帮助中心
开始使用
- 概述
- 系统要求
- 权限指南
- 端口配置指南
- 安装DataSecurity Plus
- 卸载DataSecurity Plus
- 启动DataSecurity Plus
- 访问DataSecurity Plus
- 配置您的解决方案
- 许可详细信息
- 应用DataSecurity Plus许可
文件审核
- 关于文件审核
设置文件审核
仪表板
报表
告警
配置
存储配置
终端 DLP
- 关于终端 DLP
设置终端 DLP
报表
告警
配置
预防策略
云保护
- 关于云保护
设置云保护
仪表板
报表
存储配置
文件分析
- 关于文件分析
设置文件分析
仪表板
报表
告警
配置
数据风险分析
- 关于数据风险分析
设置数据风险分析
仪表板
报表
告警
配置
管理配置
常规设置
关于DataSecurity Plus
发型说明
2023
2019
2018
2017
2016
2015
指南
故障排除
第三方软件 联系我们如何在DataSecurity Plus中配置告警
通过以下模块特定的说明,在DataSecurity Plus中配置告警和响应。如需进一步帮助,请发送电子邮件至 support@manageengine.cn。
文件审计中的告警和响应
通过以下步骤,自定义默认告警或配置新告警在 文件审计 中:
要定义告警配置文件,请导航至 文件审计 > 配置 > 设置 > 告警配置。或者,您可以在 告警 选项卡中单击 新告警配置文件 按钮。
告警选项 | 描述 |
告警详细信息 |
|
告警条件 |
通过在条件部分应用筛选器来指定触发新告警的事件。您可以使用包括或 排除 选项定义条件。 在包括选项卡中:
使用 + 选项添加更多包含条件。 类似地,您可以在 排除 选项卡中定义 排除 条件来触发告警。 在监视文件服务器时,将忽略配置的这些用户、文件路径或其他实体。 |
告警响应 |
当触发告警时,您可以:
|
注意:如果您正在定义多个包含条件,所有条件必须满足才能触发告警。
排除条件会覆盖包含条件。例如,如果您在 排除 选项卡下指定了特定的 文件名,则文件访问事件将监控所有其他文件,但不包括该特定文件。
在文件审计告警配置中设置电子邮件响应
在告警配置文件的电子邮件设置中,您可以自定义以下内容:
收件人 |
电子邮件可以发送给:
|
优先级 |
电子邮件中的优先级可以设置为:
|
主题 |
电子邮件的主题可以设置为:
|
消息 |
消息可以包括:
|
电子邮件限制 |
您可以通过定义所需时间间隔的最大电子邮件数量来限制告警电子邮件的数量。 |
文件分析中的告警和响应
通过以下步骤,在 文件分析 中自定义默认告警或配置新告警:
要定义告警配置文件,请导航至 文件分析 > 配置 > 设置 > 告警配置。
告警选项 | 描述 |
告警详细信息 | 定义 告警名称,告警描述 和 严重程度。 |
告警源 |
有两种来源可以生成告警:
|
告警条件 |
通过在条件部分应用筛选器来指定触发新告警的事件。您可以使用 包括 或 排除 选项来定义条件。 在包括选项卡中:
使用 + 选项添加更多包含条件。 类似地,您可以通过在 排除 选项卡中定义 排除 条件来触发告警。 在监视文件服务器时,将忽略配置的这些文件名、文件路径或其他实体。 |
告警响应 |
在 响应 选项卡中,配置告警触发后立即执行的后续操作。在配置之前,请勾选选项以启用它们。您可以: 在包括选项卡中:
使用 + 选项添加更多包含条件。 类似地,您可以通过在 排除 选项卡中定义 排除 条件来触发告警。 在监视文件服务器时,将忽略配置的这些文件名、文件路径或其他实体。 |
注意:如果您正在定义多个包含条件,所有条件必须满足才能触发告警。
排除条件会覆盖包含条件。例如,如果您在 排除 选项卡下指定了特定的 文件名,则文件访问事件将监控所有其他文件,但不包括该特定文件。
数据风险评估中的告警和响应
使用以下步骤基于策略、文件所有者和其他标准创建告警:
要定义告警配置文件,请导航至 风险分析 > 发现策略配置 > 告警配置文件。
告警选项 | 描述 |
告警详细信息 |
定义 告警名称、告警来源、描述 和 严重程度。 |
告警条件 |
示例:在相应的下拉菜单筛选器中选择策略、等于和GDPR。 |
告警响应 |
在 响应 选项卡中,配置在触发告警后立即启动的后续操作。在配置之前,请勾选选项以启用它们。您可以:
|
终端数据丢失防护中的告警和响应
通过以下步骤自定义默认告警以跟踪用户的终端活动。
要自定义告警配置文件,请导航至 终端数据丢失防护 > 配置 > 审计/告警配置文件 > 告警配置。
告警选项 | 描述 |
告警选择 |
单击告警配置文件选项卡以查看可用的告警。 |
告警详细信息 |
告警名称、告警来源、描述 和 严重程度 都是预定义的。 |
告警配置文件 |
终端数据丢失防护中的告警配置文件根据告警来源的不同而有所不同。请参考下面提到的各个配置文件的详细信息。要修改告警,单击各个告警旁边的 编辑图标。 |
告警条件 |
通过在条件部分应用筛选器来指定触发新告警的事件。您可以使用 包括 或 排除 选项来定义条件。 在包括选项卡中:
使用 + 选项添加更多包含条件。 类似地,您可以通过在 排除 选项卡中定义 排除 条件来触发告警。 在监视文件服务器时,将忽略配置的这些用户、文件路径或其他实体。请按照以下步骤自定义终端数据丢失防护模块中提供的各种告警来源和响应。 |
文件完整性监控 |
这些告警可用于跟踪敏感文件更改、用户活动或勒索软件攻击指示。 根据需要在 响应 部分定义告警响应。您可以选择发送电子邮件通知和/或执行脚本。 示例:
|
可移动存储 |
这些告警在USB驱动器中启动文件事件时触发。 根据需要在 响应 部分定义告警响应。您可以选择发送电子邮件通知、执行脚本、阻止在源计算机上使用所有USB设备,或阻止触发告警的USB设备的使用。 示例:
|
打印 |
这些告警用于监视打印请求。 根据需要在 响应 部分定义告警响应。您可以选择发送电子邮件通知和/或执行脚本。 示例:
|
剪贴板 |
这个告警可检测到关键文件的复制和粘贴事件。 根据需要在 响应 部分定义告警响应。您可以选择发送电子邮件通知、执行脚本,或者移动或删除文件。 示例:
|
电子邮件客户端 |
这些告警监视可能导致数据泄漏的外发电子邮件。 根据需要在 响应 部分定义告警响应。您可以选择在主动响应中警告用户有关策略违规,和/或选择被动响应,其中包括发送电子邮件通知和执行脚本。 示例:
|
网络 |
这个告警在可能上传或下载关键文件时触发。 根据需要在 响应 部分定义告警响应。您可以选择发送电子邮件通知和/或执行脚本。 示例:
|
文件共享 |
这个告警在检测到共享中的访问异常时触发。 根据需要在 响应 部分定义告警响应。您可以选择发送电子邮件通知和/或执行脚本。 示例:
|
告警响应 |
在每个告警配置文件的响应选项卡中,配置在触发告警后立即执行的后续操作。在配置这些选项之前,请勾选相应的复选框以启用它们。您可以:
|
注意:如果您定义了多个包含条件,所有条件必须满足才能触发告警。
排除条件会覆盖包含条件。例如,如果您在排除选项卡下指定了特定的文件名,则将监视其他所有文件的文件访问事件,而不包括该特定文件。
如何设置默认或自定义脚本响应
DataSecurity Plus支持在触发告警后立即执行脚本响应操作。默认脚本可在以下位置使用:[安装目录]\bin\alertScripts。
您也可以编写自定义脚本以满足您的需求。要编写脚本,请执行以下步骤:
- 指定将执行脚本的应用程序软件。
- 包括脚本文件的完整路径。
- 选择参数以在“参数”下拉菜单中定义脚本。
注意:为了使脚本顺利运行,必须按正确顺序选择“参数”下拉菜单中的参数。例如,请参考以下步骤:
步骤1:指定脚本文件路径。
步骤2:选择第一个参数。
步骤3 - 选择第二个参数。
Powershell脚本示例
Powershell.exe -file "D:\DataSecurityPlus scripts\trigger-shutdown.ps1"
参数1:客户端IP
VB脚本示例
Csscript "D:\DataSecurityPlus scripts\trigger-shutdown.vbs"
参数1:客户端IP "
注意:如果要在配置自定义脚本时添加更多参数,请按照上述指示按顺序选择参数。
如需进一步咨询和帮助,请通过support@manageengine.cn联系我们。