如何在 DataSecurity Plus 中配置警报

1. 勾选复选框启用 阈值限制.
2. 选择触发警报所需的最小事件数。指定该事件数量必须在何种时间间隔内发生。
3. 根据用户、进程或其他源设置来源。

在条件部分应用过滤器，指定会触发新警报的事件。您可以使用“包含”或 排除 选项定义条件。

在“包含”选项卡中：

1. 从下拉菜单选择需要设置警报条件的参数。 例如：操作
2. 从中间的下拉菜单选择运算符。根据所选参数，运算符会自动填充。 例如：属于
3. 提供触发警报的参数值。 例如：重命名

使用 + 选项添加更多包含条件。

同样，您可以通过定义 排除 条件触发警报，在 排除 选项卡中。

中配置的这些用户、文件路径或其他实体将在监控文件服务器时被忽略。

当警报触发时，您可以：

• 启用邮件通知：警报触发时立即通过邮件通知。指定发送邮件的最大数量，以避免邮件疲劳。
• 自定义脚本响应：创建脚本并定义参数来响应警报触发，或者从 [installation_directory]\bin\alertScripts.

邮件可以发送给：

1. 任何特定的邮箱地址。
2. 所有者：文件的创建者。
3. 调用者：触发警报的用户。

邮件中的优先级可以设置为：

1. 普通。
2. 高。

邮件主题可以设置为：

1. 任意自定义文本。
2. 警报信息变量，提供于下拉菜单中。（点击 添加 查看下拉菜单。）

消息中可以包含：

1. 任意自定义文本。
2. 警报信息变量。（点击 添加 查看警报信息变量。）

通过定义所需时间间隔内的最大邮件数量，限制警报邮件的发送数量。

定义 警报名称，警报描述，和 严重性.

警报可从两种来源生成：

1. 文件元数据： 关注文件安全性和其他文件属性的警报。
2. 磁盘使用： 关注文件存储和驱动器大小增长的警报。

在条件部分应用过滤器，指定会触发新警报的事件。您可以使用 包含 或 排除 选项定义条件。

在“包含”选项卡中：

1. 从下拉菜单选择需要设置警报条件的参数。 例如：驱动器字母
2. 从中间的下拉菜单选择运算符。根据所选参数，运算符会自动填充。 例如：不等于
3. 提供触发警报的参数值。 例如：C:\

使用 + 选项添加更多包含条件。

同样，您可以通过定义 排除 条件触发警报，在 排除 选项卡中。

系统将在监控文件服务器时忽略这些配置的文件名、文件路径或其他实体。

在 响应 选项卡中，配置警报触发后立即启动的后续操作。勾选复选框启用相关选项后进行配置。您可以：

在“包含”选项卡中：

1. 启用邮件通知：警报触发时立即通过邮件通知。指定发送邮件的最大数量，以避免邮件疲劳。
2. 自定义 脚本响应：创建脚本并定义参数以在警报触发时启动响应。
3. 移动或删除文件夹或文件：按需将文件或文件夹移动到指定位置或删除它们。

使用 + 选项添加更多包含条件。

同样，您可以通过定义 排除 条件触发警报，在 排除 选项卡中。

系统将在监控文件服务器时忽略这些配置的文件名、文件路径或其他实体。

定义 警报名称，警报来源，描述，和 严重性.

1. 在 包含 选项卡中，使用下拉菜单设置所需条件。

例如： 策略，等于，GDPR 在对应的下拉过滤中。

2. 若要在满足两个或更多条件时接收警报，请设置… 与 功能。
3. 要在满足两个或多个条件中的至少一个时接收警报，请设置 或 功能。

在 响应 选项卡中，配置警报触发后立即启动的后续操作。勾选复选框启用相关选项后进行配置。您可以：

1. 启用邮件通知：警报触发时立即通过邮件通知。指定发送邮件的最大数量，以避免邮件疲劳。
2. 自定义脚本响应：创建脚本并定义参数，以在警报触发时立即启动响应。

单击警报配置文件标签以查看可用警报。

这些 警报名称，警报来源，描述，和 严重性 是预定义的。

端点DLP中的警报配置文件根据警报来源有所不同。请参阅下面提到的各个配置文件详细信息。要修改警报，请单击 编辑图标 紧邻各个警报。

在条件部分应用过滤器，指定会触发新警报的事件。您可以使用 包含 或 排除 选项定义条件。

在“包含”选项卡中：

1. 从下拉菜单选择需要设置警报条件的参数。
2. 从中间的下拉菜单选择运算符。根据所选参数，运算符会自动填充。
3. 提供触发警报的参数值。

使用 + 选项添加更多包含条件。

同样，您可以通过定义 排除 条件触发警报，在 排除 选项卡中。

配置的这些用户、文件路径或其他实体在监控文件服务器时将被忽略。按照以下步骤自定义端点DLP模块中可用的各种警报来源和响应。

这些警报可用于跟踪敏感文件更改、用户活动或勒索软件攻击的指示器。

定义警报 响应 如需要的，在 响应 部分中。您可以选择发送电子邮件通知和/或执行脚本。

示例：
包含：操作，包含，修改
排除：计算机帐户，包含，AdminPC
阈值：10事件，1分钟，任意来源
响应：启用电子邮件通知

当USB驱动器中发生文件事件时会触发这些警报。

定义警报 响应 如需要的，在 响应 部分。您可以选择发送电子邮件通知、执行脚本、阻止所有外部存储设备在源机器上使用，或阻止触发警报的USB设备。

示例：
包含：操作，包含，文件复制
排除：用户对象，包含，John
阈值：50事件，2分钟内，同一用户
响应：阻止所有外部存储设备

这些警报监控打印请求。

定义警报 响应 如需要的，在 响应 部分中。您可以选择发送电子邮件通知和/或执行脚本。

示例：
包含：操作，包含，文件复制
排除：用户对象，包含，John
阈值：30事件，30分钟内，同一用户
响应：启用 脚本

此警报检测关键文件的复制和粘贴事件。

定义警报 响应 如需要的，在 响应 部分。您可以选择发送电子邮件通知、执行脚本，或移动或删除文件。

示例：
包含：操作，包含，文件复制
排除：用户对象，包含，John
阈值：30事件，2分钟内，同一用户
响应：启用移动/删除

这些警报监控潜在数据泄露的发出电子邮件。

定义警报 响应 如需要的，在 响应 部分。您可以选择在主动响应中使用用户提示以警告用户有关策略违规，和/或选择被动响应，包括发送电子邮件通知和执行脚本。

示例：
包含：用户对象，包含，Mel
排除：用户对象，包含，John
阈值：5事件，2分钟内，同一用户
响应：启用用户提示，阻止

此警报在潜在上传或下载关键文件时触发。

定义警报 响应 如需要的，在 响应 部分中。您可以选择发送电子邮件通知和/或执行脚本。

示例：
包含：进程名称，包含，Chrome.exe
排除：用户对象，包含，John
阈值：20事件，2分钟内，同一用户
响应：启用电子邮件通知

当检测到共享中访问异常时触发此警报。

定义警报 响应 如需要的，在 响应 部分中。您可以选择发送电子邮件通知和/或执行脚本。

示例：
包含：操作，包含，文件扩展名更改
排除：用户对象，包含，无
阈值：10事件，1分钟内，同一用户
响应：启用电子邮件通知

在 响应 在每个警报配置文件的标签页中，配置警报触发后将立即启动的后续操作。先勾选框以启用选项，然后进行配置。您可以：

1. 启用邮件通知：警报触发时立即通过邮件通知。指定发送邮件的最大数量，以避免邮件疲劳。
2. 自定义 脚本响应：创建脚本并定义参数以在警报触发时启动响应。
3. 阻止USB（仅适用于 可移动存储 警报配置文件）。
4. 移动或删除文件（仅适用于 剪贴板 警报配置文件）。
5. 向用户发送提示和/或阻止用户发送标识为受限或敏感文件的邮件（仅适用于 邮件客户端 警报配置文件）。