различные исключения для различных потенциальных нарушений, с целью повысить информативность отчётов и снизить «информационный шум».
Изменения в данной таблице действуют динамически, то есть влияют в том числе на отчёты, выполняющиеся по расписанию.
7.10. Закладка «Восстановление журналов из архивов»
На данной закладке пользователь ПО «Орлан» имеет возможность «заказать» восстановление из архивов журналов действий сотрудников, если эти журналы были выгружены в архив из-за общесистемной политики, которая настраивается в ПО «Орлан» в настройках администратора.
- Выбрать домены и файловые сервера для восстановления журналов – в этом поле отображается список всех файловых и почтовых серверов, порталов, и доменов, которые контролируются из ПО «Орлан» в текущий момент, или которые контролировались когда-либо в прошлом, с момента установки ПО. Можно выбрать одну или более сущность.
- Начальная дата и Конечная дата – можно указать диапазон дат, за которые необходимо найти и восстановить архивы.
- Запросить наличие архивов – при нажатии на кнопку, ПО «Орлан» произведет поиск архивов по выбранным сущностям за заданный диапазон дат, в месте хранения архивов, заданном в настройках архивирования и восстановления.
Если система найдёт архивы за заданный интервал времени по выбранным сущностям, то список этих архивов будет отображён в таблице «Найденные архивы», с отображением названия файлового/почтового/портального сервера или домена, даты журналов в этом архиве, размер файлов, чтобы визуально оценить количество событий за эту дату.
Выберите нужные (или все) найденные файлы для восстановления из архива, и выберите режим восстановления:
- Запланировать восстановление по расписанию системной задачи (рекомендуется) – архивы будут восстановлены специальной задачей по расписанию.
- Начать восстановление сейчас – архивы будут восстанавливаться сразу после нажатия на кнопку «Запустить восстановление». В этом случае в разделе «Мониторинг» - «Текущая активность» можно отслеживать процесс восстановления (как только задача перейдет в состояние «Завершено», это означает, что архивы восстановлены).
После восстановления, архивы в долговременном хранилище никуда не пропадают. Восстановленные из архивов журналы остаются в базе, доступные для просмотра через графический интерфейс, в течение нескольких дней (число дней задаётся в настройках архивирования и восстановления), и после этого периода удаляются из базы данных (но остаются в долговременном хранилище архивов).
8. Раздел «О программе»
Раздел «О программе» содержит информацию о версии ПО «Орлан» и об установленной лицензии. Также в этом разделе могут отображаться лицензионные счётчики (суммарное число пользователей, общий объем контролируемых данных). Лицензионные данные могут не отображаться в демонстрационных версиях.
Решение позволяет не ориентироваться на архитектурные и системные ограничения, а сделать ставку на передовые технологии обработки данных «на лету».
Передовые технологии
Продукт разработан командой специалистов с 15-летним опытом работы на российском рынке DCAP/ DAG.
15-лет на российском рынке DCAP/ DAG
адаптированный под локальные задачи и требования информационной безопасности.
Полностью российский продукт
и накопленных данных с уже эксплуатируемых западных аналогов.
Прозрачная миграция процессов
Зарегистрирован в реестре российского ПО – «Орлан»
Защита абсолютно всех данных компании
ПРЕИМУЩЕСТВА ОРЛАН
