Перейти к содержанию

Поиск почтовых сообщений

Назначение документа

В документе описана работа с почтовыми сообщениями пользователей — поиск, удаление, пересылка и просмотр писем. Ручной контроль внутренней корреспонденции позволяет:

  1. Управлять внешними и внутренними коммуникациями, проверять подозрительную активность в почтовой системе.
  2. Удалять ошибочную или конфиденциальную информацию для минимизации рисков возможных утечек данных.
  3. Следовать правовым актам о работе с данными.
  4. Предотвращать фишинговые атаки.

Документ предназначен для использования администраторами организации.

Ролевая модель доступа

Для чего необходимо разделение функций по ролевой модели:

  • Аналитик информационной безопасности может видеть содержимое писем для проведения последующего анализа, но не может удалять их — это исключает риск ошибочного или злоумышленного удаления важной информации.
  • Эксперт информационной безопасности не имеет доступа к полному содержимому, но на основе предоставленного анализа и сопроводительных материалов от аналитика может принимать решение об удалении писем, содержащих конфиденциальную информацию или иных данных, представляющих риск утечки.

Аналитик информационной безопасности

Доступные функции:

  • Использование фильтров.
  • Просмотр списка найденных писем.
  • Выполнение действий с результатами поиска.
  • Просмотр полной информации о письме, включая:
    • оригинал письма;
    • пересылку письма.
  • Пересылка письма.

Недоступные функции:

  • Удаление писем.

Эксперт по информационной безопасности

Доступные функции

  • Использование фильтров.
  • Просмотр списка найденных писем.
  • Выполнение действий с результатами поиска.
  • Просмотр ограниченной информации о письме:
    • Отправитель.
    • Получатель.
    • Тема.
    • Дата и время.
  • Удаление писем.

Недоступные функции:

  • Просмотр оригинального письма.
  • Пересылка письма.

Аудитор и Администратор

Не имеют доступа к разделу.

Все действия Аналитика и Эксперта по информационной безопасности логируются.

Настройка функциональности

Шаг 1. Включите функциональность в установщике Почты VK WorkSpace

  1. Перейдите в интерфейс установщика Почты VK WorkSpace по адресу http://server-ip-address:8888 и далее в раздел Продукты.

  2. Включите Система поиска и удаления писем из интерфейса поиска писем и Kafka внутри инсталляции:

    search

    Нажмите на кнопку Сохранить.

  3. Если планируется использовать внешний брокер сообщений Kafka:

    1. Перейдите на страницу НастройкиИнтеграции и выберите пункт Поиск и удаление писем из интерфейса поиска писем.
    2. Настройте параметры подключения к Kafka. Для каждого топика выделите 10 партиций в Kafka.

Шаг 2. Подключите функциональность поиска писем

Чтобы подключить данную функциональность, обратитесь в техническую поддержку или к вашему персональному менеджеру.

Необходимые фичи для работы функциональности:

  1. new-frontend-as-module
  2. mail-search
  3. mpop-messages-enabled
  4. analyst-role-enabled, auditor-role-enabled, expert-role-enabled — для включения соответствующих ролей.

Шаг 3. Запустите установку

В интерфейсе установщика нажмите на кнопку Сгенерировать автоматически. Дождитесь окончания процесса настройки.

Шаг 4. Запустите генерацию токенов

  1. В интерфейсе установщика нажмите на логотип AdminPanel и далее на иконку search у контейнера autogen-tar1.

  2. Нажмите на кнопку Запустить для init_autogen_tokens. Дождитесь окончания процесса настройки.

Поиск писем

Поиск писем — сервис для поиска почтовых сообщений по домену.

Note

В версии 25.2 поиск возможен только по 100 ящикам домена.

Чтобы найти письма:

  1. В Панели администратора перейдите в раздел Поиск писем.

  2. Нажмите на кнопку Начать поиск.

  3. В форме введите параметры для поиска и нажмите на кнопку Применить:

    search

    Вы можете остановить поиск писем, просмотреть результат и запустить поиск снова при необходимости.

Действия с письмами

Вы можете:

  • Просмотреть письмо. Для просмотра доступны все поля письма, кроме содержимого вложений. Вложения можно скачать для анализа, вне зависимости от их размера и формата.

  • Открыть оригинал письма.

  • Переслать письмо. В версии 25.2 доступна пересылка писем по одному за раз.

  • Удалить письмо. Письмо удалится из всех затронутых ящиков, включая отправителя и всех получателей. Удаление работает через механизм «суперкорзины» и не попадает в Корзину пользователя — восстановление со стороны пользователя невозможно. Удаление выполняется мгновенно, без подтверждения со стороны пользователей.

  • Поделиться результатами поиска. Для этого скопируйте URL-адрес и отправьте его другому пользователю.

Для этого нажмите на иконку search в строке с письмом и выберите действие. Ниже на скрине представлены действия, доступные Эксперту ИБ:

search