如何在DataSecurity Plus中配置告警

1. 勾选以启用 阈值限制。
2. 选择触发告警所需的最小事件数。指定最小事件数必须发生的时间间隔。
3. 基于用户、进程或其他来源设置告警源。

通过在条件部分应用筛选器来指定触发新告警的事件。您可以使用包括或 排除 选项定义条件。

在包括选项卡中：

1. 从下拉菜单中选择需要设置告警条件的参数。 示例：操作
2. 从中间下拉菜单中选择运算符。根据您选择的参数，运算符将自动填充。 示例：包括
3. 根据触发告警的参数值提供值。 示例：重命名

使用 + 选项添加更多包含条件。

类似地，您可以在 排除 选项卡中定义 排除 条件来触发告警。

在监视文件服务器时，将忽略配置的这些用户、文件路径或其他实体。

当触发告警时，您可以：

• 启用电子邮件通知：在触发告警时通过电子邮件立即通知。指定发送到您收件箱的最大电子邮件数量，以避免电子邮件疲劳。
• 自定义脚本响应：创建脚本并定义参数以在触发告警时启动响应，或从 [安装目录]\bin\alertScripts 中选择默认脚本。

电子邮件可以发送给：

1. 任何特定的电子邮件地址。
2. 所有者：文件的创建者。
3. 呼叫者：触发告警的用户。

电子邮件中的优先级可以设置为：

1. 正常。
2. 高。

电子邮件的主题可以设置为：

1. 任何自定义文本。
2. 下拉菜单中提供的告警信息变量。 （单击 添加 查看下拉菜单。）

消息可以包括：

1. 任何自定义文本。
2. 告警信息变量。 （单击 添加 查看告警信息变量。）

您可以通过定义所需时间间隔的最大电子邮件数量来限制告警电子邮件的数量。

定义 告警名称，告警描述 和 严重程度。

有两种来源可以生成告警：

1. 文件元数据：用于关注文件安全和其他文件属性的告警。
2. 磁盘使用情况：用于关注文件存储和驱动器大小增长的告警。

通过在条件部分应用筛选器来指定触发新告警的事件。您可以使用 包括 或 排除 选项来定义条件。

在包括选项卡中：

1. 从下拉菜单中选择需要设置告警条件的参数。 示例：驱动器号
2. 从中间下拉菜单中选择运算符。根据您选择的参数，运算符将自动填充。 示例：不等于
3. 根据触发告警的参数值提供值。 示例：C:\

使用 + 选项添加更多包含条件。

类似地，您可以通过在 排除 选项卡中定义 排除 条件来触发告警。

在监视文件服务器时，将忽略配置的这些文件名、文件路径或其他实体。

在 响应 选项卡中，配置告警触发后立即执行的后续操作。在配置之前，请勾选选项以启用它们。您可以：

在包括选项卡中：

1. 启用电子邮件通知：在触发告警时通过电子邮件立即通知。指定发送到您收件箱的最大电子邮件数量，以避免电子邮件疲劳。
2. 自定义 脚本响应：创建脚本并定义参数，以在触发告警时立即执行响应。
3. 移动或删除文件夹或文件：根据您的选择，将文件或文件夹移动到特定位置或删除它们。

使用 + 选项添加更多包含条件。

类似地，您可以通过在 排除 选项卡中定义 排除 条件来触发告警。

在监视文件服务器时，将忽略配置的这些文件名、文件路径或其他实体。

定义 告警名称、告警来源、描述 和 严重程度。

1. 在 包括 选项卡中，使用下拉菜单设置所需的条件。

示例：在相应的下拉菜单筛选器中选择策略、等于和GDPR。

2. 要在满足两个或多个条件时接收告警，设置 AND 函数。
3. 要在满足两个或多个条件中的至少一个时接收告警，设置 OR 函数。

在 响应 选项卡中，配置在触发告警后立即启动的后续操作。在配置之前，请勾选选项以启用它们。您可以：

1. 启用电子邮件通知：在觋发告警时通过电子邮件立即通知。指定发送到您收件箱的最大电子邮件数量，以避免电子邮件疲劳。
2. 自定义脚本响应：创建脚本并定义参数，以在觋发告警时立即启动响应。

单击告警配置文件选项卡以查看可用的告警。

告警名称、告警来源、描述 和 严重程度 都是预定义的。

终端数据丢失防护中的告警配置文件根据告警来源的不同而有所不同。请参考下面提到的各个配置文件的详细信息。要修改告警，单击各个告警旁边的 编辑图标。

通过在条件部分应用筛选器来指定触发新告警的事件。您可以使用 包括 或 排除 选项来定义条件。

在包括选项卡中：

1. 从下拉菜单中选择需要设置告警条件的参数。
2. 从中间下拉菜单中选择运算符。根据您选择的参数，运算符将自动填充。
3. 根据触发告警的参数值提供值。

使用 + 选项添加更多包含条件。

类似地，您可以通过在 排除 选项卡中定义 排除 条件来触发告警。

在监视文件服务器时，将忽略配置的这些用户、文件路径或其他实体。请按照以下步骤自定义终端数据丢失防护模块中提供的各种告警来源和响应。

这些告警可用于跟踪敏感文件更改、用户活动或勒索软件攻击指示。

根据需要在 响应 部分定义告警响应。您可以选择发送电子邮件通知和/或执行脚本。

示例：
包括: 操作、在、修改
排除: 计算机帐户、在、AdminPC
阈值: 10 个事件，1 分钟，任何来源
响应: 启用电子邮件通知

这些告警在USB驱动器中启动文件事件时触发。

根据需要在 响应 部分定义告警响应。您可以选择发送电子邮件通知、执行脚本、阻止在源计算机上使用所有USB设备，或阻止触发告警的USB设备的使用。

示例：
包括: 操作、在、文件复制
排除: 用户对象、在、John
阈值: 50 个事件，在2分钟内，由相同用户
响应: 阻止所有外部存储设备

这些告警用于监视打印请求。

根据需要在 响应 部分定义告警响应。您可以选择发送电子邮件通知和/或执行脚本。

示例：
包括: 操作、在、文件复制
排除: 用户对象、在、John
阈值: 30 个事件，30 分钟内，由相同用户
响应: 启用 脚本

这个告警可检测到关键文件的复制和粘贴事件。

根据需要在 响应 部分定义告警响应。您可以选择发送电子邮件通知、执行脚本，或者移动或删除文件。

示例：
包括: 操作、在、文件复制
排除: 用户对象、在、John
阈值: 30 个事件，在2分钟内，由相同用户
响应: 启用移动/删除

这些告警监视可能导致数据泄漏的外发电子邮件。

根据需要在 响应 部分定义告警响应。您可以选择在主动响应中警告用户有关策略违规，和/或选择被动响应，其中包括发送电子邮件通知和执行脚本。

示例：
包括: 用户对象、在、Mel
排除: 用户对象、在、John
阈值: 5 个事件，在2分钟内，由相同用户
响应: 启用用户提示， 阻止

这个告警在可能上传或下载关键文件时触发。

根据需要在 响应 部分定义告警响应。您可以选择发送电子邮件通知和/或执行脚本。

示例：
包括: 进程名称、包含、Chrome.exe
排除: 用户对象、在、John
阈值: 20 个事件，在2分钟内，由相同用户
响应: 启用电子邮件通知

这个告警在检测到共享中的访问异常时触发。

根据需要在 响应 部分定义告警响应。您可以选择发送电子邮件通知和/或执行脚本。

示例：
包括: 操作、在、文件扩展名更改
排除: 用户对象、在、无
阈值: 10 个事件，在1分钟内，由相同用户
响应: 启用电子邮件通知

在每个告警配置文件的响应选项卡中，配置在触发告警后立即执行的后续操作。在配置这些选项之前，请勾选相应的复选框以启用它们。您可以：

1. 启用电子邮件通知：在告警触发后立即通过电子邮件通知。指定发送到您的收件箱的最大电子邮件数量，以避免电子邮件过载。
2. 自定义脚本响应：创建脚本并定义参数以在告警触发后立即执行响应。
3. 阻止 USB 设备（仅适用于可移动存储告警配置文件）。
4. 移动或删除文件（仅适用于剪贴板告警配置文件）。
5. 发送提示并/或阻止用户发送被分类为受限或敏感的文件的电子邮件（仅适用于电子邮件客户端告警配置文件）。