帮助中心
快速开始
- 概述
- 系统要求
- 所需最低权限
- 默认端口配置
- 安装 DataSecurity Plus
- 卸载 DataSecurity Plus
- 启动 DataSecurity Plus
- 启动 DataSecurity Plus
- 配置您的解决方案
- 许可详细信息
- 应用许可
文件审计
- 关于文件审计
设置文件审计
仪表盘
报告
警报
配置
存储配置
文件分析
数据风险评估
终端 DLP
- 关于终端 DLP
设置终端 DLP
报告
警报
预防策略
配置
云保护
- 关于云保护
- 网关服务器安装步骤
- 终端中的网关配置
- 网关集群配置
- 网关服务器管理
- 证书授权配置
- 双向 SSL 配置
- 管理证书信任库
- 威胁分析数据库
- 管理禁止的应用程序
- 管理授权的应用程序
- 重新生成网关服务器访问密钥
- 更新网关服务器
- 网关服务器故障转移
- 负载均衡器配置
- 云应用发现
设置云保护
仪表盘
报告
控制策略
存储配置
管理设置
常规设置
版本说明
2026
2025
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
故障排除
指南
- 代理文档
- 如何迁移/移动DataSecurity Plus
- 如何应用SSL证书
- 如何自动备份DataSecurity Plus数据库
- 如何在DataSecurity Plus中设置警报
- 如何保护您的DataSecurity Plus安装
在文件审计模块中配置警报
警报帮助利益相关者和管理员用户掌握组织文件存储环境中的关键事件。ManageEngine DataSecurity Plus允许您创建和管理web控制台及电子邮件通知。
为了精确控制警报配置,DataSecurity Plus支持两种类型的警报:
- 全局警报配置文件,可针对所有服务器或服务器组进行配置。
- 特定服务器的警报配置文件,为特定服务器单独配置。
这些结合起来帮助IT技术人员高效检测访问异常,同时避免警报疲劳。警报只能由具有管理员权限的技术账户创建和修改。
此外,响应可以与触发的警报一同自动执行,以减轻事件可能造成的损害。
创建和编辑警报
A) 全局警报
安装DataSecurity Plus后,若干内置全局警报将自动激活。这些警报可针对所有配置的服务器和域中的事件进行配置。更多信息,请参阅 此页面。您也可以根据具体需求创建自定义全局警报。
创建全局警报
创建全局警报步骤:
- 选择 文件审计 模块下拉菜单中的选项。
- 进入 配置 > 常规设置 > 警报配置.
- 在 全局警报 标签页,点击 添加全局警报 (右上角)。
- 为警报配置文件输入合适的名称和描述。
- 点击 + 选定服务器字段旁的 图标,选择您想应用此配置文件的服务器。 若想将此配置文件应用于未来添加到DataSecurity Plus的新服务器,勾选
- 将配置文件应用于新服务器 复选框。.
- 为警报分配适当的严重级别。
- 在 条件 部分,使用以下标签缩小触发警报的条件:
- 8.1. 使用 包含 标签选择您想为其创建警报的实体。
- 8.2. 使用 排除 排除
- 标签排除受信任实体。 8.3. 使用 阈值 标签配置基于阈值的警报(即当某段时间内事件数量超过指定值时触发警报)。点击 启用 1700 = ,设置触发警报的事件数量(例如, = 2 = 事件在: = 分钟内:).
- 相同用户 8.4. 使用 响应
- 8.4.1. 向利益相关者发送电子邮件通知: 点击.
- 邮件 > 启用邮件通知
- 输入希望接收警报邮件的电子邮件地址,地址之间用逗号分隔,确保地址中无空格。 选择 文件所有者 若要通知文件创建者,选择 调用者
- 若要通知触发警报的用户,或选择两者。 为邮件分配 优先级
- 等级。 通过提供 主题 和消息 个性化邮件。使用 自定义
- 选项可以包含用户名称、客户端和IP等警报详情。 如有必要,可在 “最多发送” 如有必要,可在 = 1 = 部分配置邮件发送频率限制。例如,若您设置了1分钟内10000次访问事件触发的阈值警报,并设定 = 1 = 封邮件在小时内
- 8.4.1. 向利益相关者发送电子邮件通知: 8.4.2. 警报触发时自动执行响应动作:.
- 在 脚本 > 启用脚本 脚本文件
- 在 参数 字段,按预期顺序选择参数,确保响应正确执行。
- 选择一个或多个响应后,点击 保存.
标签完成以下操作:
,出现初始警报后,每小时会发送一封邮件,若异常访问趋势持续。
字段,选择您选择的脚本。您可以选择内置脚本或自定义脚本。注意:所有脚本文件,包括自定义脚本,必须存放于 <installation_directory>\bin\alertScripts 文件夹下,DataSecurity Plus方可执行。
字段,选择您选择的脚本。您可以选择内置脚本或自定义脚本。: 脚本的示例命令行格式 文本框显示参数执行顺序。
字段,选择您选择的脚本。您可以选择内置脚本或自定义脚本。:排除过滤器优先于包含过滤器。
例如,您要禁用批量删除文件的用户,警报配置如下:
包含:动作 = 包含 = 删除
用户对象 = 包含 = 全部
阈值限制:50 = ,设置触发警报的事件数量(例如, = 1 = 事件在: = 分钟内:
脚本文件: disableADAccount
参数: 用户名
修改全局警报
修改现有全局警报步骤:
- 选择 文件审计 模块下拉菜单中的选项。
- 进入 配置 > 常规设置 > 警报配置.
- 在 全局警报 标签页内, 操作 列中,您会发现每个已配置警报旁都有一个编辑图标。点击 编辑图标 在您想要更新的警报旁边。
- 更新所需的详细信息。
- 8.4.1. 向利益相关者发送电子邮件通知: 保存,然后点击 确定.
B) 服务器特定警报
当之前的安装(构建号6060之前)更新到最新构建时,现有的自定义警报将被移至 服务器特定警报 选项卡。当在 服务器名称 该选项卡的字段中选择服务器时,适用于所选服务器的全局警报和服务器特定警报会显示在相应的表格中。
创建服务器特定警报
要创建服务器特定警报:
- 选择 文件审计 模块下拉菜单中的选项。
- 进入 配置 > 常规设置 > 警报配置.
- 点击 服务器特定警报 选项卡。
- 在 服务器名称 字段中,选择您想要自定义警报的服务器。
- 8.4.1. 向利益相关者发送电子邮件通知: 点击选项卡右上角的“添加服务器警报”。 选项卡右上角。
- 为警报配置文件输入合适的名称和描述。
- 为警报分配适当的严重级别。
- 在 条件 部分,使用以下标签缩小触发警报的条件:
- 8.1. 使用 包含 标签选择您想为其创建警报的实体。
- 8.2. 使用 排除 排除
- 标签排除受信任实体。 8.3. 使用 阈值 标签配置基于阈值的警报(即当某段时间内事件数量超过指定值时触发警报)。点击 启用 1700 = ,设置触发警报的事件数量(例如, = 2 = 事件在: = 分钟内:).
- 相同用户 8.4. 使用 响应
- 8.4.1. 向利益相关者发送电子邮件通知: 点击.
- 邮件 > 启用邮件通知
- 输入希望接收警报邮件的电子邮件地址,地址之间用逗号分隔,确保地址中无空格。 选择 文件所有者 若要通知文件创建者,选择 调用者
- 若要通知触发警报的用户,或选择两者。 为邮件分配 优先级
- 等级。 通过提供 主题 和消息 个性化邮件。使用 自定义
- 选项可以包含用户名称、客户端和IP等警报详情。 如有必要,可在 “最多发送” 如有必要,可在 = 1 = 部分配置邮件发送频率限制。例如,若您设置了1分钟内10000次访问事件触发的阈值警报,并设定 = 1 = 封邮件在小时内
- 8.4.1. 向利益相关者发送电子邮件通知: 8.4.2. 警报触发时自动执行响应动作:.
- 点击 + 选定服务器字段旁的 脚本 > 启用脚本 字段中选择您想要的脚本。您可以选择内置脚本或创建自己的脚本。
- 在 参数 字段中,选择您想要传递的参数,按照执行的预期顺序。 命令行示例格式 的 脚本 文本框显示参数执行顺序。
- 选择一个或多个响应后,点击 保存.
标签完成以下操作:
,出现初始警报后,每小时会发送一封邮件,若异常访问趋势持续。
字段,选择您选择的脚本。您可以选择内置脚本或自定义脚本。注意:所有脚本文件,包括自定义脚本,必须存放于 <installation_directory>\bin\alertScripts 文件夹下,DataSecurity Plus方可执行。
字段,选择您选择的脚本。您可以选择内置脚本或自定义脚本。:排除过滤器优先于包含过滤器。
例如,如果您想在删除特定文件时禁用任何机器的网络访问,请使用以下详细信息配置警报设置:
包含:动作 = 包含 = 删除
当前文件名 = 包含 = EmployeeData
脚本文件: disableNetwork
参数: 主机名
修改服务器特定警报
要修改现有服务器特定警报:
- 选择 文件审计 模块下拉菜单中的选项。
- 进入 配置 > 常规设置 > 警报配置.
- 点击 服务器特定警报 选项卡。
- 在表格的 操作 列中,点击 编辑图标 在您想要更新的警报旁边。
- 更新所需的详细信息。
- 8.4.1. 向利益相关者发送电子邮件通知: 保存,然后点击 确定.
自动警报响应
用户可以指示 File Audit 模块在警报触发时执行响应操作。为此,您必须在配置警报时在 脚本 > 启用脚本 字段中关联所需的脚本文件。脚本文件可以是 PowerShell 文件、VBScript 文件、可执行文件和批处理文件。这些自动化、多功能的响应帮助您在检测到安全事件的瞬间执行补救操作,减少造成的损失。
若要将这些命令定位到网络中的特定实体,请配置一个或多个 参数 来为命令提供必要的输入。选定的参数将在命令中被警报事件中的相应值所替换。
参数及其说明
以下参数可根据配置的警报配置文件使用。
| 参数 | 它所指代的内容 | 示例 (在警报通知中的显示方式) |
| 用户名 | 执行动作的用户的 sAMAccountName | Sebastian |
| 用户 SID | 生成事件的账户的安全标识符(SID) | S-1-5-21-1798521379-1002 |
| 服务器名称 | 文件所在的文件服务器或机器名称 | DSPDEMO、FS01 等 |
| 本地路径 | 执行动作的文件或文件夹的位置 | C:\Program Files (x86)\ManageEngine\DataSecurity Plus\file.txt |
| 进程名称 | 执行文件操作的进程的名称和完整路径: 仅收集文件服务器本地生成的文件操作的进程名称 | C:\Windows\System32\cmd.exe |
| 旧共享路径 | 文件执行操作前的通用命名约定(UNC)路径: 如果动作既不是移动也不是重命名,则旧共享路径和新共享路径相同 | \\DSPDEMO\Shared\Org\Guidelines.html |
| 新共享路径 | 文件执行操作后的 UNC 路径: 当移动或重命名动作触发警报时,新共享路径显示动作完成后的新位置 | \\DSPDEMO\Alternate\Guidelines.html |
| 客户端 IP | 生成文件操作的客户端机器的 IP 地址:可以是 IPv4 或 IPv6 | fe80::70c2:7c81:c35f:29c7%12, 192.168.0.33 |
| 客户端主机 | 发起文件操作的客户端机器名称 | dspdemo |
触发警报的通知邮件示例
默认脚本响应
DataSecurity Plus 安装包包含一些用于常用响应操作的内置脚本。部分示例如下表所示:
| 脚本文件名 | 脚本操作 | UI 中适用的参数 | 示例用例 |
| disableADAccount.ps1 | *禁用 AD 账户 | 用户 SID | 可用于禁用触发警报的文件更改的源用户账户。 |
| disableNetwork.ps1 | 禁用机器上的网络访问 | 客户端 IP、客户端主机或服务器名称 | 可用于禁用触发警报的文件更改的源机器的网络访问。 |
| triggerShutdown.bat | 关闭计算机或服务器 | 客户端 IP、客户端主机或服务器名称 | 可用于关闭触发警报的文件操作的源机器。 在勒索软件攻击或数据泄露时,可使用服务器名称参数通过关闭受影响的服务器来阻止事件扩散。 |
| ransomwareResponse.ps1 | *锁定源用户账户,结束用户会话,并关闭主机机器,前提是主机机器和 DataSecurity Plus 服务器处于同一网络 | 用户名、客户端主机和服务器名称 | 当检测到潜在勒索软件攻击时,此响应脚本将通过隔离受污染机器、锁定用户、结束用户会话并关闭主机机器阻止勒索软件扩散。 |
*下列服务需在安装 DataSecurity Plus 的机器上启用,才能成功执行某些脚本文件。
- Windows 远程管理
- 在开始菜单中输入 服务 并打开 服务 窗口。
- 选择 Windows 远程管理(WS - Management)服务。
- 在窗口左侧窗格中的 本地服务(Services (Local))下,点击 启动服务.
- RSAT:Active Directory 域服务和轻型目录服务工具
- 在开始菜单中输入 在开始菜单中打开 应用和功能
- 选择 可选功能 并点击 添加功能 在左上角。
- 在开始菜单中输入 RSAT:Active Directory 域服务和轻型目录服务工具 在搜索栏中输入,选择它并点击 安装.
为警报脚本生成密码
我们建议为脚本文件生成加密密码,用于在执行脚本时进行身份验证。设置密码,请按以下步骤操作:
- 导航至 [installation_directory]\bin\alertScripts > helper 文件夹。
- 执行 generatePassword.bat 脚本以设置身份验证。
- 在 Windows PowerShell 凭据请求 窗口,在 用户名 主题 密码 字段旁输入您的 PowerShell 凭据以生成加密密码。确保输入正确密码以验证服务器身份。
- 8.4.1. 向利益相关者发送电子邮件通知: 确定.
字段,选择您选择的脚本。您可以选择内置脚本或自定义脚本。:与密码生成相关的文件将在 helper 文件夹中生成,位于 [installation_directory]\bin\alertScripts 路径中。为确保生成的密码脚本文件正常运行,建议不要移动 helper 文件夹及其文件。
禁用警报
您可以禁用警报以暂时停止触发。禁用警报的步骤:
- 选择 文件审计 从应用程序下拉菜单中选择。
- 进入 配置 > 常规设置 > 警报配置。
- 若要禁用服务器特定警报,请在 服务器特定警报 选项卡中选择该服务器。否则,保持在 全局警报 选项卡。
- 从表格中选择您想禁用的警报旁的复选框。
- 点击 点击表格顶部的禁用 图标。
选中的警报将被禁用。
删除警报
要永久删除警报:
- 选择 文件审计 从应用程序下拉菜单中选择。
- 进入 配置 > 常规设置 > 警报配置。
- 选择对应要删除的警报类型的选项卡。
- 从表格中选择您想删除的警报旁的复选框。
- 点击 点击删除 图标。
- 8.4.1. 向利益相关者发送电子邮件通知: 确定 以确认操作。
选中的警报将被删除。
有关在 DataSecurity Plus 中配置警报的更多信息,请参阅 本指南。