Графы связей позволяют исследовать статистику сетевой коммуникации пользователей путем анализа интерактивного графического представления данных, хранимых в журналах аудита (событийного протоколирования), теневого копирования и удаленных данных теневого копирования. Отчеты отображаются в форме графов. Для построения графов используются различные типы данных, включая данные о чатах, звонках и передаваемых файлах в сервисах мгновенных сообщений и социальных сетях, а также данные о сообщениях, передаваемых по электронной почте, включая вложения. Анализ данных производится для следующих сетевых протоколов: IBM Notes, ICQ Messenger, IRC, Jabber, Mail.ru Агент, MAPI, Skype, SMTP, Социальные сети, Telegram, Viber, Web-почта, WhatsApp и Zoom. При построении графов могут не учитываться удаленные данные теневого копирования, относящиеся к размерам файлов, передаваемых через сервисы мгновенных сообщений, или в виде вложений, передаваемых по электронной почте.

В состав графа входят два основных элемента: узлы (участники коммуникаций) и линии связей. Узлами представлены объекты Active Directory (AD), такие как домен, подразделение (OU) или пользователь. Линиями обозначаются связи или соединения между узлами. Толщина линии связи между двумя узлами отражает общее число коммуникаций между ними, включая количество чатов и переданных файлов в сервисах мгновенных сообщений, звонков, чатов в социальных сетях, а также количество сообщений и вложений, переданных по электронной почте. Тонкая линия означает незначительное число коммуникаций, толстая линия означает их большое количество.

При наведении указателя мыши на линию появляется всплывающее окно с информацией о связи между узлами, которые соединяет данная линия. Информация включает следующие сведения: канал коммуникации (напр., Skype, MAPI), направление коммуникации (входящая/исходящая), общий объем переданных данных, размер переданных файлов, а также число коммуникаций (таких как чаты и передача файлов в сервисах мгновенных сообщений, звонки Skype, чаты в социальных сетях, сообщения электронной почты, включая вложения) на канал.

Графы представляют собой иерархические структуры. Узлы верхнего уровня обозначают домены организации. Все узлы верхнего уровня подкрашены различными цветами. Щелчок на значке «плюс» (+) в правом нижнем углу узла верхнего уровня раскрывает узлы уровнем ниже, которые представляют пользователей данного домена. Все узлы нижнего уровня подкрашены в тот же цвет, что и родительский узел верхнего уровня для упрощения наглядной идентификации пользователей определенного домена. Щелчок на значке «плюс» (+) в правом нижнем углу узла уровня пользователя раскрывает информацию об идентификаторах выбранного пользователя (такую как адреса электронной почты, идентификаторы социальных сетей и сервисов мгновенных сообщений) и данные о соединениях с другими пользователями. Чтобы свернуть раскрытый узел, следует щелкнуть на значке “минус” (-).

При наведении указателя мыши на узел пользователя выводится всплывающее окно с информацией о данном пользователе. Эта информация включает имя пользователя в формате DOMAIN\UserName (например, DL\katya), имена компьютеров, которые он использует, а также идентификаторы пользователя (такие как адреса электронной почты, идентификаторы социальных сетей и сервисов мгновенных сообщений).

Пользователи в графах связей разделяются на два типа: внутренние и внешние. Внутренние пользователи - это пользователи внутри корпоративной сети, являющиеся членами домена организации; внешние пользователи - это пользователи вне корпоративной сети, не являющиеся членами домена организации. Внешние пользователи идентифицируются по адресам электронной почты или по идентификаторам социальных сетей и сервисов мгновенных сообщений.