帮助中心

第三方软件 联系我们
×
  • Rate this page:
  • WRITE TO US
  • Please enter a valid the email id
  • By clicking 'SEND', you agree to processing of personal data according to the Privacy Policy.

如何在DataSecurity Plus中配置告警

通过以下模块特定的说明,在DataSecurity Plus中配置告警和响应。如需进一步帮助,请发送电子邮件至 support@manageengine.cn

文件审计中的告警和响应

通过以下步骤,自定义默认告警或配置新告警在 文件审计 中:

要定义告警配置文件,请导航至 文件审计 > 配置 > 设置 > 告警配置。或者,您可以在 告警 选项卡中单击 新告警配置文件 按钮。

告警选项 描述
告警详细信息
  1. 勾选以启用 阈值限制
  2. 选择触发告警所需的最小事件数。指定最小事件数必须发生的时间间隔。
  3. 基于用户、进程或其他来源设置告警源。
告警条件

通过在条件部分应用筛选器来指定触发新告警的事件。您可以使用包括或 排除 选项定义条件。

在包括选项卡中:

  1. 从下拉菜单中选择需要设置告警条件的参数。 示例:操作
  2. 从中间下拉菜单中选择运算符。根据您选择的参数,运算符将自动填充。 示例:包括
  3. 根据触发告警的参数值提供值。 示例:重命名

使用 + 选项添加更多包含条件。

类似地,您可以在 排除 选项卡中定义 排除 条件来触发告警。

在监视文件服务器时,将忽略配置的这些用户、文件路径或其他实体。

告警响应

当触发告警时,您可以:

  • 启用电子邮件通知:在触发告警时通过电子邮件立即通知。指定发送到您收件箱的最大电子邮件数量,以避免电子邮件疲劳。
  • 自定义脚本响应:创建脚本并定义参数以在触发告警时启动响应,或从 [安装目录]\bin\alertScripts 中选择默认脚本。

注意:如果您正在定义多个包含条件,所有条件必须满足才能触发告警。

排除条件会覆盖包含条件。例如,如果您在 排除 选项卡下指定了特定的 文件名,则文件访问事件将监控所有其他文件,但不包括该特定文件。

在文件审计告警配置中设置电子邮件响应

在告警配置文件的电子邮件设置中,您可以自定义以下内容:

收件人

电子邮件可以发送给:

  1. 任何特定的电子邮件地址。
  2. 所有者:文件的创建者。
  3. 呼叫者:触发告警的用户。
优先级

电子邮件中的优先级可以设置为:

  1. 正常。
  2. 高。
主题

电子邮件的主题可以设置为:

  1. 任何自定义文本。
  2. 下拉菜单中提供的告警信息变量。 (单击 添加 查看下拉菜单。)
消息

消息可以包括:

  1. 任何自定义文本。
  2. 告警信息变量。 (单击 添加 查看告警信息变量。)
电子邮件限制

您可以通过定义所需时间间隔的最大电子邮件数量来限制告警电子邮件的数量。

文件分析中的告警和响应

通过以下步骤,在 文件分析 中自定义默认告警或配置新告警:

要定义告警配置文件,请导航至 文件分析 > 配置 > 设置 > 告警配置。

告警选项 描述
告警详细信息

定义 告警名称,告警描述严重程度

告警源

有两种来源可以生成告警:

  1. 文件元数据:用于关注文件安全和其他文件属性的告警。
  2. 磁盘使用情况:用于关注文件存储和驱动器大小增长的告警。
告警条件

通过在条件部分应用筛选器来指定触发新告警的事件。您可以使用 包括排除 选项来定义条件。

在包括选项卡中:

  1. 从下拉菜单中选择需要设置告警条件的参数。 示例:驱动器号
  2. 从中间下拉菜单中选择运算符。根据您选择的参数,运算符将自动填充。 示例:不等于
  3. 根据触发告警的参数值提供值。 示例:C:\

使用 + 选项添加更多包含条件。

类似地,您可以通过在 排除 选项卡中定义 排除 条件来触发告警。

在监视文件服务器时,将忽略配置的这些文件名、文件路径或其他实体。

告警响应

响应 选项卡中,配置告警触发后立即执行的后续操作。在配置之前,请勾选选项以启用它们。您可以:

在包括选项卡中:

  1. 启用电子邮件通知:在触发告警时通过电子邮件立即通知。指定发送到您收件箱的最大电子邮件数量,以避免电子邮件疲劳。
  2. 自定义 脚本响应:创建脚本并定义参数,以在触发告警时立即执行响应。
  3. 移动或删除文件夹或文件:根据您的选择,将文件或文件夹移动到特定位置或删除它们。

使用 + 选项添加更多包含条件。

类似地,您可以通过在 排除 选项卡中定义 排除 条件来触发告警。

在监视文件服务器时,将忽略配置的这些文件名、文件路径或其他实体。

注意:如果您正在定义多个包含条件,所有条件必须满足才能触发告警。

排除条件会覆盖包含条件。例如,如果您在 排除 选项卡下指定了特定的 文件名,则文件访问事件将监控所有其他文件,但不包括该特定文件。

数据风险评估中的告警和响应

使用以下步骤基于策略、文件所有者和其他标准创建告警:

要定义告警配置文件,请导航至 风险分析 > 发现策略配置 > 告警配置文件

告警选项 描述
告警详细信息

定义 告警名称、告警来源、描述严重程度

告警条件
  1. 包括 选项卡中,使用下拉菜单设置所需的条件。
  2. 示例:在相应的下拉菜单筛选器中选择策略、等于和GDPR。

  3. 要在满足两个或多个条件时接收告警,设置 AND 函数。
  4. 要在满足两个或多个条件中的至少一个时接收告警,设置 OR 函数。
告警响应

响应 选项卡中,配置在触发告警后立即启动的后续操作。在配置之前,请勾选选项以启用它们。您可以:

  1. 启用电子邮件通知:在觋发告警时通过电子邮件立即通知。指定发送到您收件箱的最大电子邮件数量,以避免电子邮件疲劳。
  2. 自定义脚本响应:创建脚本并定义参数,以在觋发告警时立即启动响应。

终端数据丢失防护中的告警和响应

通过以下步骤自定义默认告警以跟踪用户的终端活动。

要自定义告警配置文件,请导航至 终端数据丢失防护 > 配置 > 审计/告警配置文件 > 告警配置

告警选项 描述
告警选择

单击告警配置文件选项卡以查看可用的告警。

告警详细信息

告警名称、告警来源、描述严重程度 都是预定义的。

告警配置文件

终端数据丢失防护中的告警配置文件根据告警来源的不同而有所不同。请参考下面提到的各个配置文件的详细信息。要修改告警,单击各个告警旁边的 编辑图标

告警条件

通过在条件部分应用筛选器来指定触发新告警的事件。您可以使用 包括排除 选项来定义条件。

在包括选项卡中:

  1. 从下拉菜单中选择需要设置告警条件的参数。
  2. 从中间下拉菜单中选择运算符。根据您选择的参数,运算符将自动填充。
  3. 根据触发告警的参数值提供值。

使用 + 选项添加更多包含条件。

类似地,您可以通过在 排除 选项卡中定义 排除 条件来触发告警。

在监视文件服务器时,将忽略配置的这些用户、文件路径或其他实体。请按照以下步骤自定义终端数据丢失防护模块中提供的各种告警来源和响应。

文件完整性监控

这些告警可用于跟踪敏感文件更改、用户活动或勒索软件攻击指示。

根据需要在 响应 部分定义告警响应。您可以选择发送电子邮件通知和/或执行脚本。

示例:
包括: 操作、在、修改
排除: 计算机帐户、在、AdminPC
阈值: 10 个事件,1 分钟,任何来源
响应: 启用电子邮件通知

可移动存储

这些告警在USB驱动器中启动文件事件时触发。

根据需要在 响应 部分定义告警响应。您可以选择发送电子邮件通知、执行脚本、阻止在源计算机上使用所有USB设备,或阻止触发告警的USB设备的使用。

示例:
包括: 操作、在、文件复制
排除: 用户对象、在、John
阈值: 50 个事件,在2分钟内,由相同用户
响应: 阻止所有外部存储设备

打印

这些告警用于监视打印请求。

根据需要在 响应 部分定义告警响应。您可以选择发送电子邮件通知和/或执行脚本。

示例:
包括: 操作、在、文件复制
排除: 用户对象、在、John
阈值: 30 个事件,30 分钟内,由相同用户
响应: 启用 脚本

剪贴板

这个告警可检测到关键文件的复制和粘贴事件。

根据需要在 响应 部分定义告警响应。您可以选择发送电子邮件通知、执行脚本,或者移动或删除文件。

示例:
包括: 操作、在、文件复制
排除: 用户对象、在、John
阈值: 30 个事件,在2分钟内,由相同用户
响应: 启用移动/删除

电子邮件客户端

这些告警监视可能导致数据泄漏的外发电子邮件。

根据需要在 响应 部分定义告警响应。您可以选择在主动响应中警告用户有关策略违规,和/或选择被动响应,其中包括发送电子邮件通知和执行脚本。

示例:
包括: 用户对象、在、Mel
排除: 用户对象、在、John
阈值: 5 个事件,在2分钟内,由相同用户
响应: 启用用户提示, 阻止

网络

这个告警在可能上传或下载关键文件时触发。

根据需要在 响应 部分定义告警响应。您可以选择发送电子邮件通知和/或执行脚本。

示例:
包括: 进程名称、包含、Chrome.exe
排除: 用户对象、在、John
阈值: 20 个事件,在2分钟内,由相同用户
响应: 启用电子邮件通知

文件共享

这个告警在检测到共享中的访问异常时触发。

根据需要在 响应 部分定义告警响应。您可以选择发送电子邮件通知和/或执行脚本。

示例:
包括: 操作、在、文件扩展名更改
排除: 用户对象、在、无
阈值: 10 个事件,在1分钟内,由相同用户
响应: 启用电子邮件通知

告警响应

在每个告警配置文件的响应选项卡中,配置在触发告警后立即执行的后续操作。在配置这些选项之前,请勾选相应的复选框以启用它们。您可以:

  1. 启用电子邮件通知:在告警触发后立即通过电子邮件通知。指定发送到您的收件箱的最大电子邮件数量,以避免电子邮件过载。
  2. 自定义脚本响应:创建脚本并定义参数以在告警触发后立即执行响应。
  3. 阻止 USB 设备(仅适用于可移动存储告警配置文件)。
  4. 移动或删除文件(仅适用于剪贴板告警配置文件)。
  5. 发送提示并/或阻止用户发送被分类为受限或敏感的文件的电子邮件(仅适用于电子邮件客户端告警配置文件)。

注意:如果您定义了多个包含条件,所有条件必须满足才能触发告警。

排除条件会覆盖包含条件。例如,如果您在排除选项卡下指定了特定的文件名,则将监视其他所有文件的文件访问事件,而不包括该特定文件。

如何设置默认或自定义脚本响应

DataSecurity Plus支持在触发告警后立即执行脚本响应操作。默认脚本可在以下位置使用:[安装目录]\bin\alertScripts。

您也可以编写自定义脚本以满足您的需求。要编写脚本,请执行以下步骤:

  1. 指定将执行脚本的应用程序软件。
  2. 包括脚本文件的完整路径。
  3. 选择参数以在“参数”下拉菜单中定义脚本。

注意:为了使脚本顺利运行,必须按正确顺序选择“参数”下拉菜单中的参数。例如,请参考以下步骤:

步骤1:指定脚本文件路径。

步骤2:选择第一个参数。

步骤3 - 选择第二个参数。

Powershell脚本示例

Powershell.exe -file "D:\DataSecurityPlus scripts\trigger-shutdown.ps1"

参数1:客户端IP

VB脚本示例

Csscript "D:\DataSecurityPlus scripts\trigger-shutdown.vbs"

参数1:客户端IP "

注意:如果要在配置自定义脚本时添加更多参数,请按照上述指示按顺序选择参数。

如需进一步咨询和帮助,请通过support@manageengine.cn联系我们。