帮助中心
快速开始
- 概述
- 系统要求
- 所需的最低权限
- 默认端口配置
- 安装 DataSecurity Plus
- 卸载 DataSecurity Plus
- 启动 DataSecurity Plus
- 启动 DataSecurity Plus
- 配置您的解决方案
- 许可详情
- 应用许可
文件审计
- 关于文件审计
设置文件审计
仪表板
报告
警报
配置
存储配置
文件分析
数据风险评估
终端 DLP
- 关于终端 DLP
设置终端 DLP
报告
警报
预防策略
配置
云保护
- 关于云保护
- 网关服务器安装步骤
- 终端中的网关配置
- 网关集群配置
- 网关服务器管理
- 证书颁发机构配置
- 双向 SSL 配置
- 管理证书信任库
- 威胁分析数据库
- 管理禁止的应用
- 管理授权的应用
- 重新生成网关服务器访问密钥
- 更新网关服务器
- 网关服务器故障转移
- 负载均衡器配置
- 云应用发现
设置云保护
仪表板
报告
控制策略
存储配置
管理设置
常规设置
版本说明
2026
2025
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
故障排除
- HTTP 通信失败
- Dormant DataEngine
- Secure Gateway 服务器失败
- RPC 通信失败
- Cloud Protection Gateway 服务器失败
- 已知问题和限制
- 已知错误及解决方案
- 文件分析报告差异
指南
- 代理文档
- 如何迁移/移动 DataSecurity Plus
- 如何应用 SSL 证书
- 如何自动备份 DataSecurity Plus 数据库
- 如何设置 DataSecurity Plus 警报
- 如何保护您的 DataSecurity Plus 安装
在文件分析模块中配置警报
您可以设置电子邮件通知、执行脚本操作,以及移动或删除配置驱动器上的文件和文件夹作为警报响应。但是,这些触发警报的事件只会在 计划的文件分析扫描中发现,而非实时。
创建警报
要在文件分析模块中配置警报,请执行以下步骤:
- 从模块下拉菜单中选择 文件分析 。
- 转到 Configuration > Settings > Alert Configuration.
- 点击 创建警报 按钮,位于右上角。
- 为警报提供合适的名称。
- 在 警报源 下拉菜单中,选择 文件元数据 或 磁盘使用情况.
- 用所需信息描述新的警报。
- 在 条件 部分,使用以下标签缩小触发警报的条件范围:
- 7.1. 使用 包含 标签提供触发警报的详细条件。
- 7.2. 使用 排除 标签排除可信实体不触发警报。
- 7.3. 使用 响应 标签配置特定功能:
- 点击 电子邮件 > 启用电子邮件通知.
- 提供希望发送警报邮件的电子邮件地址。地址之间用逗号分隔。确保地址之间无空格。
- 分配一个 优先级 等级给邮件。
- 通过提供 主题 和 内容个性化邮件。使用每个旁边的 自定义 选项,可包含诸如用户姓名、客户端和 IP 等警报详情。
- 如有必要,您可以通过配置 发送最大数量 部分的值来限制发送给每个收件人的邮件数量。例如,您可以配置为 发送最大数量 = 1 = 封邮件在 = 1 = 小时内,确保异常访问模式持续时每小时发送1封邮件。
- 点击 脚本 > 启用脚本.
- 在 脚本文件 字段中选择您想要的脚本。您可以从内置脚本中选择或创建自己的脚本。
- 在 参数 字段中按执行顺序选择需要传递的参数。
- 在 响应 标签,点击 移动/删除 > 启用移动/删除。选择 删除 选项,如果您希望文件触发警报时被删除。若希望将文件移动到目标位置,请在 目标路径 下提供路径,位于 移动 选项中。
- 选择一个或多个响应后,点击 保存.
7.3.1. 向相关人员发送电子邮件通知:
7.3.2. 当警报触发时自动执行响应操作:
例如,要更改某驱动器中过期文件(最后访问时间超过两年)的权限,请按下列配置警报条件:
包含:最后访问时间 = 早于 = 2 = 年
驱动器字母 = 等于 = D:\
脚本文件: ChangePermissions (自定义脚本)
参数: 本地路径
7.3.3. 为特定文件启用移动和删除响应:
\\MachineName\HiddenDriveShare\
\\MachineName\Share\Folder\
示例 1: 要将文件移至服务器 S01 上 C 盘的文件夹 Myfolder ,配置目标路径为 \\S01\C$\Myfolder.
示例 2: 要将文件移至服务器 S01 上 C 盘的文件夹 Myfolder 在服务器 S01 上共享的文件夹 Myshare 中,配置目标路径为 \\S01\Myshare\Myfolder.
编辑警报
要修改现有警报:
- 从模块下拉菜单中选择 文件分析 。
- 转到 Configuration > Settings > Alert Configuration.
- 在 警报配置文件 页面,点击 编辑图标 在您想要更新的警报配置文件旁边。
- 根据您的需求更新警报条件,然后点击 保存 > 确定.
自动化警报响应
用户可以指示 File Analysis 模块在扫描期间触发警报时执行响应操作。为此,您必须在配置警报时将所需的脚本文件链接到 脚本文件 字段。脚本文件可以是 PowerShell 文件、VBScript 文件、可执行文件和批处理文件。这些自动化的、多功能响应帮助您在检测到潜在问题的瞬间执行补救操作,减少造成的损害。
若要将这些命令定位到网络中的特定实体,请配置一个或多个 参数 以在命令中提供必要的输入。选定的参数将在命令中被警报对应值替换。
参数及其描述
下面的参数可以根据配置的警报配置文件使用。
| 参数 | 它指代的内容 | 示例 (在警报通知中如何显示) |
| 驱动器盘符 | 文件所在驱动器的名称 | C:\ |
| 服务器名称 | 文件或文件夹所在的文件服务器名称 | DSPDEMO |
| 最近访问时间 | 文件被访问的最近时间 | 1672305065 [Unix 纪元时间戳] |
| 最近修改时间 | 文件被修改的最近时间 | 1672305065 [Unix 纪元时间戳] |
| 创建时间 | 用户创建文件的确切时间 | 1671235784 [Unix 纪元时间戳] |
| 本地路径 | 生成警报的文件或文件夹的位置 | C:\DSPDEMO\testing\ourfile.txt |
| 文件名 | 触发警报的文件名称 | 35118.ISO |
| 文件大小 | 发生警报事件时文件的大小 | 163840 [以字节为单位] |
| 是否隐藏 | 定义文件是否隐藏的 Windows 属性 | false |
| 文件类型 | 文件的扩展名 | .doc |
| 文件类型类别 | 文件类型所属类别 | Microsoft Word 文档 |
| 监控类型 | 警报是针对文件夹还是文件生成的 | 文件夹/文件 |
触发警报的通知邮件示例
默认脚本响应
DataSecurity Plus 安装包包含此内置脚本,用于常用响应操作:
| 脚本文件名 | 脚本操作 | UI 中适用的参数 | 示例用例 |
| triggerShutdown.bat | 关闭计算机或服务器 | 服务器名称 | 这可用于关闭触发警报文件的源机器。 在勒索软件攻击或数据泄露的情况下,可以使用服务器名称参数通过关闭受影响服务器来阻止事件扩散。 |
为警报脚本生成密码
我们建议为您的脚本文件生成加密密码,该密码在执行目标脚本时用于身份验证。设置密码,请按照以下说明操作:
- 导航至 [installation_directory]\bin\alertScripts > helper 文件夹。
- 执行 generatePassword.bat 脚本以设置身份验证。
- 在 Windows PowerShell 凭据请求 窗口,在 用户名 和 密码 字段旁输入您的 PowerShell 凭据以生成加密密码。请确保输入正确的密码以验证服务器。
- 点击 确定.
禁用和删除警报
A) 禁用警报
禁用现有警报:
- 从模块下拉菜单中选择 文件分析 。
- 转到 Configuration > Settings > Alert Configuration.
- 在 警报配置文件 页面中,在 操作 列中,您会看到表示目标警报激活状态的绿色图标。点击 绿色图标 以禁用该警报。
B) 删除警报
删除现有警报:
- 从模块下拉菜单中选择 文件分析 。
- 转到 Configuration > Settings > Alert Configuration.
- 在 警报配置文件 页面中,选择您想删除的警报配置文件,点击 删除图标。选中的警报将被删除。
有关配置 DataSecurity Plus 警报的更多信息,请参阅 本指南.