更新时间:2024-06-28
功能介绍
可查看用户的风险情况,快速关注到有风险的用户,以便进行调查核实,降低泄密风险。
能力讲解
一、查看风险用户列表:通过风险用户列表,管理员可以知道 Top 风险用户排行,聚焦在最高危的风险用户的处理,也可以通过灵活的过滤筛选条件寻找指定风险用户进行分析与处理。
-
- 用户名: 用户的登录账号,点击用户名可以进入“用户详情”页面,查看该用户的详细风险事件。
- 所属组: 用户所属的用户组。
- 用户标签: 管理员为用户设置的标签,例如"特别关注”、"离职用户”、“列外用户”等。
- 最新告警时间: 用户最近一次触发数据安全事件的时间。
- 风险分数: 系统根据用户行为和数据操作等因素计算出的风险分数。分数越高,代表用户的风险越大。
- 安全事件: 用户触发数据安全事件的次数,分别呈现高危、中危、低危的事件数量,帮助管理员了解高风险事件的数量情况。
- 文件总大小: 用户触发的数据安全风险事件涉及外发的文件总大小。
- 文件数量: 用户触发的数据安全风险事件涉及外发的文件总数量。
- 规则名称: 用户触发的规则名称,多个规则名称以标签形式展示,其中颜色代表不同风险等级的规则。
二、筛选指定条件的风险用户:风险用户提供灵活的筛选条件,方便管理员过滤到关注的风险用户,包含日期(最长不超过 30 天)、用户/用户组。
1、 基于日期筛选:管理员可以选择近24小时、近7天、近30天、自定义时间进行全局的筛选。
2、基于用户/用户组筛选:管理员可以根据特定的用户或组来筛选用户、用户组,以便更精准地查看和处理用户风险。
三、查看并确认风险用户详情:管理员点击用户列表中的用户名,进入“用户详情”页面,查看该用户的详细信息和历史风险事件。
1、风险用户概览:
-
-
- 风险用户概览提供了对当前用户的信息概述,包括以下内容,用户名、所属部门、用户标签、风险分数、安全事件数量统计。
- 风险分数为指定时间内,该用户每一次触发的异常行为规则的事件的风险分数累积,其中对于事件进行确认包含(违规\确认中\合规\忽略)会覆盖在原来异常行为规则策略中所设置的风险分数。
- 点击安全事件数量上的高危、中危、低危,会过滤该用户对应的风险事件。
2、用户风险事件列表
-
-
- 事件发生时间:事件的具体发生时间。
- 风险等级:事件的风险级别,分为高危、中危和低危三类,以及对应的风险分数,以不同颜色标识,直观展示事件的严重程度。
- 事件名称:事件涉及的异常行为规则的规则名称,管理员可以快速了解是涉及的风险类型。
- 文件来源:事件涉及的文件来源,如企业IM、业务系统等,一个文件可能会命中多个文件来源,会一并在该处呈现。
- 敏感数据/内容命中结果:系统对文件内容的敏感级别评估结果,如是否包含敏感信息、是否命中特定关键词等,一个文件可能会命中多个敏感内容,敏感数据,会一并在该处呈现。
- 文件大小:涉及事件的文件大小,便于了解文件的体积和潜在的风险性。
- 通路:事件的外发通路,指明该文件或信息传输所使用的应用,比如邮箱、网盘等。
- 接收对象:部分通路能识别具体的接受对象,用于进一步确认是否是外部行为还是内部行为,比如邮箱通路可能可以识别接受邮箱的对象是否是全部的内部用户,还是包含外部用户或者包含供应商,辅助判断风险。
- 处理状态:当前事件的处理状态,如未处理、处理中、已处理等,帮助管理员了解事件的处理进展,具体的操作请查看预警中心的相关介绍。
- 操作:支持点击“追踪溯源”查看该事件的文件的流转情况,更直观的了解敏感数据如何被使用与外发,快速判断风险。
3、风险事件详情:管理员点击事件名称,在抽屉页面集中展示了事件的完整信息。您可以通过该区域深入了解事件发生的具体情况,例如时间、地点、人物、操作行为、涉及的文件、匹配的敏感内容等,从而判断事件的风险等级,并采取相应的处理措施。
① 文件信息:展示事件涉及的文件的基础属性、文件来源、文件存放路径、文件匹配的敏感内容、敏感数据情况,如果匹配到多个敏感内容,敏感数据,文件来源,会逐一列出。
-
-
-
- 文件名称: 文件的完整名称,支持点击下载或者预览该文件。
- 文件来源: 文件来源,例如“企业微信”、“文件来源-办公工具”等。
- 文件类型: 文件类型,例如“TXT”、“DOC”、“PDF”等。
- 文件大小: 文件大小。
- 文件路径: 文件的完整路径,点击右侧按钮可以复制文件路径。
- 敏感内容:事件涉及的文件中匹配到的敏感内容。
- 敏感数据:事件涉及的文件中匹配到的敏感数据。
② 操作信息:展示对文件的操作的具体内容,包含操作动作以及操作的目标,包括:
-
-
-
- 具体应用: 操作文件的应用程序,例如“百度网盘”、“企业微信”、“压缩软件”等。
- 用户动作: 文件的的具体操作行为,例如“外发”、"压缩”等。
③ 用户信息:展示事件相关用户的基本信息,包括:
-
-
-
- 用户名: 用户的登录账号,括号中会标注用户的登录状态,例如“(主域)”表示用户登录的是主域账号。
- 组名: 用户所属的用户组,例如“SASE专家信任研发部”。
- 源IP: 用户的源IP地址。
- 资产类型: 用户当前所使用的资产的归属,比如“XXX","XXXX"
- 计算机名: 用户使用的计算机名。
- MAC地址: 用户使用的设备的MAC地址。
④ 其他信息:用于展示事件发生时的一些其他信息,例如:
-
-
-
- 目的IP: 该操作的目的IP地址。
- 审计设备ID: 记录事件的审计设备ID。
- 审计设备名称: 发送该事件的审计设备的名称。
4、外泄事件追踪溯源(应用于外泄文件场景):管理员可以点击涉及该事件的文件“流转图”,文件流转图以流程图的形式直观展现外发事件中文件的完整流转路径,每个节点代表一个操作步骤,节点之间以箭头连接,清晰展示文件流转情况,流转图包含文件的来源信息、文件的操作、文件的外发等,均以不同的节点进行呈现,其中涉及到高危风险操作的行为,使用红色线条进行呈现关联。
-
-
- 来源:呈现文件的来源的信息
- 操作:呈现文件的移动、粘贴、压缩、加密压缩、解压缩、重命名、改文件后缀的文件变化的描述,以及对应操作的应用程序。
- 外发:呈现的文件的外发通路以及所涉及的接受对象(如果支持)
5、事件导出:管理员可以将全部的事件或者筛选后的事件列表(待确认)导出为CSV 文件,通过本地编辑器进行统计与过滤。(其中导出的 CSV 文件为原始的事件列表,没有通过用户进行聚合)
###导出列表字段说明###
| 字段名 |
说明 |
| 事件发生时间 |
事件实际发生的时间,格式为YYYY-MM-DD HH:MM:SS。 |
| 用户 |
触发事件的用户标识,通常为用户ID或用户名。 |
| 用户组 |
触发事件的用户所在的组,显示为用户组的路径。 |
| 事件名称 |
触发的规则或策略的名称,标识具体的事件类型。 |
| 事件等级 |
事件的风险等级,如高危(high)、中危(medium)、低危(low)。 |
| 调整前分数 |
事件在调整前的风险分数,数值越高代表风险越大。 |
| 调整后分数 |
事件在调整后的风险分数,数值越高代表风险越大。 |
| 处理状态 |
事件当前的处理状态,如未处理(untreated)、处理中(in progress)、合规(compliant)、违规(non-compliant)、忽略(ignored)。 |
| 事件处理时间 |
事件实际处理的时间,格式为YYYY-MM-DD HH:MM:SS,若未处理则为空。 |
| 备注 |
事件的附加说明或备注信息。 |
| 敏感数据 |
事件中涉及的敏感数据,如涉及的图纸文件,代码文件等。 |
| 敏感内容 |
事件中涉及的敏感内容描述,比如身份证号,银行卡号,电话号码等。 |
| 敏感等级 |
事件中敏感数据的等级,如L1、L2、L3、L4,一般最高为 L4. |
| 来源应用 |
涉及事件数据的应用或系统,用于了解文件文件源头。 |
| 来源详情 |
详细的来源信息,包含 IP、域名、协议等信息。 |
| 通路 |
涉及到文件的外发通路,用于描述数据发送目的地的情况。 |
| 命中详情 |
事件命中规则的详细信息,描述具体触发规则和命中的条件。 |
四、用户事件列表的灵活过滤:事件过滤支持风险等级、规则名称、文件来源名称、文件来源、敏感数据、敏感内容、敏感数据等级、通路的过滤方式。
建议使用Chrome浏览器访问!
