Решение по персонализации и профилированию пользователей в системе ArcSight

Основным компонентом решения является набор корреляционных правил и активных листов. Решение состоит из трех частей:
• Подсистема персонализации
• Подсистема профилирования
• Подсистема анализа сервисов и доступа к внешним ресурсам

Подсистема персонализации
Служит для создания персональной карты пользователя, включающей в себя необходимый набор атрибутов (даты принятия на работу/увольнения, должность, подразделение, регион, имя и IP адрес рабочей станции и т.д.), используя механизм, включающий в себя набор скриптов, map-файлов, корреляционных правил и активных листов.

Подсистема профилирования
Служит для создания собственного профиля пользователя, включающего в себя необходимый набор атрибутов (даты работы в системе, типы исполняемых транзакций и операций, среднестатистическое количество исполняемых транзакций и операций, контрагенты пользователя и т.д.), используя механизм, включающий в себя набор корреляционных правил и активных листов.

Подсистема анализа сервисов и доступа к внешним ресурсам
Подсистема включает в себя черные списки IP адресов и URL-ов подозрительных ресурсов, таких как бот-сети, рекламные сайты, сайты с запрещенным контентом, социальные сети и т.д. Списки автоматически обновляются и могут редактироваться. На основе данных списков формируются отчеты и информационные панели, предоставляющие статистическую информацию о пользователях, нарушающих принятые в компании политики информации.
Также, подсистема включает в себя набор правил, регистрирующих использование пользователями неразрешенных в Компании сервисов.

Ниже представлены примеры некоторых информационных панелей:



Рисунок 1 - Графическая панель (Dashboard) – Статистика выполненных транзакций



Рисунок 2 – Активный канал – Статистика инцидентов




Рисунок 3 - Графическая панель (Dashboard) – Статистика использования сервисов и доступа к внешним ресурсам