业务审计策略可以帮助管理员了解什么用户、用了什么账号、访问了什么业务系统,上传或下载了哪些文件,从而更好地管理企业的业务系统和规范用户的行为。
业务审计支持的业务类型主要有web业务系统、FTP业务系统和SMB业务系统,可以记录用户对这些业务系统的访问、上传文件、下载文件等动作以及记录相关文件,还可以对服务器的外联行为进行记录。
业务选择:可以选择事先自定义好的业务或者直接新增业务,以便对该业务审计。
业务审计选项:可以审计业务访问的数据,包括行为和流量审计(取消行为审计之后无法进行业务系统审计和分析)。
审计业务类型:用来选择审计的业务,包括WEB业务系统、FTP业务系统、SMB业务系统。其中FTP和SMB可以精细化配置。支持独立选择上传文件、下载文件、其他行为,上传和下载支持选择仅审计文件名或者审计文件名和文件内容。
• WEB审计:登录账号,登录密码(不支持加密),登录状态,文件上传,文件下载、自定义动作审计。
• SMB审计:用户登录/注销,删除目录,重命名目录,上传文件,下载文件,重命名文件,删除文件。
• FTP审计:用户登录/注销,创建目录,删除目录,重命名目录,上传文件,下载文件,重命名文件,删除文件。
服务器外联行为审计:可以对服务器外联情况进行审计,包括行为和流量审计。
回包内容记录限制:最大返回内容大小最大为50MB,最大下载文件大小最大也为50MB。
:
1.SMB业务审计只支持v1、v2,不支持v3。
2.业务SSL加密场景注意事项:
(1).内网访问业务需要开启SSL解密;
(2).外网用户访问业务场景需要配合AD开启SSL卸载。
需求场景
某企业需要对公司的FTP、SMB和WEB业务系统的流量进行审计,记录用户对业务系统的所有操作行为及文件,从而更好地管理企业的业务系统和规范用户的行为。
配置步骤
步骤1.在菜单栏[系统管理/对象定义/业务定义]点击<新增>,然后填写业务系统的名称及业务地址信息,依次新增好FTP、SMB和WEB系统的信息。
步骤2.在菜单栏[行为审计/业务审计策略]点击<新增>,然后选择[业务审计策略],进入新策略编辑界面。
步骤3.勾选[启用该策略],开启该策略。填写策略名称。
步骤4.点击[业务选择/业务],选择定义好的业务,然后点击<确定>回到策略编辑页面。
步骤5.根据需求勾选[审计配置/业务审计选项]中的行为审计;
步骤6.设置[适用对象],此处选中的用户组和用户将全部匹配此上网策略设置的审计策略。
步骤6.设置[高级配置],高级配置中包含策略过期日期设置、同级别管理员查看编辑权限设置、允许低级管理员查看。
步骤7.点击<提交>完成策略配置。
步骤8.用户终端使用资源管理器访问FTP系统和SMB系统,并进行文件上传和下载;使用浏览器访问WEB业务系统进行登录操作。
步骤9.点击界面右上角[行为感知系统],点击[业务审计]应用,点击[日志查询/业务访问日志],可以看到用户对业务系统进行了哪些操作。
步骤10.点击[详情]可以看到该用户使用了什么账号对该业务系统进行了什么操作以及审计到的文件。
建议使用Chrome浏览器访问!
