帮助中心
开始使用
- 概述
- 系统要求
- 权限指南
- 端口配置指南
- 安装DataSecurity Plus
- 卸载DataSecurity Plus
- 启动DataSecurity Plus
- 访问DataSecurity Plus
- 配置您的解决方案
- 许可详细信息
- 应用DataSecurity Plus许可
文件审核
- 关于文件审核
设置文件审核
仪表板
报表
告警
配置
存储配置
终端 DLP
- 关于终端 DLP
设置终端 DLP
报表
告警
配置
预防策略
云保护
- 关于云保护
设置云保护
仪表板
报表
存储配置
文件分析
- 关于文件分析
设置文件分析
仪表板
报表
告警
配置
数据风险分析
- 关于数据风险分析
设置数据风险分析
仪表板
报表
告警
配置
管理配置
常规设置
关于DataSecurity Plus
发型说明
2023
2019
2018
2017
2016
2015
指南
故障排除
第三方软件 联系我们告警
警报帮助利益相关者和管理用户及时了解组织文件存储环境中的关键事件。ManageEngine DataSecurity Plus允许您创建和管理Web控制台和电子邮件通知。
为了对警报配置进行精确控制,DataSecurity Plus支持两种类型的警报:
- 全局警报配置,可为所有或一组服务器配置。
- 特定于服务器的警报配置,针对特定服务器单独配置。
这两种类型的警报帮助IT技术人员有效地检测访问异常,同时防止警报过度疲劳。警报只能由管理员技术人员帐户创建和修改。
此外,响应也可以自动化,与触发的警报一起执行,以减轻事件可能造成的潜在损害。
创建全局警报
要创建全局警报:
- 从应用程序下拉菜单中选择文件审计。
- 转到配置 > 一般设置 > 警报配置。
- 确保您在全局警报选项卡中,然后单击选项卡右上角的“添加全局警报”。
- 为警报配置输入适当的名称和描述。
- 单击“已选择服务器”字段旁边的+图标,并选择要将此配置应用于的服务器。
- 要将此配置应用于将来可能添加到DataSecurity Plus的任何新服务器,请选中“将配置应用于新服务器”旁边的复选框。
- 使用适当的严重级别对警报进行分类。
- 如果要配置基于阈值的警报,即当给定持续时间内发生的事件数量超过指定值时触发警报:
- 选中“阈值限制”框。
- 配置从源处触发警报的事件数量超过应触发警报的值。例如,1700个事件=在2分钟内=同一用户。
- 在触发警报时自动执行响应操作,为触发警报提供脚本文件的路径。您可以选择内置脚本或创建自己的脚本。所有脚本文件,包括自定义创建的脚本,都应位于DataSecurity Plus的<installation_directory>/bin/alertScripts文件夹中,以便执行它们。
- 在参数下,选择要由脚本文件使用的附加参数。
- 要将电子邮件通知发送给利益相关者:
- 选中“电子邮件通知”框,并单击编辑图标以打开电子邮件设置弹出窗口。
- 要通知文件所有者或触发警报的用户,请单击添加,并在下拉菜单中选择相应的选项。
- 为电子邮件分配优先级。
- 通过提供主题和消息来个性化电子邮件。通过在每个旁边使用添加选项,您可以包括警报详细信息,例如用户名称、客户端IP等。
- 如果必要,您可以通过配置适当的值来限制将发送到每个收件人的电子邮件数量“发送最多”部分。例如,如果您为一分钟内的10000次访问事件配置了基于阈值的警报,并且将此字段设置为“在1小时内发送最多=1封电子邮件”,则如果异常访问趋势持续下去,将在初始警报之后的每小时发送一封电子邮件。
- 单击保存。
- 在“条件”部分,您将有两个选项卡来缩小触发警报的事件范围:
- 使用“包括”部分选择要创建警报的实体。
- 选择“排除”选项卡以免除对可信实体的警报。
- 单击保存以创建新的警报。
否则,请跳过此步骤。
修改全局警报
要修改现有的全局警报:
- 从应用程序下拉菜单中选择文件审计。
- 转到配置 > 一般设置 > 警报配置。
- 确保您在全局警报选项卡中。
- 从表的“操作”列中,单击要更新的警报旁边的编辑图标。
- 更新所需的详细信息。
- 单击保存,然后单击确定。
B) 服务器特定警报
当先前的安装(在版本6060之前)更新到最新版本时,现有的自定义警报将移至“服务器特定警报”选项卡。在“服务器名称”字段中选择服务器时,两个表将显示特定于该服务器的警报列表以及应用于服务器的全局警报。
创建特定于服务器的警报
要创建特定于服务器的警报:
- 从应用程序下拉菜单中选择文件审计。
- 转到配置 > 一般设置 > 警报配置。
- 单击“服务器特定警报”选项卡。
- 在“服务器名称”字段中选择要自定义警报的服务器。
- 单击选项卡右上角的“添加服务器警报”。
- 为警报配置输入适当的名称和描述。
- 使用适当的严重级别对警报进行分类。
- 如果要配置基于阈值的警报,即当给定持续时间内发生的事件数量超过指定值时触发警报:
- 选中“阈值限制”框。
- 配置从源中触发警报的事件数量超过应触发警报的值。例如,1000个事件=在1分钟内=通过任何源。
- 在触发警报时自动执行响应操作,为触发警报提供脚本文件的路径。您可以选择内置脚本或创建自己的脚本。所有脚本文件都应位于DataSecurity Plus的<installation_directory>/bin/alertScripts文件夹中,以便执行它们。
- 在参数下,选择要由脚本文件使用的附加参数。
- 要将电子邮件通知发送给利益相关者:
- 选中“电子邮件通知”框,并单击编辑图标以打开电子邮件设置弹出窗口。
- 提供您希望发送警报电子邮件的电子邮件地址。用逗号分隔地址。确保电子邮件地址中没有空格。
- 要通知文件所有者或触发警报的用户,请单击添加,并在下拉菜单中选择相应的选项。
- 为电子邮件分配优先级。
- 通过提供主题和消息来个性化电子邮件。通过在每个旁边使用添加选项,您可以包括警报详细信息,例如用户名称、客户端IP等。
- 如果必要,您可以通过配置适当的值来限制将发送到每个收件人的电子邮件数量“发送最多”部分。例如,如果您为一分钟内的10000次访问事件配置了基于阈值的警报,并且将此字段设置为“在1小时内发送最多=1封电子邮件”,则如果异常访问趋势持续下去,将在初始警报之后的每小时发送一封电子邮件。
- 单击保存。
- 在“条件”部分,您将有两个选项卡来缩小触发警报的事件范围:
- 使用“包括”部分选择要创建警报的实体。
- 选择“排除”选项卡以免除对可信实体的警报。
- 单击保存以创建新的警报。
否则,请跳过此步骤。
修改特定于服务器的警报
要修改现有的全局警报:
- 从应用程序下拉菜单中选择文件审计。
- 转到配置 > 一般设置 > 警报配置。
- 单击“服务器特定警报”选项卡。
- 从表的“操作”列中,单击要更新的警报旁边的编辑图标。
- 更新所需的详细信息。
- 单击保存,然后单击确定。
自动警报响应
用户可以指示文件审计模块在触发警报时执行响应操作。为此,在配置警报时必须在“脚本文件路径”字段中链接所需的脚本文件。这些可以是PowerShell、VBScript、可执行文件和批处理文件,但必须位于<DataSecurity Plus安装目录>/bin/alertScripts文件夹中。
这些自动化的、多功能的响应帮助您在检测到安全事件时立即执行补救操作,从而减少可能造成的损害。
为了将这些命令针对您网络中的特定实体,配置一个或多个参数以向命令提供所需的输入。所选参数将由警报事件中的相应值替换在命令中。以下参数可用:
| 参数 | 指的是 | 示例 (这些将在警报通知中显示) |
| 用户名 | 执行操作的用户的sAMAccountName。 | Sebastian |
| 用户SID | 生成事件的帐户的SID | S-1-5-21-1798521379-1002 |
| 服务器名称 | 文件所在的文件服务器的名称。 | DSPDEMO、FS01等 |
| 本地路径 | 执行操作的文件或文件夹的位置。 | C:\Program Files (x86)\ManageEngine\DataSecurity Plus\file.txt |
| 进程名称 | 进程名称 执行文件操作的进程的名称和完整路径。 进程名称仅针对在文件服务器上本地生成的文件操作收集。 | C:\Windows\System32\cmd.exe |
| 旧共享路径 | 网络中共享文件的旧位置/UNC路径,在对其执行操作之前。如果操作既不是移动也不是重命名,则旧共享路径和新共享路径将相同。 | \\DSPDEMO\Shared\Org\Guidelines.html |
| 新共享路径 | 网络中共享文件的新位置/UNC路径。当移动或重命名操作触发警报时,新的共享路径显示完成操作后文件的新位置。 | \\DSPDEMO\Alternate\Guidelines.html |
| 客户端IP地址 | 文件操作发生的客户端计算机的IP地址。它可以是IPv4或IPv6。 | fe80::70c2:7c81:c35f:29c7%12, 192.168.0.33 |
| 主机名 | 客户端主机名称是指生成文件操作的客户端主机的名称。 | dspdemo |
数据安全加版安装包含有一些常用响应操作的内置脚本。其中一些列在下表中:
| 脚本文件名 | 脚本操作 | UI中适用的参数 | 示例用例 |
| 禁用 AD 帐户 | 禁用 AD 帐户 | 用户 SID | 可用于禁用触发警报的文件更改的源用户帐户。 |
| 禁用网络 | 禁用机器的网络访问。 | 客户端 IP、主机名或服务器名称 | 可用于禁用触发警报的文件更改源机器上的网络访问。 |
| triggerShutdown.bat | Shuts down computers or servers. | 客户端 IP、主机名或服务器名称 | 可用于关闭触发警报的文件操作的源计算机。在勒索软件攻击或数据泄露的情况下,可以使用服务器名称参数来关闭受影响服务器以阻止事件的扩散。 |
| ransomwarePrevention.ps1 | 具有适当权限的用户可以使用此脚本锁定源用户帐户、结束用户会话并关闭主机计算机,前提是主机计算机和 DataSecurity Plus 服务器属于同一网络。 | 用户名称、主机名称和服务器名称 | 当潜在的勒索软件攻击被启动时,此响应脚本将通过隔离受污染的计算机、锁定用户、结束用户会话和关闭主机来阻止勒索软件的传播。 |
如何编写和使用 DataSecurity Plus 中的自定义脚本
要在 DataSecurity Plus 中使用自定义脚本,请按照以下说明进行操作:
步骤 1 - 添加脚本文件路径
在指定的文本框中输入您想要执行的脚本文件的路径。请参考以下示例。
示例1: "[installation_directory]\bin\alertScripts\Shutdown.exe"
示例2: For .ps1 script files, prefix the script file path with powershell.exe -file.
powershell.exe -file "[installation_directory]\bin\alertScripts\disableNetwork.ps1"
示例3: wscript "[installation_directory]\bin\alertScripts\archive.vbs"
步骤2 - 从下拉菜单中选择参数
选择额外的事件参数作为命令行参数传递。如果您想传递多个参数,请按照您想要传递它们的顺序选择参数。
For example, if you want to disable a user who is mass deleting files, the alert configuration will look similar to this:
阈值限制:1分钟内50个事件,由相同用户执行
脚本文件路径:"[installation_directory]\bin\alertScripts\disableADAccount.bat"
参数:用户SID
提示: 脚本是迄今为止最被低估的响应策略。您可以运行脚本来关闭服务器,停止用户会话,禁用帐户,将服务器隔离在网络之外,等等。您需要定制脚本方面的帮助吗?请联系我们的支持团队。
禁用警报
您可以禁用警报以暂时停止其触发。要禁用警报:
- 选择应用程序下拉菜单中的“文件审计”。
- 转到“配置” > “常规设置” > “警报配置”。
- 如果要禁用特定于服务器的警报,请在“服务器特定警报”选项卡中选择该服务器。否则,保持在“全局警报”选项卡中。
- 从表格中,选择您要禁用的警报旁边的复选框。
- 单击表格顶部的禁用图标。
选定的警报将被禁用。
要永久删除警报:
- 从应用程序下拉菜单中选择“文件审计”。
- 转到“配置” > “常规设置” > “警报配置”。
- 选择与您想要删除的警报类型相对应的选项卡。
- 在表格中,选择要删除的警报旁边的复选框。
- 单击表格顶部的删除图标。
- 单击“确定”以确认操作。
选定的警报将被删除。
有关在 DataSecurity Plus 中配置警报的更多信息,请参阅此 指南。