Новые возможности КИБ SearchInform: обновление EndpointSniffer, DataCenter и AlertCenter

06.07.2016

Вернуться к списку новостей

1. EndpointSniffer стал поддерживать работу в VDI-инфраструктуре

Обновление важно для организаций, компьютерная инфраструктура которых представлена не физическими рабочими станциями, а терминалами, которые функционируют в единой виртуальной среде, размещенной в ЦОД. В этом случае станции используют для загрузки один мастер-образ, и все запущенные из этого образа агенты имеют одинаковый ID. Чтобы корректно идентифицировать данные, перехваченные каждым агентом, EndpointSniffer научился присваивать каждому из них уникальный ID.

Теперь при установке агента на мастер-образ можно активировать параметр «Очищать ID агента при старте» в настройках EndpointSniffer. Тогда агентам будет назначаться уникальный ID при каждом запуске – и система корректно идентифицирует перехват от каждого пользователя.

1

Опция также доступна в индивидуальных настройках агентов.

2

2. В EndpointSniffer стала доступна балансировка нагрузки

Платформа научилась балансировать нагрузку, чтобы поддерживать неизменно высокую производительность. Обновленная версия позволяет ограничить число агентов, одновременно передающих данные серверу (при прямом подключении). Для этого в настройках консоли нужно указать «Максимальное число агентов на сервер»: минимальное значение для параметра – 0 (без ограничений), максимальное – 5000.

3

При достижении указанного количества агентов сервер оповещает о том, что он переполнен. Другие агенты воспринимают такой ответ сервера как недоступность и начинают циклически проверять сервера из перечня альтернативных серверов ES на возможность передачи данных. Если все сервера недоступны/загружены, агенты накапливают перехваченные данные в своем локальном хранилище и продолжают попытки установить соединение с сервером ES.

3. SearchInform DataCenter реализует новую систему лицензирования

Раньше установку, обновление и распределение лицензий нужно было осуществлять отдельно для каждого продукта КИБ. Теперь для всех продуктов выписывается единая лицензия, которая обрабатывается приложением DataCenter. Это упростило работу: DataCenter самостоятельно генерирует и обновляет лицензии всех продуктов КИБ, а также автоматически или по заданным условиям распределяет доступные лицензии между серверами.

Количество лицензий, выдаваемых тому или иному продукту, определяется настройками. Далее в процессе работы продукт сам контролирует срок окончания лицензии. Настройки вызываются из контекстного меню продукта (или сервера).

Особенности настроек:

  • В настройках лицензий для Search Server может быть разрешена выдача лицензий, в том числе автоматически.

4

  • Относительно серверов NetworkSniffer и EndpointSniffer может быть указано количество выдаваемых лицензий для каждого продукта. Количество выдаваемых продукту лицензий не может превышать количество свободных.

5

При выборе параметра «Распределить неиспользуемые лицензии автоматически» данному продукту будут выданы все лицензии, являющиеся на данных момент свободными. Если серверов EndpointSniffer/NetworkSniffer несколько, лицензии будут распределены между ними поровну.

  • Для компонентов AlertCenter и ReportCenter автоматическая выдача лицензий установлена по умолчанию и изменению не подлежит.

Сейчас новая система лицензирования совместима только с Search Server версий 4.70.0.1 и выше.

4. SearchInform AlertCenter улучшил поиск по регулярным выражениям и изменил логику работы карантина

Обновленное ядро расчета позволяет до двух раз увеличить скорость по регулярным выражениям для политик, содержащих несколько критериев поиска.

Кроме того, КИБ усовершенствовал принцип работы карантина: теперь AlertCenter позволяет создавать несколько политик карантина и включать один и тот же индекс MailSniffer в несколько политик (в том числе, в каждой политике производить поиск по всем индексам).

6

Функционал также позволяет настроить отдельные права доступа к политикам карантина.

7