可查看用户的风险情况,快速关注到有风险的用户,以便进行调查核实,降低泄密风险。
//通过风险用户列表,管理员可以知道 Top 风险用户排行,聚焦在最高危的风险用户的处理,也可以通过灵活的过滤筛选条件寻找指定风险用户进行分析与处理。
//风险用户提供灵活的筛选条件,方便管理员过滤到关注的风险用户,包含日期(最长不超过 30 天)、用户/用户组。
1、筛选条件只影响事件列表,并不影响上部分的统计数据。
2、可以支持多个过滤选项同时生效,同一个过滤项的条件为”或“不同过滤项之间的条件“与”。
1、 基于日期筛选:管理员可以选择近24小时、近7天、近30天、自定义时间进行全局的筛选。
2、基于用户/用户组筛选:管理员可以根据特定的用户或组来筛选用户、用户组,以便更精准地查看和处理用户风险。
//管理员点击用户列表中的用户名,进入“用户详情”页面,查看该用户的详细信息和历史风险事件。
1、风险用户概览:
2、用户风险事件列表
3、风险事件详情:管理员点击事件名称,在抽屉页面集中展示了事件的完整信息。您可以通过该区域深入了解事件发生的具体情况,例如时间、地点、人物、操作行为、涉及的文件、匹配的敏感内容等,从而判断事件的风险等级,并采取相应的处理措施。
① 文件信息:展示事件涉及的文件的基础属性、文件来源、文件存放路径、文件匹配的敏感内容、敏感数据情况,如果匹配到多个敏感内容,敏感数据,文件来源,会逐一列出。
② 操作信息:展示对文件的操作的具体内容,包含操作动作以及操作的目标,包括:
③ 用户信息:展示事件相关用户的基本信息,包括:
④ 其他信息:用于展示事件发生时的一些其他信息,例如:
4、外泄事件追踪溯源(应用于外泄文件场景):管理员可以点击涉及该事件的文件“流转图”,文件流转图以流程图的形式直观展现外发事件中文件的完整流转路径,每个节点代表一个操作步骤,节点之间以箭头连接,清晰展示文件流转情况,流转图包含文件的来源信息、文件的操作、文件的外发等,均以不同的节点进行呈现,其中涉及到高危风险操作的行为,使用红色线条进行呈现关联。
5、事件导出:管理员可以将全部的事件或者筛选后的事件列表(待确认)导出为CSV 文件,通过本地编辑器进行统计与过滤。(其中导出的 CSV 文件为原始的事件列表,没有通过用户进行聚合)
###导出列表字段说明###
| 字段名 | 说明 |
| 事件发生时间 | 事件实际发生的时间,格式为YYYY-MM-DD HH:MM:SS。 |
| 用户 | 触发事件的用户标识,通常为用户ID或用户名。 |
| 用户组 | 触发事件的用户所在的组,显示为用户组的路径。 |
| 事件名称 | 触发的规则或策略的名称,标识具体的事件类型。 |
| 事件等级 | 事件的风险等级,如高危(high)、中危(medium)、低危(low)。 |
| 调整前分数 | 事件在调整前的风险分数,数值越高代表风险越大。 |
| 调整后分数 | 事件在调整后的风险分数,数值越高代表风险越大。 |
| 处理状态 | 事件当前的处理状态,如未处理(untreated)、处理中(in progress)、合规(compliant)、违规(non-compliant)、忽略(ignored)。 |
| 事件处理时间 | 事件实际处理的时间,格式为YYYY-MM-DD HH:MM:SS,若未处理则为空。 |
| 备注 | 事件的附加说明或备注信息。 |
| 敏感数据 | 事件中涉及的敏感数据,如涉及的图纸文件,代码文件等。 |
| 敏感内容 | 事件中涉及的敏感内容描述,比如身份证号,银行卡号,电话号码等。 |
| 敏感等级 | 事件中敏感数据的等级,如L1、L2、L3、L4,一般最高为 L4. |
| 来源应用 | 涉及事件数据的应用或系统,用于了解文件文件源头。 |
| 来源详情 | 详细的来源信息,包含 IP、域名、协议等信息。 |
| 通路 | 涉及到文件的外发通路,用于描述数据发送目的地的情况。 |
| 命中详情 | 事件命中规则的详细信息,描述具体触发规则和命中的条件。 |
//事件过滤支持风险等级、规则名称、文件来源名称、文件来源、敏感数据、敏感内容、敏感数据等级、通路的过滤方式。
建议使用Chrome浏览器访问!
