帮助中心
快速开始
- 概述
- 系统要求
- 所需的最低权限
- 默认端口配置
- 安装 DataSecurity Plus
- 卸载 DataSecurity Plus
- 启动 DataSecurity Plus
- 启动 DataSecurity Plus
- 配置您的解决方案
- 许可证详情
- 应用许可证
文件审计
- 关于文件审计
设置文件审计
仪表板
报告
警报
配置
存储配置
文件分析
数据风险评估
Endpoint DLP
- 关于 Endpoint DLP
设置 Endpoint DLP
报告
警报
预防策略
配置
云保护
- 关于云保护
- 网关服务器安装步骤
- Endpoint 中的网关配置
- 网关集群配置
- 网关服务器管理
- 证书机构配置
- 双向 SSL 配置
- 管理证书信任存储
- 威胁分析数据库
- 管理禁止的应用程序
- 管理授权的应用程序
- 重新生成网关服务器访问密钥
- 更新网关服务器
- 网关服务器故障转移
- 负载均衡配置
- 云应用发现
设置云保护
仪表板
报告
控制策略
存储配置
管理设置
通用设置
版本说明
2026
2025
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
故障排除
指南
- Agent 文档
- 如何迁移/移动 DataSecurity Plus
- 如何应用 SSL 证书
- 如何自动备份 DataSecurity Plus 数据库
- 如何在 DataSecurity Plus 中设置警报
- 如何保护您的 DataSecurity Plus 安装
配置终端 DLP 模块中的警报
默认警报配置文件
终端 DLP 模块可以配置为触发实时电子邮件警报、执行脚本操作、防止 USB 访问,以及从您的数据存储库中重新定位或删除敏感文件。默认配置文件中的警报条件可以自定义,有助于快速识别关键终端操作。
编辑警报
要查看和编辑终端 DLP 模块中的警报,请按照以下步骤操作:
- 从模块下拉菜单中选择 Endpoint DLP 。
- 转到 配置 > 审计/警报配置文件 > 警报配置。在这里,您将找到文件完整性监视器、可移动存储、打印机、剪贴板、邮件客户端、网页、文件共享和网络共享类别中预配置的警报。
- 点击 编辑图标 旁边的警报配置文件选项以查看其参数。
- 在 条件 部分,使用以下标签缩小触发警报的条件范围:
- 4.1. 使用 包含 标签选择您想为其创建警报的实体。
- 4.2. 使用 排除 排除
- 标签以排除受信任的实体。 4.3. 使用 阈值 标签如果您想配置基于阈值的警报(即当指定时间段内发生的事件数量超过指定值时触发警报)。点击 启用 1700 = 并配置超过该事件数量时应触发警报的事件数(例如, = 2 = 事件发生在: = 分钟内,按:).
- 同一用户 4.4. 使用 响应
- 4.4.1. 向利益相关者发送电子邮件通知: 点击.
- 电子邮件 > 启用电子邮件通知
- 提供您希望发送警报邮件的电子邮件地址。地址之间用逗号分隔,确保电子邮件地址中无空格。 分配 优先级
- 级别给电子邮件。 通过提供 主题 和信息 个性化电子邮件。使用旁边的 自定义 选项,可以包括警报详细信息,例如 主题 用户名.
- 来源 如有必要,您可以通过配置“最多发送”部分中的适当值限制发送给每个收件人的邮件数量。例如,如果您配置了一个基于阈值的警报,设定为一分钟内出现 10000 次访问事件,并设置此部分为 = 1 = 最多发送 = 1 = 封邮件,在小时内
- 4.4.1. 向利益相关者发送电子邮件通知: 4.4.2. 警报触发时自动执行响应操作:.
- 在 脚本 > 启用脚本 脚本文件
- 在 文件夹中,DataSecurity Plus 才能执行它们。 参数
- 配置文件): 4.4. 使用 在 标签中,点击.
- 从模块下拉菜单中选择 阻止 USB > 启用阻止 USB 阻止所有外部存储设备 如果您想阻止源机器上所有 USB 设备使用。选择 仅阻止源设备
- 配置文件): 4.4. 使用 在 剪贴板.
- 从模块下拉菜单中选择 移动/删除 > 启用移动/删除 删除 如果您想删除一个实体。否则,选择 移动 并提供 目标路径
- 配置文件): 4.4. 使用 在 邮件客户端.
- 从模块下拉菜单中选择 用户提示 > 启用用户提示 允许 或 阻止
- 选择一个或多个响应后,点击保存。
标签执行以下操作:
,则在初始警报之后,如果异常访问趋势持续,每小时将发送一封邮件。
字段,选择您选择的脚本。您可以选择内置脚本或创建自定义脚本。注意 :所有脚本文件,包括自定义创建的,应位于 <安装目录>\bin\alertScripts
字段,选择您选择的脚本。您可以选择内置脚本或创建自定义脚本。字段,按预期执行顺序选择参数。 : 脚本的示例命令行格式
文本框展示参数执行的顺序。 4.4.3. 阻止 USB 设备(仅适用于 可移动存储
如果您只想阻止触发警报的 USB 设备。 4.4.4. 启用移动和删除响应(仅适用于 可移动存储
将触发警报的实体移动到指定位置。 4.4.5. 启用用户提示(仅适用于 可移动存储
字段,选择您选择的脚本。您可以选择内置脚本或创建自定义脚本。以警告用户有关策略违规。
:移动响应仅支持以下 UNC 格式:
\\MachineName\HiddenDriveShare\
\\MachineName\Share\Folder\示例 1 :将文件移动到服务器 S01 上 C 盘的文件夹 Myfolder ,配置目标路径为.
\\S01\C$\Myfolder示例 1 :将文件移动到服务器 S01 上 C 盘的文件夹 示例 2 在共享 在服务器 S01 上,配置目标路径为 \\S01\Myshare\Myfolder.
提示:脚本是迄今为止被严重低估的响应策略。您可以运行脚本关闭服务器、停止用户会话、禁用账户,以及执行更多操作。您想请求自定义响应吗? 联系我们的支持团队.
字段,选择您选择的脚本。您可以选择内置脚本或创建自定义脚本。:排除过滤器将优先于包含过滤器。
例如,要禁用通过该账户对服务器上的文件扩展名进行加密的勒索软件用户账户,请使用以下详细信息配置警报:
包含:用户对象 = 在 = 全部
操作 = 在 = 文件扩展名更改
文件类型类别 = 在 = 勒索软件加密文件
FIM 文件夹 = 等于 = 真
脚本文件: disableADAccount
参数: 选项,可以包括警报详细信息,例如
自动化警报响应
用户可以指示 Endpoint DLP 模块在警报触发时执行脚本响应操作。为此,您必须在 脚本 > 启用脚本 字段中链接所需的脚本文件以配置警报。脚本文件可以是 PowerShell 文件、VBScript 文件、可执行文件和批处理文件。这些自动化、多功能响应帮助您在检测到安全事件的瞬间执行补救行动,减少损害。
若要将这些命令针对网络中的特定实体,请配置一个或多个 文件夹中,DataSecurity Plus 才能执行它们。 以在命令中提供必要的输入。选定的参数将在命令中被警报事件对应的值替代。
参数及其描述
可根据配置的警报配置文件使用以下参数。
| 警报配置文件名称 | 适用参数 | 其指代的内容 | 示例 (在警报通知中显示的方式) |
|
违规配置文件 | 触发该警报的 DLP 配置文件名称 | 文件完整性监控 - 文件系统 |
|
选项,可以包括警报详细信息,例如 | 执行动作的用户的 sAMAccountName | John |
|
用户名 | 文件所在的文件服务器或计算机名称 | DESKTOP-BPFJEIS |
|
文件大小 | 警报事件发生时文件的大小 | 163840 [以字节为单位] |
|
创建时间 | 用户创建文件的确切时间 | 1671235784 [Unix 纪元时间戳] |
|
最后访问时间 | 文件最近一次访问的时间 | 1672305065 [Unix 纪元时间戳] |
|
最后修改时间 | 文件最近一次修改的时间 | 1672305065 [Unix 纪元时间戳] |
|
和 | 对文件执行的操作 | 修改 |
|
位置 | 生成事件的文件的本地路径 | C:\DSPDEMO\myfile.txt 允许 \\DSP-DEMO\Test\ExcludeConf.txt |
|
位置 | 生成事件的文件的网络路径 | \\DSP-DEMO\Test\ExcludeConf.txt |
|
新文件名 | 执行动作后文件的新名称或位置 | C:\DSPDEMO\testing\myfile.txt |
|
新文件名 | 执行动作后文件的新网络路径 | \\DSP-DEMO\Test\IncludeConf.txt |
|
进程名称 | 执行文件操作的进程名称及完整路径 | C:\Program Files\Mozilla Firefox\firefox.exe |
|
客户机主机 | 发起文件操作的客户端计算机名称 | ADMANMS1 |
|
USB 事件 | 操作是否在 USB 上执行 | false |
|
生成时间 | 用户执行文件操作的时间 | 1672305065 [以毫秒为单位] |
|
附件文件名 | 作为附件发送的文件名 | Employee details.docx |
|
附件文件大小 | 作为附件发送文件的总大小 | 456378 [以字节为单位] |
|
附件分类 | 附件文件被标记的分类值 | 内部 |
|
邮件分类 | 用户设置或从附件派生的邮件分类值(如适用) | 受限 |
|
发件人 | 发送邮件的用户电子邮件地址 | john@dsp.com |
|
收件人 | 邮件接收人的描述性名称 | sebastian@dsp.com |
|
抄送 | 收到邮件副本的次要收件人电子邮件地址: 抄送可以包含零个、一个或多个地址 | steve@dsp.com |
|
密送 | 对其他收件人不可见的次要收件人电子邮件地址: 密送可以包含零个、一个或多个地址 | rachel@dsp.com |
|
邮件主题 | 邮件顶部用于描述其目的或内容的简洁说明 | 关于敏感数据 |
|
邮件发送时间 | 邮件发送的时间 | 1672305065 [以毫秒为单位] |
|
是否为网络复制 | 文件是否从网络共享复制 | false |
|
复制源 | 文件复制的共享路径或位置 | DESKTOP-BPFJEIS |
|
打印机名称 | 目标打印机名称 | Lexmark MS317dn |
|
通知名称 | 执行打印的用户名 | Charlie-18670 |
|
总页数 | 打印的总页数 | 1 |
|
设备实例路径 | Windows 为执行操作的外部硬件设备分配的唯一 ID | USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_BLADE&REV_1.00\4C530001040815117131&0 |
触发警报的通知邮件示例
默认脚本响应
DataSecurity Plus 安装包包含一些内置脚本,用于常用响应操作。以下列出部分:
| 脚本文件名 | 脚本动作 | UI 中适用的参数 | 示例用例 |
| disableADAccount.ps1 | *禁用 AD 账户 | 选项,可以包括警报详细信息,例如 | 可用于禁用触发警报的文件更改的源用户账户。 |
| disableNetwork.ps1 | 禁用计算机上的网络访问 | 客户机主机或来源 | 可用于禁用触发警报的文件更改的源机器的网络访问。 |
| triggerShutdown.bat | 关闭计算机或服务器 | 客户机主机或来源 | 可用于关闭警报触发文件操作的源机器。 在勒索软件攻击或数据泄露的情况下,可以使用 Source 参数或 Client Host 参数通过关闭受影响的服务器来阻止事件的扩散。 |
| ransomwareResponse.ps1 | *锁定源用户账户,结束用户会话,并关闭主机机器(前提是主机机器和 DataSecurity Plus 服务器属于同一网络) | 用户名、客户端主机和来源 | 当检测到潜在勒索软件攻击时,此响应脚本通过隔离感染机器、锁定用户、结束用户会话及关闭主机来阻止勒索软件传播。 |
*为确保某些脚本文件成功执行,需在安装 DataSecurity Plus 的机器上启用以下服务。
- Windows 远程管理
- 在开始菜单中键入 服务 并打开 服务 窗口。
- 选择 Windows 远程管理 (WS - Management) 服务。
- 在窗口的左侧窗格中,位于 本地服务,点击 启动服务.
- RSAT:Active Directory 域服务和轻量级目录服务工具
- 在开始菜单中键入 应用和功能 在开始菜单中。
- 从模块下拉菜单中选择 可选功能 并点击 添加功能 在左上角。
- 在开始菜单中键入 RSAT:Active Directory 域服务和轻量级目录服务工具 在搜索栏中,选择它,然后点击 安装.
为告警脚本生成密码
我们建议为您的脚本文件生成加密密码,该密码用于执行目标脚本时的身份验证。要设置密码,请按照以下说明操作:
- 导航到 [installation_directory]\bin\alertScripts > helper 文件夹。
- 执行 generatePassword.bat 脚本以设置身份验证。
- 在 Windows PowerShell 凭据请求 窗口,在 用户名 主题 密码 字段旁输入您的 PowerShell 凭据以生成加密密码。请确保输入正确的密码以验证服务器。
- 4.4.1. 向利益相关者发送电子邮件通知: 确定.
字段,选择您选择的脚本。您可以选择内置脚本或创建自定义脚本。:与密码生成相关的文件将生成在 helper 文件夹中,位于 [installation_directory]\bin\alertScripts 路径下。为了确保生成的密码脚本文件正常运行,建议不要将 helper 文件夹及其文件从此位置移动。
禁用告警
您可以禁用告警以暂时停止其触发。要禁用现有告警:
- 从模块下拉菜单中选择 Endpoint DLP 。
- 转到 配置 > 审计/警报配置文件 > 警报配置.
- 在 告警配置文件 页面中,位于 操作 列,您会看到一个绿色图标,表示目标告警处于激活状态。点击 绿色图标 以禁用该告警。
有关在 DataSecurity Plus 中配置告警的更多信息,请参阅 本指南.