客户端审计策略主要包括客户端应用审计和外接设备审计。
:
1.客户端审计策略需要PC安装准入客户端才能生效。
2.准入客户端目前只支持Windows系统。
3.配置外接设备审计策略需要开启终端接入安全序列号。
客户端应用审计包括IM审计、邮件客户端附件审计、远程类、运维类、文件传输类五大类对象。以上应用均可根据规则库进行更新。
• IM审计:通过准入客户端的方式审计内网用户的IM聊天记录和外发附件的内容。可选微信、钉钉、QQ多种IM应用,可根据需求单独勾选内容审计或附件审计。
• 邮件客户端附件审计:通过准入客户端的方式审计内网用户使用邮件客户端发送邮件附件。
• 远程类:通过准入客户端的方式审计终端通过远程类软件传送的文件。目前包括TeamViewer、向日葵、AnyDesk、RDP四种远程类软件可选。
• 运维类:通过准入客户端的方式审计终端通过运维类工具发送的文件。目前包括XShell、PShell、MobaXterm、SecureCRT四种运维工具。
• 文件传输类:通过准入客户端的方式审计终端通过文件传输类工具传输的文件。目前包括WinSCP、XFtp、FileZilla、SecrusFX四种文件传输工具。
• 动作:可选审计、不审计。
• 生效时间:可选上班时间、下班时间、全天。
• 文件类型:可过滤文件类型,文件类型可在[系统管理/对象定义/文件类型组]中定义。
• 离线审计:支持开启离线审计(即支持准入客户端与SIG断开连接的情况下审计)。
:
离线审计需要终端已经接入过SIG并获取到相应的策略才会生效。
外接设备审计可勾选移动存储介质和离线终端审计。
• 移动存储介质:通过准入客户端方式审计U盘及移动硬盘的读写日志;
• 离线终端审计:支持准入客户端与AC连接断开的情况下审计(笔记本带离公司的情况)。
点击<准入客户端配置>会跳转到准入客户端配置页面,详细配置在[接入管理/准入客户端配置]参考准入客户端配置章节。
:
离线审计需要终端已经接入过SIG并获取到相应的策略才会生效。
需求场景
设置一条审计策略对终端的IM聊天内容/附件进行审计,包括终端离线后也要审计到。
操作步骤
步骤1.在导航菜单中的[行为审计/客户端审计策略],点击<新增>客户端审计策略,选择<客户端审计策略>。
步骤2.填入策略名称和描述信息,勾选客户端应用设计,然后点击添加,勾选IM审计,并将离线审计选择为启用。
步骤3.选择[适用对象],此处选中的用户组和用户将全部匹配此审计策略,点击<提交>按钮完成策略配置。
步骤4.用户使用微信客户端进行聊天及文件发送。
步骤5.审计效果可点击设备右上角[行为感知系统]下拉框中的[进入日志中心]进入日志中心中的[日志查询/即时通讯日志]查询相关审计日志。
建议使用Chrome浏览器访问!
