- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载: 01-正文 (18.62 MB)
目 录
AD-Campus终端行为管理(EBM,Endpoint Behavior Management)是一款结合终端行为审计和监控、用于加强信息安全建设的综合性产品,主要用于解决各企事业单位终端用户行为管理的问题。
EBM通过对网络数据采集、分析和识别,可以实时监测终端行为、网络行为及网络流量,实现对网络信息的智能关联分析和评估,以及安全事件的准确全程跟踪定位,为整体终端安全策略的制定提供权威可靠的支持。
· EDM:AD-Campus EDM终端数据管理是基于统一数字底盘平台开发的业务组件。EDM以内容识别为核心,以集中策略为基础,对终端内的静态数据、动态数据以及使用中的数据进行深度分析、识别、监控、保护,防止客户敏感数据被外部入侵者非法窃取或被内部员工有意无意泄露,进而有效帮助企事业单位按照数据的重要程度有针对性地进行数据管控,防止核心信息资产外泄给企事业带来难以估量的风险和损失。
· iNode客户端:一款多功能接入软件,可以和以太网交换机、路由器等设备共同组网,可以实现对接入用户的身份认证和安全检查。
EBM支持对用户行为进行全方位的管理和监控,主要功能如下。
策略管理页面主要是配置终端行为策略和子策略:
· 终端行为策略是终端行为管理的实施依据。在终端行为策略中可以选择已经配置的外设管控、应用程序限制、网络访问限制等子策略,并设置策略生效的终端资产或用户。
· 子策略即终端行为管理的具体策略,可以进入相应的子策略页面配置。
终端安装iNode客户端。在完成资产注册后,iNode客户端向EBM服务器请求终端行为策略,根据策略对用户的终端行为进行管控,同时把产生的审计日志定时上报给服务器。
· 系统参数
¡ 系统参数配置
¡ 日志配置
· 文件备份
¡ 文件服务器
¡ 文件备份参数配置
¡ 文件备份记录
用户终端行为审计事件产生的记录将通过iNode客户端上报给EBM服务器,EBM服务器接收并保留,可以为管理员追踪和监控IT网络的安全状态提供依据。用户的终端行为如光驱刻录,打印操作等支持将具体的刻录、打印文件上传至EBM服务器,以供管理员下载查阅。
列举几个主要功能如下:
员工过多浏览与工作无关的网页,不仅降低了其工作效率,网络上隐藏的病毒、木马、网络钓鱼等安全风险,更有可能使得用户在上网过程中泄露敏感信息。除此之外,用户对色情、反动、暴力等非法网页的浏览,或利用公共网络在互联网上发布不当言论,也会为公司带来法律风险。EBM能自动记录员工的网页浏览信息、自动记录员工在主流论坛上的发帖记录,包括腾讯微博,空间心情,新浪微博等。
几乎所有的企业都利用电子邮件进行必要的内部与外部沟通。显而易见,个人邮箱、邮件服务器中也就包含着大量的机密。如何对邮件往来进行有效的规范,防止机密信息经由电子邮件泄露,是IT 管理者面对的重大挑战。EBM提供邮件收发日志记录,能够帮助企业完整记录员工邮件收发记录。
QQ、微信等即时通讯工具的广泛应用方便用户间即时沟通的同时也暴露了另外一种信息泄露渠道,用户可能在即时沟通中泄露机密信息,或发送包含机密信息的文档;过多的私人聊天,还可能降低用户的工作效率。EBM提供聊天监视功能,完整地记录QQ、微信等大部分主流即时通讯工具的聊天内容,了解用户的工作状态,同时还可以阻止用户经由QQ聊天工具外发机密文档,从而有效防止重要文件经由即时通讯工具泄露。
用户违反IT 政策,使用可能含有未知风险的软件应用程序,或耗费大量时间在与工作无关的炒股、游戏等娱乐应用上,使得企业的IT 应用合规性管理面临着重大挑战和风险。EBM提供软件运行审计和软件有效使用时长审计功能,能够帮助管理者清楚了解用户使用了那些软件应用程序。
EBM详细的文档操作行为审计可以完整记录内部网络中的文档使用与传播的全过程,并可发现非法的文档访问、修改、删除、复制等违规使用行为,防止文档被非法篡改或泄露,同时当风险操作发生时,完善的备份机制还能进一步保护机密文档的安全,可以有效地保护终端、文档服务器等各种位置的文档的应用安全。
USB 存储设备有着容量大、易携带的优点,因此被广泛用于信息的存储与传播。然而,USB 存储设备随意拷贝的现象,也可能是机密信息外泄的巨大漏洞。EBM能够对企业内部员工的USB 拷贝行为进行详细记录,从而为企业内的信息拷贝提供更严格的安全保障,防止内部机密信息被非法拷贝。
一些企事业单位中,在归档文件整理工作中经常会用到数据光驱,将各单位形成的一些相关文件材料刻录在光盘上,极大的方便了查阅利用,是非常重要的涉密载体。但是,光盘管理存在漏洞,数据光驱存在遗失等安全隐患。EBM提供光驱刻录审计和刻录文件备份的功能,能够对单位内部员工的光驱刻录行为进行监视审计,防止非法刻录的行为发生,同时对刻录文件进行安全备份,能够有效防止光驱遗失带来的数据丢失隐患。
打印纸质化作为文档传播的一种途径,得不到有效监管的打印行为,已经成为客户信息、市场计划、专利技术等机密信息泄露的重要渠道,甚至有不法分子专门在各大公司的打印废料中收集机密信息以谋取利益。EBM提供打印操作审计功能,有效审计每一次打印操作,完整的记录全部的打印操作行为,有效避免敏感或机密信息通过打印而外泄。
可远程实时追踪查看终端用户的屏幕影像,从而快速了解员工当前的工作状态。可同时追踪多个用户终端电脑的屏幕变化过程,并实现多屏幕和单个屏幕的快速切换。可保存用户屏幕录像,供审计员查看终端用户一段时间内的屏幕录像记录,了解该时段工作情况。
支持多种水印类型,如文字水印、点阵水印、图片水印、二维码水印等,可满足不同业务场景水印需求。水印展示形式多样,支持屏幕水印(包含进程水印、全屏水印)、打印水印。水印隐蔽性高,视觉影响效果极小,抗擦除能力强,能切实、有效地对数据泄密事件进行追溯。
“一旦违规,立即报警”,对非法用户、越权访问和存在安全问题的终端立即报警,及时阻止终端用户违规行为发生。
· 提高审计工作效率,有效掌握企业的不规范操作行为:
¡ 更快、更准确地追溯违反操作规范的员工
¡ 减少违规操作可能带来的经济损失
· 避免法律和商业等风险:
¡ 对已经发生的用户行为提供有效的追究证据,避免公司与员工的诉讼风险
¡ 避免非法软件使用风险
¡ 预防核心数据泄漏
· 基于保护个人隐私的原则,规范员工工作行为,提高效率:
· 终端已安装iNode客户端。
· 终端已在桌面资产管理中完成了资产注册,并且状态为“在线”。
终端行为策略是终端行为管理的实施依据。在终端行为策略中可以选择已经配置的外设管理、软件管理、网络管理等子策略,并设置策略生效的终端资产或用户。
单击“自动化”页签,选择[终端业务>终端行为管理>策略管理>策略应用>终端行为策略]菜单项,进入终端行为策略页面。单击<增加>按钮,进入增加终端行为策略页面,如图2-1所示。
参数说明:
· 基本信息:
¡ 名称:策略的唯一标识。
¡ 描述:对策略进行说明。
¡ 缺省策略:开启之后,如果终端未指定策略,则此策略默认生效,如果指定了策略,则指定的优先生效。缺省策略只能指定一个。
· 应用范围:
应用范围用于指定此行为策略在哪些资产上生效。用户对应资产的使用人,用户分组对应资产使用人分组。
¡ 应用方式
- 若应用方式选择资产分组,下方会展示资产分组的树型选择器,当勾选“选择资产分组时自动选中其子分组”时,选中(或取消选中)父分组时可级联选中(或取消选中)父分组下所有层级的子分组。当某一资产分组已经被其他策略选中之后,该分组为不可选中状态。
- 若应用方式选择用户分组,下方会展示用户分组的树型选择器,当勾选“选择用户分组时自动选中其子分组”时,选中(或取消选中)父分组时可级联选中(或取消选中)父分组下所有层级的子分组,当某一用户分组已经被其他策略选中之后,该分组为不可选中状态。
- 若应用方式选择资产,下方会展示选中的资产列表。单击<选择>按钮可打开“选择资产”页面进行选择。
- 若应用方式选择用户,下方会展示选中的用户列表。单击<选择>按钮可打开“选择用户”页面进行选择。
· 子策略:
子策略选择是终端行为策略中的具体策略,一个终端行为策略可以包含多个子策略,单击<选择>下拉按钮,并单击展开的链接可以打开对应策略的选择页面,进入选择子策略页面。
¡ 存储设备限制策略:对终端上各种外部存储设备进行限制,包括移动存储设备、光驱刻录设备、蓝牙设备、MTP设备、网络盘(网上邻居)。
¡ 打印限制策略:对终端上打印操作进行监控和限制。
¡ 软件版本限制策略:对终端上运行的软件版本进行管控,可指定允许运行的版本以及禁止运行的版本。
¡ 软件运行监控策略:对终端上运行的进程启停、有效使用时长以及窗口切换事件进行监控,并可对含有特定关键字的进程窗口强行关闭。
¡ 网络访问策略:对终端上网页浏览、论坛发帖、邮件收发、FTP操作、TELNET操作、网盘使用行为进行监控和限制。
¡ 网络共享策略:对终端上网络共享行为进行限制。包含是否允许共享、远程共享文件过大阻断、远程文件敏感信息检测等功能。
¡ 流量限制策略:对终端上流量使用进行限速,用于根据IP端口或进程来对用户终端的整体流量进行管控,限制上行流量、下行流量、总流量等。
¡ 即时通讯管控策略:对终端上即时通讯工具登录操作、聊天内容、文件内容进行监控和限制。
¡ 文件操作监控策略:对终端本地磁盘、可移动磁盘、网络盘(网上邻居)、光盘中的文件操作进行监控,可以指定文件路径、名称、格式,以及操作文件的进程。
¡ 剪切板限制策略:提供对受控进程的剪切、粘贴操作进行控制的功能。
¡ 屏幕监控策略:对终端PC桌面进行录屏、截屏监控,并支持限制系统的截屏功能。
¡ 盲水印策略:当终端行为策略配置盲水印后,会监控终端的截图动作,生成盲水印后会同步上报一条盲水印记录;利用盲水印绘制技术,对图片添加一些终端和公司的标识信息,从肉眼上无法看出。帮助企业防范员工将重要数据泄密,根据泄密出去的图片提取信息从而达到数据追踪的目的。
¡ 系统事件监控策略:用于监控终端操作系统层面的登录、状态变更、用户变更、系统用户组变更以及系统各类事件。
· 数据防泄漏配置:
数据防泄漏配置只有在安装了“终端数据管理(EDM)”组件之后才会展示。用于终端上敏感数据泄露的监控、防护以及告警。
· 日志上传间隔设置:
日志上报间隔(秒):包括外设监控、应用程序使用、网络行为、文件操作、终端系统等日志上报间隔。
展示资产上终端行为策略的实时生效情况。
单击“自动化”页签,选择[终端业务>终端行为管理>策略管理>策略应用>策略生效情况]菜单项,进入策略生效情况页面,如图2-2所示。
· 查看当前生效的终端行为策略信息。
单击“生效策略”列的终端行为策略链接,可进入详细信息页面,查看生效策略的详细信息,如图2-3所示。
· 查看策略生效详细信息
单击“查看”列的<查看详情>按钮,可查看策略生效情况详细信息,如图2-4所示。
对终端上各种外部存储设备进行限制,包括移动存储设备、光驱刻录设备、蓝牙设备、MTP设备、网络盘(网上邻居)。
单击“自动化”页签,选择[终端业务>终端行为管理>策略管理>外设管理>存储设备限制策略]菜单项,进入存储设备限制策略页面,单击<增加>按钮,进入增加存储设备限制策略页面,如图2-5所示。
参数说明:
· 基本信息:
¡ 名称:策略的唯一标识。
¡ 描述:对策略进行说明。
· 移动存储设备管控,如图2-6所示:
¡ 识别USB设备类型:开启之后,可以识别USB接口设备类型,并记录其插入、拔出事件。可以识别的设备类型包括U盘、移动磁盘、USB刻录机、鼠标、键盘、手机、摄像头、打印机、扫描仪、网卡设备、USB-CDROM、音频设备、蓝牙适配器、蓝牙LE枚举器,超出此范围的设备则识别为“其他”。操作员可以在“USB设备使用审计”中查看记录。
¡ 限制方式:USB设备的限制方式,默认为“不限制”,当限制方式为“不限制”或者“只读”时,可根据需要开启“阻止设备自动运行”或者“阻止可执行文件运行”。
- 不限制:默认选项,即USB设备可以正常使用。
- 禁用:选择此选项,USB设备将无法打开。
- 只读:选择此选项,USB设备上的文件只支持打开或者拷出,不支持新建、编辑、重命名、删除、剪切以及从其他设备拷入。
¡ 阻止设备自动运行:禁止设备上的AutoRun.inf、AutoRun.exe等自动运行程序,目的是防止USB设备自动运行恶意软件。
¡ 阻止可执行文件运行:开启之后USB设备中的可执行文件将无法运行,目前能阻止的可执行文件包括bat、exe、msi三种。
¡ 检测复制文件内容:
此配置只有在安装了“终端数据管理(EDM)”组件并且限制方式为“允许使用”才会显示。
开启之后,当文件从PC往USB设备中复制的时候,iNode会根据终端行为策略中配置的“数据防泄漏策略”检测文件中是否有敏感信息,并根据其中配置的“响应规则”做出反应。在[分析>健康分析>终端分析>数据防泄漏审计>数据泄露事件]中对应到泄露方式为“移动存储另存为”的记录。
· 光驱管控,如图2-7所示:
¡ 限制方式:光驱设备的限制方式,默认为“不限制”,当限制方式为“不限制”或“只读”时,可根据需要开启“阻止设备自动运行”或者“阻止可执行文件运行”。
- 不限制:默认选项,即光驱设备可以正常使用,并支持使用所有刻录工具刻录或者擦除。
- 禁用:选择此选项,光驱设备将无法打开,而且只能使用iNode自带刻录软件进行刻录或者擦除。
- 只读:选择此选项,光驱设备上的文件只支持打开或者拷出,不支持新建、编辑、重命名、删除、剪切以及从其他设备拷入,并且只能使用iNode自带刻录软件进行刻录或者擦除。
¡ 阻止设备自动运行:禁止设备上的AutoRun.inf、AutoRun.exe等自动运行程序,目的是防止光盘自动运行恶意软件。
¡ 阻止可执行文件运行:开启之后光驱设备中的可执行文件将无法运行,目前能阻止的可执行文件包括bat、exe、msi三种。
¡ 监控光驱刻录:开启之后,iNode会记录光驱刻录操作,操作员可以在“光驱刻录审计”中查看记录。开启“监控光驱刻录”后,由于刻录文件一般很大,在服务器磁盘空间充足,或者有外置文件服务器的情况下,可开启“备份刻录文件”,可配置“文件备份阈值(MB)”。
¡ 备份刻录文件:开启之后,iNode会在记录光驱刻录操作的基础上,将“文件备份阈值(MB)”以内大小的文件备份在PC上,并上传到服务器作为证据文件供日后追溯。
¡ 文件备份阈值(MB):将此大小以内的文件备份到服务器上,缺省值为0,输入范围0-5120,设置成0或者文件超过设定大小则不备份。
安装了“终端数据管理(EDM)”组件,才会显示如下参数。
¡ 检测光驱刻录内容:开启之后,当使用iNode自带工具往光盘中刻录的时候,iNode会根据终端行为策略中配置的“数据防泄漏策略”检测文件中是否有敏感信息,并根据其中配置的“响应规则”做出响应。在[分析>健康分析>终端分析>数据防泄漏审计>数据泄露事件]中对应到泄露方式为“光盘刻录”的记录。
¡ 敏感内容阻断方式:当终端行为策略中配置的“数据防泄漏策略”的“响应规则”中开启了“阻断外发”后,可在此进一步选择“全部阻断”或者“部分阻断”。
· 蓝牙设备管控,如图2-8所示:
¡ 蓝牙设备监控:开启之后,iNode会记录蓝牙设备添加、删除、传输文件的操作,并将“文件备份阈值(MB)”以内大小的文件备份在PC上,并上传到服务器作为证据文件供日后追溯。操作员可以在“蓝牙配对审计”中查看添加和删除记录,以及在“蓝牙传输文件审计”中查看文件传输记录并下载备份的文件。
¡ 文件备份阈值(MB):将此大小以内的文件备份到服务器上,缺省值为0,输入范围0-5120,设置成0或者文件超过设定大小则不备份。
¡ 检测蓝牙发送文件内容:安装了“终端数据管理(EDM)”组件,才会显示此参数,开启之后,当使用蓝牙发送文件的时候,iNode会根据终端行为策略中配置的“数据防泄漏策略”检测文件中是否有敏感信息,并根据其中配置的“响应规则”做出响应。
· MTP设备管控,如图2-9所示:
图2-9 MTP设备管控
¡ MTP设备监控:勾选之后,iNode会记录手机MTP模式连接电脑后,从电脑拷贝文件到手机的操作,并将“文件备份阈值(MB)”以内大小的文件备份在PC上,并上传到服务器作为证据文件供日后追溯。操作员可以在“MTP外发日志”中查看MTP外发文件记录。
¡ 文件备份阈值(MB):此大小以内的文件备份到服务器上,缺省值为0,输入范围0-5120,设置成0或者文件超过设定大小则不备份。
¡ 阻止MTP外发文件:默认不阻止MTP外发文件,若选择成“阻止”,在手机MTP连接电脑时无法从电脑拷贝文件到手机。注意:选择为“阻止”时服务器也会根据“文件备份阈值(MB)”备份外发文件。
¡ 检测MTP外发文件:安装了“终端数据管理(EDM)”组件,才会显示此参数,开启之后,当使用MTP外发文件的时候,iNode会根据终端行为策略中配置的“数据防泄漏策略”检测文件中是否有敏感信息,并根据其中配置的“响应规则”做出响应。
· 网络盘(网上邻居)管控,如图2-10所示:
¡ 阻止设备自动运行:禁止设备上的AutoRun.inf、AutoRun.exe等自动运行程序,目的是防止网络盘中自动运行恶意软件。
¡ 阻止可执行文件运行:开启之后网络盘中的可执行文件将无法运行,目前能阻止的可执行文件包括bat、exe、msi三种。
打印限制策略对终端上打印操作进行监控和限制。
单击“自动化”页签,选择[终端业务>终端行为管理>策略管理>外设管理>打印限制策略]菜单项,进入打印限制策略页面,单击<增加>按钮,进入增加打印限制策略页面,如图2-11所示。
参数说明:
· 基本信息:
¡ 名称:策略的唯一标识。
¡ 描述:对策略进行说明。
· 打印限制,如图2-12所示:
¡ 限制方式:单击限制方式下拉框,可选择“不限制”、“禁止”、“指定文件后缀”三种限制方式。若选择“禁止”,则不允许终端进行任何打印操作,后续配置都不会显示。若选择“指定文件后缀”,则需要指定允许打印的文件后缀。
- 不限制:不对打印操作施加限制条件。
- 禁止:禁止任何打印操作。
- 指定文件后缀:只允许打印指定后缀的文件,其他文件则不允许打印。
¡ 打印审计:监控并记录打印操作,并将打印文件上传到服务器进行备份,以供日后追溯。
¡ 文件后缀:对应限制方式为“指定文件后缀”时的文件后缀白名单,单击<增加>按钮,弹出增加打印文件后缀页面,如图2-13所示。在页面中选择常用后缀或配置其他后缀,配置完成后单击<确定>按钮保存。
- 文件后缀:多个文件后缀以“|”分割,不同记录不能包含同一个文件后缀,比如“.txt|.ppt”与“.doc|.txt”则认为是包含了相同的后缀“.txt”。
- 描述:当文件后缀并不常见的时候可以对其添加说明,长度不超过300个字符。
¡ 检测打印文件内容:安装了“终端数据管理(EDM)”组件,才会显示此参数。开启之后,打印文件时iNode会根据终端行为策略中配置的“数据防泄漏策略”检测文件中是否有敏感信息,并根据其中配置的“响应规则”做出反应。在[分析>健康分析>终端分析>数据防泄漏审计>数据泄露事件]中对应到泄露方式为“文件打印”的记录。
· 打印水印:
a. 单击名称后面的输入框,进入选择打印水印页面,如图2-14所示,选择打印水印,如果选择页的打印水印不能满足需求,可在主页右上方选择[基础数据配置库>水印模版>打印水印]页面新增,完成后再单击“打印限制策略”页签,在水印选择页面查询并选择,单击<保存>按钮保存。
b. 单击输入框后的<查看详情>按钮,进入打印水印详细信息页面可查看打印水印的详细信息,如图2-15所示。
c. 单击<删除>按钮,可删除已选择的打印水印。
d. 在水印受控进程区域,单击<选择>按钮下拉框,选择进程或者进程组,如图2-16所示,若选择页面的进程或者进程组无法满足需求,可在主页右上方选择[基础数据配置库>进程配置库>进程或者进程组]页面新增,完成后再单击“打印限制策略”页签,在进程组选择页面可根据名称查询并选择,而进程选择页可根据选多种条件查询并选择,单击<确定>按钮保存。
e. 单击对象列的链接,可进入详细信息页面查看进程或进程组的详细信息,如图2-17所示。
f. 单击删除列的<删除>按钮,可删除已选择的进程或进程组。
软件版本限制策略对终端上运行的软件版本进行管控,可指定允许运行的版本以及禁止运行的版本。
单击“自动化”页签,选择[终端业务>终端行为管理>策略管理>软件管理>软件版本限制策略]菜单项,进入软件版本限制策略页面,单击<增加>按钮,进入增加软件版本限制策略页面,如图2-18所示。
参数说明
· 基本信息:
¡ 名称:策略的唯一标识。
¡ 描述:对策略进行说明
· 软件进程信息:
a. 单击<选择进程>按钮,进入选择进程页面,如图2-19所示,可选择需要限制的进程,如果选择页的进程不能满足需要,可在主页右上方选择[基础数据配置库>进程配置库>进程]页面新增,完成后再单击“软件版本限制策略”页签,在进程选择页可根据选多种条件查询并选择。
b. 选择完进程后,单击<确定>按钮,可在列表的“限制方式”列中选择限制方式,如图2-20所示,当选择“禁用指定版本”或者“允许指定版本”,可以在“进程版本”列中选择需要限制的版本信息,支持多选。当选择“禁用所有版本”的时候,“进程版本”列会自动清空,并隐藏选择框。
c. 单击删除列的<删除>按钮,可删除选择的进程。
软件运行监控策略用于对终端上运行的进程启停、有效使用时长以及窗口切换事件进行监控,并可对含有特定关键字的进程窗口强行关闭。
单击“自动化”页签,选择[终端业务>终端行为管理>策略管理>软件管理>软件运行监控策略]菜单项,进入软件运行监控策略页面,单击<增加>按钮,进入增加软件运行监控策略页面,如图2-21所示。
参数说明:
· 基本信息:
¡ 名称:策略的唯一标识。
¡ 描述:对策略进行说明。
· 进程运行监控:
a. 单击<选择>下拉按钮,单击进程或进程组链接,进入选择进程或进程组页面,如图2-22所示,可选择需要监控的进程或者进程组,当选择进程组的时候即监控进程组下的所有进程。如果选择页的进程或者进程组不能满足需要,可在主页右上方选择[基础数据配置库>进程库>进程或者进程组]页面新增,完成后再单击“软件运行监控策略”页签,在进程组选择页面可根据名称查询并选择,而进程选择页可根据选多种条件查询并选择。
b. 选择进程或进程组后,单击<确定>按钮,可在列表的“监控方式”列中选择监控方式,如图2-23所示,如果选中了“有效使用时长监控”则需要配置“有效使用时长监控参数”。
参数说明:
- 启用启停监控:启用此功能后,当进程启动或停止时都会记录,操作员可以在“软件运行审计”中查看记录的结果。
- 有效使用时长监控:启用此功能后,就会根据“有效使用时长监控参数”中配置的参数规则记录进程每次处于活动状态的开始时间和结束时间。操作员可以在“软件有效使用时长审计”中查看记录的结果。需要说明的是,活动状态是指的进程窗口内有鼠标,键盘等操作。
- 超时时间(秒):取值范围0-600秒,超过此时间,若鼠标或者键盘仍然没有动作,则不再认为进程窗口为活动状态;0表示不设置超时时间。
- 最短有效时间(秒):取值范围0-600,若活动小于此时间,则不计为有效时间,此值是为了避免极端情况(如进程异常、终端中病毒等)窗口不断切换,造成大量日志记录。
· 进程窗口监控:
进程窗口切换监控:开启之后,会展示“进程窗口限制”列表,如图2-24所示。
如果需要禁止带有某些关键字的窗口弹出,则单击<增加>按钮弹出增加窗口标题页面,如图2-25所示,增加窗口标题限制信息。
参数说明:
¡ 窗口标题:需要限制的进程窗口关键字,当窗口标题中带有此关键字,则自动停止该进程。
¡ 描述:给窗口标题增加说明。
网络访问策略对终端上网页浏览、论坛发帖、邮件收发、FTP操作、TELNET操作、网盘使用行为进行监控和限制。
单击“自动化”页签,选择[终端业务>终端行为管理>策略管理>网络管理>网络访问策略]菜单项,进入网络访问策略页面,单击<增加>按钮,进入增加网络访问策略页面,如图2-26所示。
参数说明:
· 基本信息:
¡ 名称:策略的唯一标识。
¡ 描述:对策略进行说明。
· 上网管控,如图2-27所示:
¡ 网页浏览监控:开启之后,iNode会监控并记录用户浏览的网站信息以及在网站中通过搜索引擎搜索的内容,支持的搜索引擎包括百度搜索,360搜索,搜狗搜索,必应搜索和中国搜索。操作员可以在“网页浏览审计”中查看网页浏览记录的结果,在“网页搜索审计”中查看网页浏览记录的结果。
¡ 网页粘贴内容监控:开启之后,iNode会对用户粘贴到网页中的文本内容进行监控并记录,操作员可在“网页粘贴审计”中查看粘贴记录。
¡ 禁止网页上传文件:开启之后,用户将无法通过网页上传文件。
¡ 网页上传文件监控:当不禁止网页上传文件的时候,开启此开关,iNode会监控并记录用户通过网页上传文件的行为进行监控和记录,并将“网页上传文件备份阈值(MB)”以内大小的文件备份在PC上,并上传到服务器作为证据文件供日后追溯。操作员可以在“网页上传审计”中查看文件上传记录,并下载备份文件。
¡ 网页上传文件备份阈值(MB):网页上传文件的时候,将此大小以内的文件备份到服务器上,缺省值为0,输入范围0-5120,设置成0或者文件超过设定大小则不备份。
安装了“终端数据管理(EDM)”组件,才会显示如下参数。
¡ 检测网页粘贴内容:开启“网页粘贴内容监控”开关才会显示。开启之后,iNode会根据终端行为策略中配置的“数据防泄漏策略”检测粘贴到网页上的内容中是否有敏感信息,并根据其中配置的“响应规则”做出反应。在[分析>健康分析>终端分析>数据防泄漏审计>数据泄露事件]中对应到泄露方式为“网页粘贴”的记录。
¡ 检测网页上传文件内容:开启“网页上传文件监控”开关才会显示。开启之后,iNode会根据终端行为策略中配置的“数据防泄漏策略”检测上传的文件内容中是否有敏感信息,并根据其中配置的“响应规则”做出反应。在[分析>健康分析>终端分析>数据防泄漏审计>数据泄露事件]中对应到泄露方式为“网页发送文件”的记录。
¡ 检测网页浏览内容:开启“网页浏览监控”开关才会显示。开启之后,iNode会根据终端行为策略中配置的“数据防泄漏策略”检测浏览的网页内容中是否有敏感信息,并根据其中配置的“响应规则”做出反应。在[分析>健康分析>终端分析>数据防泄漏审计>数据泄露事件]中对应到泄露方式为“网页浏览”的记录。
· 论坛管控,如图2-28所示:
¡ 论坛发帖监控:开启之后,iNode会对在论坛上发帖的内容进行监控、记录并备份成“.txt”格式文件上传到服务器,操作员可以在“论坛发帖审计”中查看记录的结果并下载备份文件。
¡ 检测论坛发帖内容:安装了“终端数据管理(EDM)”组件,并开启“论坛发帖监控”开关后,才会有此配置。开启之后,iNode会根据终端行为策略中配置的“数据防泄漏策略”检测发表在论坛上的帖子内容中是否有敏感信息,并根据其中配置的“响应规则”做出反应。在[分析>健康分析>终端分析>数据防泄漏审计>数据泄露事件]中对应到泄露方式为“论坛发帖”的记录。
· 邮箱管控,如图2-29所示:
¡ 客户端邮件监控:开启之后,iNode基于常用的邮箱协议对客户端邮箱进行监控,并将邮件内容以“.eml”格式备份到服务器上。操作员可以在“邮件收发审计”中查看记录的结果并下载备份文件,下载的备份文件可以使用任意邮箱客户端打开。目前对客户端邮箱协议支持情况如下:
- SMPT发送协议,POP和IMAP接收协议:在邮箱没有设置SSL加密的情况下,支持遵循此协议的所有邮箱客户端,比如Outlook、网易邮箱大师、Foxmail等。对于设置SSL加密的场景下,仅支持Outlook和Foxmail客户端。
- Exchange收发协议:支持Outlook客户端。
¡ 网页邮件监控:开启之后,iNode会基于浏览器对http或者https协议的网页邮箱进行监控,支持的浏览器有360极速浏览器、360浏览器、IE浏览器、Edge浏览器、火狐浏览器、谷歌浏览器、搜狗浏览器。操作员可以在“邮件收发审计”中查看记录的结果并下载备份文件,下载的备份文件可以使用任意邮箱客户端打开。目前对客户端邮箱协议支持情况如下:
- SMPT发送协议,POP和IMAP接收协议:在邮箱没有设置SSL加密的情况下,支持遵循此协议的所有邮箱客户端,比如Outlook、网易邮箱大师、Foxmail等。对于设置SSL加密的场景下,仅支持Outlook和Foxmail客户端。
- Exchange收发协议:支持Outlook客户端。
安装了“终端数据管理(EDM)”组件,并且开启“客户端邮件监控”或者“网页邮件监控”任一开关后,才会显示如下参数。
¡ 检测发送邮件内容:开启之后,iNode会根据终端行为策略中配置的“数据防泄漏策略”检测邮件发送的内容中是否有敏感信息,并根据其中配置的“响应规则”做出反应。在[分析>健康分析>终端分析>数据防泄漏审计>数据泄露事件]中对应到泄露方式为“邮件内容传输”的记录。
¡ 检测发送附件内容:开启之后,iNode会根据终端行为策略中配置的“数据防泄漏策略”检测邮件发送的附件内容中是否有敏感信息,并根据其中配置的“响应规则”做出反应。在[分析>健康分析>终端分析>数据防泄漏审计>数据泄露事件]中对应到泄露方式为“邮件附件传输”的记录。
· FTP管控,如图2-30所示:
¡ FTP操作监控:开启之后,iNode会记录通过FTP上传和下载文件的操作。操作员可以在“FTP操作审计”中查看FTP操作记录。
¡ FTP操作文件备份阈值(MB):通过FTP上传或下载文件的时候,将此大小以内的文件备份到服务器上,缺省值为0,输入范围0-5120,设置成0或者文件超过设定大小则不备份。
¡ 禁止FTP上传文件:开启之后,用户将无法通过FTP上传文件,同时开启“FTP操作监控”与“禁止FTP上传文件”时,iNode仍然会监控并记录FTP上传操作。
¡ 检测FTP上传文件内容:安装了“终端数据管理(EDM)”组件并且开启FTP操作监控才会显示此参数,开启之后,iNode会根据终端行为策略中配置的“数据防泄漏策略”检测FTP上传文件内容是否有敏感信息,并根据其中配置的“响应规则”做出反应。在[分析>健康分析>终端分析>数据防泄漏审计>数据泄露事件]中对应到泄露方式为“FTP上传文件”的记录。
· TELNET管控,如图2-31所示:
¡ TELNET操作监控:如果需要对用户通过Telnet远程登录设备进行监控,则开启“TELNET操作监控”。开启之后,iNode会记录从当前PC通过Telnet登录另一台PC的命令内容、目标地址等信息。操作员可以在“Telnet操作审计”中查看Telnet操作记录。
· 网盘管控,如图2-32所示:
¡ 网盘操作监控:开启之后,iNode会记录向网盘上传文件或者从其中下载文件的操作,并将小于“文件备份阈值(MB)”的文件备份到服务器上,如果阈值为0,则不备份。操作员可以在“网盘操作审计”中查看网盘操作记录。
¡ 文件备份阈值(MB):通过网盘上传文件的时候,将此大小以内的文件备份到服务器上,缺省值为0,输入范围0-5120,设置成0或者文件超过设定大小则不备份。
安装了“终端数据管理(EDM)”组件并且开启网盘操作监控才会显示如下参数。
¡ 检测网盘上传文件:开启之后,iNode会根据终端行为策略中配置的“数据防泄漏策略”检测网盘上传文件是否有敏感信息,并根据其中配置的“响应规则”做出反应。在[分析>健康分析>终端分析>数据防泄漏审计>数据泄露事件]中对应到泄露方式为“网盘上传文件”的记录。
¡ 检测网盘下载文件:开启之后,iNode会根据终端行为策略中配置的“数据防泄漏策略”检测网盘下载文件是否有敏感信息,并根据其中配置的“响应规则”做出反应。在[分析>健康分析>终端分析>数据防泄漏审计>数据泄露事件]中对应到泄露方式为“网盘下载文件”的记录。
网络共享策略对终端上网络共享行为进行限制。
单击“自动化”页签,选择[终端业务>终端行为管理>策略管理>网络管理>网络共享策略]菜单项,进入网络共享策略页面,单击<增加>按钮,进入增加网络共享策略页面,如图2-33所示。
参数说明
· 基本信息:
¡ 名称:策略的唯一标识。
¡ 描述:对策略进行说明。
¡ 允许共享:默认是关闭状态,即禁用共享功能,开启之后可以配置“本地共享敏感检测配置”和“网络共享敏感检测配置”。
安装了“终端数据管理(EDM)”组件且开启“允许共享”后才会显示如下参数。
· 本地共享敏感检测配置,如图2-34所示:
¡ 检测本地共享内容:开启之后,当本地文件通过网络共享给其他PC用户时,iNode会根据终端行为策略中配置的“数据防泄漏策略”检测共享的文件内容中是否有敏感信息,并根据其中配置的“响应规则”做出反应。在[分析>健康分析>终端分析>数据防泄漏审计>数据泄露事件]中对应到泄露方式为“本地共享”的记录。
¡ 敏感检测违规阻断方式:当终端行为策略中配置的“数据防泄漏策略”的“响应规则”中开启了“阻断外发”后,可在此进一步选择“禁用所有共享”或仅“取消包含敏感内容的目录”。
- 禁用所有共享:当本机有多个共享目录的时候,所有这些目录都自动取消共享。
- 取消包含敏感内容的目录:当本机有多个共享目录的时候,仅包含有敏感文件的目录取消共享,包括新建的文件夹也无法共享。
· 网络共享敏感检测配置,如图2-35所示:
¡ 检测共享内容:开启之后,当向网络共享盘中拷贝文件时,iNode会根据终端行为策略中配置的“数据防泄漏策略”检测拷贝的文件内容中是否有敏感信息,并根据其中配置的“响应规则”做出反应。在[分析>健康分析>终端分析>数据防泄漏审计>数据泄露事件]中对应到泄露方式为“网络共享”的记录。
流量限制策略对终端上流量使用进行限速,在线视频、下载、P2P等多种带宽滥用行为极易造成网络拥堵,使得关键的业务无法正常展开,降低工作效率。系统支持对终端的流量进行限速,合理分配带宽,目前支持的限速模式有总体限速、按目的IP限速、应用程序限速等三种限速模式。
单击“自动化”页签,选择[终端业务>终端行为管理>策略管理>网络管理>流量限制策略]菜单项,进入流量限制策略页面,单击<增加>按钮,进入增加流量限制策略页面,如图2-36所示。
参数说明
· 基本信息:
¡ 名称:策略的唯一标识。
¡ 描述:对策略进行说明。
¡ 限速时段:
单击输入框内区域,进入选择时段页面,如图2-37所示,可选择需要限制网络流量速率的时段。
单击时段的名称链接,进入时段详细信息页面可以查看时段详细信息,如图2-38所示。
如果选择页的时段不能满足需要,可在主页右上方选择[基础数据配置库>时间段>时间段]页面新增,完成后再单击“流量限制策略”页签,在选择时段页面可根据名称查询并选择,而进程选择页可根据多种方式查询并选择,然后单击<确定>按钮则会保存选项并关闭选择窗口。
单击限速时段后的<查看详情>按钮,可进入时段详细信息页面查看已选时段的详情信息,如图2-39所示。
· 总体限速:“限速类型”选择“上/下行流量”,可分别配置“上行流量(KB/s)”和“下行流量(KB/s)”,如图2-40所示;选择“合计流量”时,可配置“总流量(KB/s)”,如图2-41所示。总体限速是对PC上整体网络流量进行限速,无关网络访问的目标或者使用网络的应用程序。
图2-40 上/下行流量
¡ 限制类型:
- 上/下行流量:对上行流量和下行流量进行单独限速。
- 合计流量:对同一时刻的上下行流量合并限速。
¡ 总流量(KB/s):同一时刻对上下行流量速率的和限制在此值范围内,当限制类型为“合计流量”时显示此配置,输入范围500到2147483647。
¡ 上行流量(KB/s):用于将上行流量速率限制在此值范围内,当限制类型为“上/下行流量”时显示此配置,输入范围500到2147483647。
¡ 下行流量(KB/s):用于将下行流量速率限制在此值范围内,当限制类型为“上/下行流量”时显示此配置,输入范围500到2147483647。
¡ 限速说明:用于说明此条限速配置的用途。
· 基于目的IP限速:用于当PC访问特定IP和端口范围内的目标地址或者设备时限速。
a. 单击<增加>按钮,进入增加IP限速页面,如图2-42所示
b. “限速类型”选择“上/下行流量”,可分别配置“上行流量(KB/s)”和“下行流量(KB/s)”,选择“合计流量”时,可配置“总流量(KB/s)”。
c. “协议类型”根据需要选择“TCP”或者“UDP”。
d. 通过输入“起始IP”、“起始端口”和“结束IP”、“结束端口”指定需要访问时需要限速的目标地址范围。
e. 配置完成后单击<确定>按钮。
· 对应用程序限速:用于当PC上特定应用程序访问网络是进行限速。可以通过进程或者进程组指定需要限制的应用程序。
a. 单击<增加>按钮,进入增加进程限速页面,如图2-43所示。
b. “限速类型”选择“上/下行流量”,可分别配置“上行流量(KB/s)”和“下行流量(KB/s)”,选择“合计流量”时,可配置“总流量(KB/s)”。
c. 单击“限速对象”输入框内后的<选择>下拉按钮,进入选择进程或进程组页面,如图2-44所示,可选择需要限制的进程或者进程组,当选择进程组的时候即限制进程组下的所有进程。如果选择页的进程或者进程组不能满足需要,可在主页右上方选择[基础数据配置库>进程库>进程或者进程组]页面新增,完成后再单击“流量限制策略”页签,在进程组选择页面可根据名称查询并选择,而进程选择页可根据选多种名称查询查询并选择。
d. 选择完成后,“对象类型”会根据实际选中的对象类型显示为“进程”或者“进程组”。
即时通讯管控策略对终端上即时通讯工具登录操作、聊天内容、文件内容进行监控和限制。
单击“自动化”页签,选择[终端业务>终端行为管理>策略管理>网络管理>即时通讯管控策略]菜单项,进入即时通讯管控策略页面,单击<增加>按钮,进入增加即时通讯管控策略页面,如图2-45所示。
参数说明
· 基本信息:
¡ 名称:策略的唯一标识。
¡ 描述:对策略进行说明。
· 监控设置:在监控设置区域勾选不同即时通讯软件的不同类型的监控,即可对特定即时通讯软件进行特定类型的监控,包括聊天内容监控、登录监控、阻止接收附件、阻止发送附件,如图2-46所示。
¡ 登录:勾选“监控”复选框之后,用户在登录相应及时通讯软件,iNode记录其登录时间、软件以及登录账号等信息并上报给服务器。操作员可在“聊天工具使用审计”中查看记录。暂不支持飞书的登录监控审计。
¡ 内容:勾选“监控”复选框之后,iNode会对该即时通讯软件的聊天内容进行监控和记录,包括聊天文字信息,同时对发送的图片、文件、截图进行备份,并上传到服务器上。操作员可以在“聊天内容审计”中查看记录。
¡ 接收附件:勾选“阻止”复选框之后,iNode会禁止该即时通讯软件接收附件。
¡ 发送附件:勾选“阻止”复选框之后,iNode会禁止该即时通讯软件发送附件。
只有在安装了“终端数据管理(EDM)”组件之后才会显示如下参数。
¡ 检测文字内容:开启之后,使用iNode会根据终端行为策略中配置的“数据防泄漏策略”检测聊天的文字内容中是否有敏感信息,并根据其中配置的“响应规则”做出反应。在[分析>健康分析>终端分析>数据防泄漏审计>数据泄露事件]中对应到泄露方式为“IM发送消息”的记录。
¡ 检测发送文件内容:开启之后,使用iNode会根据终端行为策略中配置的“数据防泄漏策略”检测聊天时发送的文件内容中是否有敏感信息,并根据其中配置的“响应规则”做出反应。在[分析>健康分析>终端分析>数据防泄漏审计>数据泄露事件]中对应到泄露方式为“IM发送文件”的记录。
¡ 检测接收文件内容:开启之后,使用iNode会根据终端行为策略中配置的“数据防泄漏策略”检测聊天时接收的文件内容中是否有敏感信息,并根据其中配置的“响应规则”做出反应。在[分析>健康分析>终端分析>数据防泄漏审计>数据泄露事件]中对应到泄露方式为“IM接收文件”的记录。
· 文件备份设置,如图2-47所示:
¡ 发送文件备份阈值(MB):当使用“内容”列勾选了“监控”的软件发送文件或者图片的时候,将此大小以内的文件备份到服务器上,缺省值为0,输入范围0-5120,设置成0或者文件超过设定大小则不备份。操作员可在“聊天内容审计”中下载备份的文件或者图片。
文件操作监控策略用于对终端本地磁盘、可移动磁盘、网络盘(网上邻居)、光盘中的文件操作进行监控,可以指定文件路径、名称、格式,以及操作文件的进程。
单击“自动化”页签,选择[终端业务>终端行为管理>策略管理>文件操作管理>文件操作监控策略]菜单项,进入文件操作监控策略页面,单击<增加>按钮,进入增加文件操作监控策略页面,如图2-48所示。
参数说明:
· 基本信息:
¡ 名称:策略的唯一标识。
¡ 描述:对策略进行说明。
· 监控设置,如图2-49所示:
¡ 监控时段:单击监控时段输入框内区域,进入选择时段页面,如图2-50所示,可选择需要进行文件操作监控网络的时段,单击时段名称链接,进入时段详细信息页面可以查看时段详细信息,如图2-51所示。如果选择页的时段不能满足需要,可在主页右上方选择[基础数据配置库>时间段>时间段设置]页面新增,完成后再单击“文件操作监控策略”页签,在选择时段页面可根据名称查询并选择,然后单击<确定>按钮则会保存选项。
单击输入框后的<查看详情>按钮可以查看选中时段的详情,如图2-52所示。
¡ 磁盘监控方式:对存储在此范围内的目标文件进行监控,默认所有磁盘,可对指定类型的磁盘进行监控。
¡ 磁盘类型:
- 本地磁盘:例如本地磁盘C、本地磁盘D
- 可移动磁盘:例如移动硬盘、U盘
- 网络盘(网上邻居)
- 光盘(光驱)
· 操作文件进程:
a. 具有两种监控措施“只监控指定进程或进程组”及“不指定进程或进程组”,默认选择“只监控指定进程或进程组”。
b. 如果想要监控所有进程,需选中“不监控指定进程或进程组”,且不配置任何进程及进程组,如图2-53所示。
c. 在操作文件的进程区域单击<选择>下拉按钮,进入选择进程组或进程页面,如图2-54所示,可选择需要监控的进程或者进程组,当选择进程组的时候即监控进程组下的所有进程。
d. 如果选择页的进程或者进程组不能满足需要,可在主页右上方选择[基础数据配置库>进程库>进程或者进程组]页面新增,完成后再单击“文件操作监控策略”页签,在进程组选择页面可根据名称查询并选择,而进程选择页可根据多种条件查询并选择。
e. 选择进程或进程组,并单击<确定>按钮之后,则代表将只监控/不监控指定进程对目标文件的操作,如图2-55所示。
f. 单击“删除”列中的图标,可以删除该行。
· 目标文件信息:三部分组成:文件目录、文件名、文件后缀。三个部分并不是必须的,可结合每个部分自己的监控措施进行组合,三者之间是“且”的关系,例如配置了(监控指定文件目录“file”+只监控指定文件名“test”+只监控指定后缀“.txt”),则只可对“file\test\video\test.txt”文件进行行为监控。
配置目标文件目录,如图2-56所示:
a. 单击<增加>按钮,进入增加文件目录页面,如图2-57所示,可增加需要“监控”或“排除”的目录。
参数说明:
- 文件目录:增加的文件目录,文件目录支持模糊匹配路径,不包含文件名,如“test”可以匹配路径“file\test\video\”,支持盘符如“D:\”。
- 描述:文件目录的说明信息。
- 监控/排除:对当前文件目录进行监控/不监控。支持目录组合,例如:“监控”文件目录“file”,“排除”文件目录“test”,则目录“file/”下除了“file/test/”子目录下的文件以外,其他文件或者子目录下的文件都监控。
b. 可同时增加多个文件目录,且可单独指定每个文件目录是“监控”还是“排除”。
c. 当列表中不增加文件目录,则默认对所有目录下的文件都监控。
d. 单击“删除”列中的图标,可以删除该行。
配置目标文件文件名,如图2-58所示:
a. 具有两种监控措施“只监控指定文件名”及“不指定指定文件名”,默认选择“只监控指定文件名”。
b. 单击<增加>按钮,进入增加文件名,如图2-59所示,可增加目标文件的文件名。
参数说明:
- 文件名:增加的文件名,文件名支持模糊匹配,如“es”可以匹配文件名“test”。
- 描述:文件名的说明信息。
c. 若需要监控所有名称的文件,则选中“不监控指定文件名”,且不增加任何文件名,如图2-60所示。
d. 单击“删除”列中的图标,可以删除该行。
配置目标文件文件后缀,如图2-61所示:
a. 具有两种监控措施“只监控指定后缀的文件”及“不监控指定后缀的文件”,默认选择“只监控指定后缀的文件”。
b. 单击<增加>按钮,进入增加文件后缀页面,如图2-62所示,可增加目标文件的文件后缀格式。
参数说明:
- 文件后缀:增加的文件后缀,支持多选。可选择常用后缀或填写其他后缀,填写其他后缀时,单个文件后缀必须以“.”开头,不支持“.*”,多个后缀请使用“|”分割,不同增加记录不能包含同一个文件后缀,比如“.txt|.ppt”与“.doc|.txt”则认为是包含了相同的后缀“.txt”。
- 描述:当文件后缀并不常见的时候可以对其添加说明。
c. 若需要监控所有后缀的文件,则选中“不监控指定后缀的文件”,且不增加任何文件后缀,如图2-63所示。
d. 单击“删除”列中的图标,可以删除该行。
· 文件备份设置,如图2-64所示:
¡ 需要备份文件的操作:目标文件进行勾选的行为操作后,iNode会将对应操作的文件备份并上传到服务器。可选择的操作有创建、重命名、复制、读取、修改,支持多选。
¡ 文件备份阈值(MB):当使用勾选了需要备份文件的操作后,iNode会将进行了该操作的目标文件,且大小为阈值以内的目标文件备份到服务器上,缺省值为0,输入范围0-5120,设置成0或者文件超过设定大小则不备份。操作员可在“文件操作记录审计”中下载备份的文件。
剪切板限制策略用于限制终端上剪切板的使用行为。
单击“自动化”页签,选择[终端业务>终端行为管理>策略管理>文件操作管理>剪切板限制策略]菜单项,进入剪切板限制策略页面,单击<增加>按钮,进入增加剪切板限制策略页面,如图2-65所示。
参数说明:
· 基本信息:
¡ 名称:策略的唯一标识。
¡ 描述:对策略进行说明。
· 剪切板限制策略,如图2-66所示:
¡ 剪切板粘贴控制方式:
- 仅允许受控进程向外粘贴:仅允许受控进程列表的进程向不在列表中的进程粘贴剪切的内容。
- 禁止受控进程向外粘贴:不允许受控进程列表的进程向不在列表中的进程粘贴剪切的内容。
- 禁止所有进程向外粘贴:禁止所有的进程向其它进程粘贴剪切的内容,即仅允许同进程内部粘贴。
- 仅允许受控进程间粘贴:仅允许受控进程列表中的进程之间粘贴剪切的内容。
- 禁用剪切板:禁止所有进程使用剪切板功能。
- 不限制剪切板:不限制进程对剪切板的使用。
¡ 允许粘贴的最大长度:
- 当剪切板粘贴控制方式选择的是“仅允许受控进程向外粘贴”、“禁止受控进程向外粘贴”时,需配置允许剪切板粘贴的最大长度。
- 当剪切板粘贴控制方式为“仅允许受控进程向外粘贴”,输入的允许粘贴最大长度限制的是受控进程向外粘贴,“0”代表不限制。
- 当剪切板粘贴控制方式为“禁止受控进程向外粘贴”,输入的允许粘贴最大长度限制的是非受控进程向外粘贴,“0”代表不限制。
· 受控进程:当剪切板粘贴控制方式选择的是“仅允许受控进程向外粘贴”、“禁止受控进程向外粘贴”、“仅允许受控进程间粘贴”时,需配置受控进程。
a. 在受控进程区域单击<选择>下拉按钮,进入选择进程或者进程组页面,如图2-67所示,可选择需要管控的进程或者进程组,当选择进程组的时候代表进程组下的所有进程将受到剪切板限制管控。
b. 如果选择页的进程或者进程组不能满足需要,可在主页右上方选择[基础数据配置库>进程库>进程或者进程组]页面新增,完成后再单击“剪切板限制策略”页签,在进程组选择页面可根据名称查询并选择,而进程选择页可根据选多种条件查询并选择。
c. 选择进程或进程组,并单击<确定>按钮之后,则代表所选进程将受到剪切板限制管控。
d. 单击“删除”列中的图标,可以删除该行。
屏幕监控策略用于对终端PC桌面进行录屏、截屏监控,并支持限制系统的截屏功能。
单击“自动化”页签,选择[终端业务>终端行为管理>策略管理>屏幕管理>屏幕监控策略]菜单项,进入屏幕监控策略页面,单击<增加>按钮,进入增加屏幕监控策略页面,如图2-68所示。
参数说明:
· 基本信息:
¡ 名称:策略的唯一标识。
¡ 描述:对策略进行说明。
· 屏幕水印:
a. 开启“启用”开关。
b. 单击“名称”后面输入框,打开选择屏幕水印页面,如图2-69所示。如果选择页的屏幕水印不能满足需要,在主页右上方选择[基础数据配置库>水印模板>屏幕水印]页面新增,完成后再单击“屏幕监控策略”页签,在水印选择页面查询并选择,单击<确定>按钮保存。
c. 单击输入框后面的<查看详情>按钮,可进入屏幕水印详情信息页面,如图2-70所示,查看屏幕水印详情信息。
d. 单击输入框后面的<删除>按钮,可删除选择的水印。
· 屏幕录制:
a. 开启“启用”开关。
b. 选择“监控方式”,可选择“实时监控”或“监控指定进程”。
c. 如果选择“实时监控”,如图2-71所示,需要进行如下配置:
- 每帧间隔时长(秒):iNode录屏实际上是以指定的时间间隔对屏幕进行“拍照”,而这一张“照片”就叫做一帧,此值就是这里的时间间隔,输入范围为1-300,值越小则录像播放时越流畅,但是录像文件也会越大,为了防止录像文件过大,建议设置成60。
- 强制录制间隔时长(秒):为了减少录像文件大小,iNode每次录屏并非是完全对整个屏幕“拍照”,而是会将屏幕划分为几个区域,除第一次以外,后续都只会将屏幕变化的区域拍下来,这样如果屏幕长时间没有变化(比如锁屏)则录像播放时从时间上看不连续,而此参数则是让iNode每间隔一定时长都强制拍一张完整的屏幕,从而在一定程度行缓解这种不连续。输入的范围0-300,且不应比“每帧间隔时长(秒)”小,默认为0,代表不强制录屏。
- 录制时段:单击“录制时段”输入框内区域,进入选择时段页面,如图2-72所示,可选择需要进行屏幕录制的时段,单击时段的名称链接可以查看时段详细信息。如果选择页的时段不能满足需要,在主页右上方选择[基础数据配置库>时间段>时间段设置]页面新增,完成后再单击“屏幕监控策略”页签,在时段选择页面可根据名称查询并选择,然后单击<确定>按钮则会保存选项并关闭选择窗口。
d. 如果选择“监控指定进程”,如图2-73所示,需要进行如下配置:
- 每帧间隔时长(秒):iNode录屏实际上是以指定的时间间隔对屏幕进行“拍照”,而这一张“照片”就叫做一帧,此值就是这里的时间间隔,输入范围为1-300,值越小则录像播放时越流畅,但是录像文件也会越大,为了防止录像文件过大,建议设置成60。
- 进程运行录屏设置:单击<选择>下拉按钮,进入选择进程或者进程组页面,如图2-74所示,如果选择页的进程或者进程组不能满足需要,在主页右上方选择[基础数据配置库>进程库>进程或者进程组]页面新增,完成后再单击“屏幕监控策略”页签,在进程组选择页面可根据名称查询并选择,而进程选择页可根据选多种名称查询查询并选择,然后单击<确定>按钮则会保存选项并关闭选择窗口。
· 桌面应用程序监控,如图2-75所示:
¡ 启用:当某些敏感应用程序的进程启动或读取敏感信息事件时需要截屏或者录屏,则开启“启用”开关,通常这些进程都是带有窗口的,因为对后台进程截屏或者录屏没有意义。
¡ 单击<选择>下列按钮,进入进程或者进程组页面,如图2-76所示,如果选择页的进程或者进程组不能满足需要,在主页右上方选择[基础数据配置库>进程库>进程或者进程组]页面新增,完成后再单击“屏幕监控策略”页签,在进程组选择页面可根据名称查询并选择,而进程选择页可根据选多种条件查询并选择,单击<确定>按钮保存。
选择进程之后,在“监控方式”列可以选择“截屏”或者“录屏”,然后在“监控事件”列选择需要监控的事件,包括“进程启动”或者“读取敏感信息”,支持多选,如图2-77所示。
¡ 当监控方式选择为录屏时,需要配置录屏参数:
- 每帧间隔时长(秒):iNode录屏实际上是以指定的时间间隔对屏幕进行“拍照”,而这一张“照片”就叫做一帧,此值就是这里的时间间隔,输入范围为1-300,值越小则录像播放时越流畅,但是录像文件也会越大,为了防止录像文件过大,建议设置成60。
- 录制时长(秒):当发生监控事件时,iNode总共将录制多长时间,输入的范围为1-43200,即最长录制12小时。
¡ 当监控方式选择为截屏时,需要配置截屏参数:
- 延时时长(秒):当发生监控事件时,iNode将会在延时多少秒后进行截屏,输入范围为0.1-600,即100毫秒至10分钟,支持一位小数。
- 截屏次数:到达延时时长后,iNode将执行多少次截屏,输入范围为1-50。
- 间隔时长(秒):每次截屏的间隔时长,输入范围为0.1-600,输入范围为0.1-600,即100毫秒至10分钟,支持一位小数。
· 截屏功能限制:
¡ 启用:当需要限制用户对屏幕进行截屏的时候,则开启“启用”开关。
¡ 系统截屏功能限制:如果需要禁止使用键盘上的“Print Sc”键截全屏,则勾选“禁用PrintSc键”。
¡ 进程截屏功能限制:选择“禁止下列进程截屏”或者“仅允许下列进程截屏”。单击<选择>下拉按钮,进入进程或者进程组页面,如图2-78所示,如果选择页的进程或者进程组不能满足需要,在主页右上方选择[基础数据配置库>进程库>进程或者进程组]页面新增,完成后再单击“屏幕监控策略”页签,在进程组选择页面可根据名称查询并选择,而进程选择页可根据选多种条件查询并选择,单击<确定>按钮保存。
¡ 下列进程窗口打开时禁止截屏:当打开一些敏感的应用程序的时候,比如内部使用的加解密工具,需要禁止所有截屏行为,则需要将这些应用程序对应的进程加入到“下列进程窗口打开时禁止截屏”列表中。
¡ 单击<选择>下拉按钮,进入进程或者进程组页面,如图2-79所示,如果选择页的进程或者进程组不能满足需要,在主页右上方选择[基础数据配置库>进程库>进程或者进程组]页面新增,完成后再单击“屏幕监控策略”页签,在进程组选择页面可根据名称查询并选择,而进程选择页可根据选多种条件查询并选择,单击<确定>按钮保存。
当终端行为策略配置盲水印后,会监控终端的截图动作,生成盲水印后会同步上报一条盲水印记录;利用盲水印绘制技术,对图片添加一些终端和公司的标识信息,从肉眼上无法看出。帮助企业防范员工将重要数据泄密,根据泄密出去的图片提取信息从而达到数据追踪的目的。
单击“自动化”页签,选择[终端业务>终端行为管理>策略管理>屏幕管理>盲水印策略]菜单项,进入盲水印策略页面,单击<增加>按钮,进入增加盲水印策略页面,如图2-80所示。
参数说明:
· 基本信息:
¡ 名称:策略的唯一标识。
¡ 描述:对策略进行说明。
· 水印内容:
¡ 数据来源:选择截图
¡ 盲水印管控方式:支持配置“不管控所有进程”,“管控所有进程”,“管控指定进程”,“不管控指定进程”;当配置为“管控指定进程”或者“不管控指定进程”时,需要在水印受控进程中配置进程或者进程组。
· 水印受控进程:
单击<选择>下拉按钮,进入进程或者进程组页面,如图2-81所示,如果选择页的进程或者进程组不能满足需要,在主页右上方选择[基础数据配置库>进程库>进程或者进程组]页面新增,完成后再单击“屏幕监控策略”页签,在进程组选择页面可根据名称查询并选择,而进程选择页可根据选多种条件查询并选择,单击<确定>按钮保存。
系统事件监控策略用于监控终端操作系统层面的登录、状态变更、用户变更、系统用户组变更以及系统各类事件。
单击“自动化”页签,选择[终端业务>终端行为管理>策略管理>操作系统管理>系统事件监控策略]菜单项,进入系统事件监控策略页面,单击<增加>按钮,进入增加系统事件监控策略页面,如图2-82所示。
· 基本信息:
¡ 名称:策略的唯一标识。
¡ 描述:对策略进行说明。
· 监控信息,如图2-83所示:
¡ 监控用户登录:勾选此复选框后,iNode将记录终端操作系统用户登录/注销的事件信息。操作员可在[分析>健康分析>终端分析>行为审计>终端系统审计>系统登录记录]页面查看记录。
¡ 监控系统状态:勾选此复选框后,iNode将记录终端操作系统上的关机、开机、意外关闭、睡眠、睡眠唤醒的事件信息。操作员可在[分析>健康分析>终端分析>行为审计>终端系统审计>系统状态变更记录]页面查看记录。
¡ 监控用户(组)变化:勾选此复选框后,iNode将记录终端上系统用户变更、系统组变更的事件信息。操作员可分别在[分析>健康分析>终端分析>行为审计>终端系统审计>系统用户变更记录]与[分析>健康分析>终端分析>行为审计>终端系统审计>系统组变更记录]页面查看记录。
¡ 记录系统事件:勾选此复选框后,iNode将记录终端操作系统内部产生的日志,事件级别可选择错误、警告、通知、审核成功、审核失败,产生的系统日志会很多,通常只需要关注错误和警告即可。操作员可在[分析>健康分析>终端分析>行为审计>终端系统审计>系统事件]页面查看记录。
¡ 事件级别:
- 错误:表示系统或应用程序发生了严重错误,导致功能无法正常执行或产生严重的问题。错误级别的事件日志需要重视,因为它们指示了系统存在严重的故障或错误状态。
- 警告:表示系统或应用程序遇到了一些可能导致问题或异常的情况,但不会中断正常运行或产生严重的影响。警告级别的事件日志通常用于指示潜在的风险或不符合预期的情况,需要注意和进一步调查。
- 通知:表示一般性的信息或通知,用于记录系统运行状态、事件发生或重要操作。通知级别的事件日志通常用于记录关键事件、重要状态变化或与系统运行相关的信息。
- 审核成功:表示审核或审查过程已成功完成,符合预期的标准或要求。审核成功级别的事件日志通常用于记录与安全审计或系统审查相关的信息,以确认操作或活动的合规性。
- 审核失败:表示审核或审查过程未能成功完成,未达到预期的标准或要求。审核失败级别的事件日志通常用于记录与安全审计或系统审查相关的信息,以发现潜在的问题、违规行为或不正常的操作。
在全屏幕或指定的应用程序窗口中覆盖一层包含公司信息或者登录用户、计算机名称、IP地址和时间的水印。
单击“自动化”页签,选择[终端业务>终端行为管理>策略管理>基础数据配置库>水印模版>屏幕水印]菜单项,进入屏幕水印页面,单击<增加>按钮,进入增加屏幕水印页面,如图2-84所示。
图2-84 增加屏幕水印
参数说明:
· 基本信息:
¡ 名称:水印的唯一标识。
¡ 描述:对水印进行说明。
· 水印内容:
¡ 若水印形式选择“文字水印”,如图2-85所示。
在水印内容复选框需至少勾选选一项水印内容,支持多选,支持自定义内容,自定义内容长度不超过200个字符。文字水印将根据水印样式配置平铺于整个页面。
¡ 若水印形式选择“点阵水印”,如图2-86所示,系统将根据资产ID自动生成点阵图例,可参考点阵水印对照版。点阵水印将根据水印样式配置平铺于整个页面。
· 水印样式:
¡ 水印形式选择“文字水印”,需配置如下样式,如图2-87所示:
- 字体:水印内容的字体,可选择宋体、楷体、黑体、微软雅黑、Arial、Arial Black、仿宋、幼圆体、隶书。默认选择宋体。
- 倾斜角度:水印内容的字体类型,可选择实心字、空心字。默认选择实心字。
- 字体类型:水印内容的字体颜色,单击字体颜色区域的按钮可以弹出颜色选择器进行配置。
- 字体大小:水印文字的倾斜角度,输入范围0-360,单位为1度,0度代表不倾斜,默认为0度。
- 字体颜色:水印文字的字体大小,输入范围1-200,默认为20。
- 水印间距:每一块相邻屏幕水印之间的间距,输入范围0-5120,默认为20。
¡ 水印形式选择“点阵水印”,需配置如下样式,如图2-88所示:
- 圆点大小:组成点阵水印的圆点大小,输入范围1-10,默认为2。
- 点阵大小:点阵水印的圆点颜色,单击圆点颜色区域的按钮可以弹出颜色选择器进行配置。
- 圆点颜色:每一块点阵水印的区域大小。当屏幕大小固定,配置的点阵大小越小,屏幕上产生的点阵水印区域数将越密集。输入范围范围1-200,默认为20。
- 水印间距:每一块相邻屏幕水印之间的间距,输入范围0-5120,默认为20。
· 水印受控进程:
单击<选择>下拉按钮,进入进程或者进程组页面,如图2-89所示,如果选择页的进程或者进程组不能满足需要,在主页右上方选择[基础数据配置库>进程库>进程或者进程组]页面新增,完成后再单击“屏幕监控策略”页签,在进程组选择页面可根据名称查询并选择,而进程选择页可根据选多种条件查询并选择,单击<确定>按钮保存。
用于在打印的纸质文档上强制添加公司LOGO、公司名称及用户信息等相关的文字水印、图片水印、二维码水印。
单击“自动化”页签,选择[终端业务>终端行为管理>策略管理>基础数据配置库>水印模版>打印水印]菜单项,进入打印水印页面,单击<增加>按钮,进入增加打印水印页面,如图2-90所示。
参数说明:
· 基本信息:
¡ 名称:水印的唯一标识。
¡ 描述:对水印进行说明。
· 水印内容:
¡ 若水印形式选择“文字水印”,如图2-91所示。
在水印内容复选框需至少勾选选一项水印内容,支持多选,支持自定义内容,自定义内容长度不超过200个字符。文字水印将根据水印样式配置平铺于整个打印页面。
¡ 若水印形式选择“二维码水印”,如图2-92所示。
iNode将根据所选水印内容自动生成二维码图例。在水印内容复选框需至少勾选选一项水印内容,支持多选,支持自定义内容,自定义内容长度不超过200个字符。二维码将在打印页面上根据水印样式配置产生一处。
¡ 若水印形式选择“点阵水印”,如图2-93所示。
iNode将通过资产ID自动生成点阵图例,可参考点阵水印对照版。点阵水印将根据水印样式配置平铺于整个打印页面。
· 图片水印,如图2-94所示:
¡ 图片水印位置:图片水印在打印页面的显示位置。若不选择则代表不配置图片水印。
¡ 图片缩放大小(%):图片缩放大小,输入范围为20-500,单位为%,默认设置为100,代表图片为原始尺寸。
¡ 添加图片水印:单击<上传文件>按钮,选择本地图片后单击<打开>按钮,若不选择则代表不配置图片水印。图片支持BMP和JGP格式,图片大小不能超过200KB。
· 水印样式:
¡ 水印形式选择“文字水印”,需配置如下样式,如图2-95所示:
- 字体:水印内容的字体,可选择宋体、楷体、黑体、微软雅黑、Arial、Arial Black、仿宋、幼圆体、隶书。默认选择宋体。
- 字体大小:水印文字的字体大小,输入范围1-200,默认为20。
- 字体类型:水印内容的字体类型,可选择实心字、空心字。默认选择实心字。
- 倾斜角度:水印文字的倾斜角度,输入范围0-360,单位为1度,0度代表不倾斜,默认为0度。
- 字体颜色:水印内容的字体颜色,单击字体颜色区域的按钮可以弹出颜色选择器进行配置。
¡ 水印形式选择“二维码水印”,需配置如下样式,如图2-96所示:
- 水印大小:二维码的大小,输入范围1-200,默认为20。
¡ 水印形式选择“点阵水印”,需配置如下样式,如图2-97所示:
- 点阵大小:组成点阵水印的点阵大小,输入范围1-200,默认为20。
- 圆点大小:组成点阵水印的圆点大小,输入范围1-10,默认为2。
- 圆点颜色:点阵水印的圆点颜色,单击圆点颜色区域的按钮可以弹出颜色选择器进行配置。
¡ 文字水印、二维码水印、点阵水印共有样式:
- 水印位置:水印在打印页面的所处位置,单击下拉框选择该处的位置。
- 图层位置:水印所在图层,可选择前景、背景,默认前景。
前景位置表示水印位于打印页面的上层,即水印位于内容之上,但不会遮挡主要内容。这样的配置使得水印在页面上更加突出,同时不妨碍内容的阅读或观看。
背景位置表示水印位于打印页面的底层,即水印位于内容之后。这样的配置使得水印在视觉上更加隐蔽,不会干扰内容的观看或阅读,但仍然可以在合适的角度下被注意到。
选择将水印配置在前景或背景位置取决于水印在打印件中的作用和呈现效果。如果水印是重要的信息或需要特别强调,放置在前景位置可以确保它在页面中更加显眼。如果水印是用于版权保护或品牌标识的装饰性元素,放置在背景位置可以使其不影响主要内容的可视性。
- 打印上、下、左、右边距:打印水印在页面布局的上、下、左、右边距,范围是1-200,单位为像素,默认及建议设置为10。
- 打印上下、左右间距:水印的上下、左右间距,范围是1-200,单位为像素,默认及建议设置为10。
配置进程的基础信息和版本信息,通过子策略关联对进程做限制和监控。
单击“自动化”页签,选择[终端业务>终端行为管理>策略管理>基础数据配置库>进程库>进程]菜单项,进入进程页面,单击<增加>按钮,进入增加进程页面,如图2-98所示。
参数说明:
· 基础信息:
¡ 名称:进程的实际名称,包括后缀,如notepad.exe。必填项。
¡ 描述:对进程进行说明,如进程的用途,长度不超过127个字符。
¡ 进程组:对进程进行分组,若需新建进程组,在主页右上方选择[基础数据配置库>进程配置库>进程组]页面新增,完成后再单击“进程”页签。
¡ 产品名称:进程的产品名称进行描述,长度不超过32个字符。
¡ 进程标题:进程的标题,长度不超过32个字符。
¡ 原始文件名:进程的原始文件名,长度不超过32个字符。
¡ 适用操作系统:进程的适用操作系统,长度不超过32个字符。
¡ 厂商:进程所属厂商,长度不超过32个字符。
Windows10查看进程属性步骤如下:
a. 打开任务管理器。
b. 在任务管理器窗口中,切换到“详细信息”选项卡。在这个选项卡下,将看到系统中所有运行的进程的列表。
c. 在进程列表中,你可以选择所想了解的进程,并右键单击该进程。
d. 在右键菜单中,选择“属性”。这将打开一个对话框,显示选定进程的属性。其中可以查看各种信息,如进程的文件版本、产品名称、原始文件名等。
· 版本信息:
a. 单击<增加>按钮,进入增加进程版本信息页面,如图2-99所示。
b. 填写进程版本,单击进程执行文件MD5输入框后面的“MD5工具”链接,下载MD5工具。
c. 运行MD5工具,弹出文件MD5摘要计算器页面,如图2-100所示。
图2-100 文件MD5摘要计算器
d. 单击<请选择可执行文件>按钮,选择进程,选择完成后单击<打开>按钮,如图2-101所示。
e. 单击<计算MD5摘要>按钮,计算出进程执行文件进行加密之后的值,如图2-102所示。
f. 单击<复制>按钮,将MD5值复制,然后粘贴到增加进程版本信息页面的进程执行文件MD5输入框,如图2-103所示。
g. 配置完成后单击<确定>按钮,完成版本信息配置,如图2-104所示。
自定义进程组方便同时管控多个进程,一个进程组可以包含多个进程。
单击“自动化”页签,选择[终端业务>终端行为管理>策略管理>基础数据配置库>进程库>进程组]菜单项,进入进程组页面,单击<增加>按钮,进入增加进程组页面,如图2-105所示。
参数说明:
· 基本信息:
¡ 名称:进程组的名称。
¡ 描述:对进程组进行说明。
· 选择进程:单击<选择进程>按钮,进入选择进程页面,如图2-106所示,选择进程归于该进程组中。
配置自定义时间段,默认存在全天候时间段。
单击“自动化”页签,选择[终端业务>终端行为管理>策略管理>基础数据配置库>时间段>时间段设置]菜单项,进入时间段设置页面,单击<增加>按钮,进入增加时间段页面,如图2-107所示。
图2-107 增加时间段
参数说明:
· 基本信息:
¡ 名称:时间段的名称。
¡ 描述:对时间段进行说明。
· 时间段设置:
a. 单击时间选择框,选择开始和结束时间,如图2-108所示。
b. 单击<增加>按钮可以新增当天的时间段,如图2-109所示,对同一天最多允许配置五个时间段。
c. 单击<删除>按钮可以删除配置的时间段。
系统参数配置提供了系统相关的常用参数信息,并可以根据实际需求进行修改。
单击“自动化”页签,选择[终端业务>终端行为管理>系统配置>系统参数>系统参数配置]菜单项,进入系统参数配置页面,如图2-110所示。
参数说明
· 基本设置:
¡ 策略请求周期(分钟):包括终端行为策略、外设管理策略、应用程序限制策略、文件操作、水印策略等策略的请求周期。该参数必须为1-1440之间的整数,缺省为5。
¡ 每次日志上报最大条数:该参数决定了每次上报日志的最大条数。该参数必须为1-10000之间的整数,缺省为1000。
¡ 客户端本地数据保留时长(天):客户端本地数据(包含数据库和本地备份文件)保留时长,该参数必须为1-365之间的整数,缺省为7天。
¡ 日志保留时长(天):服务器日志记录保留时长,单位为天。缺省为90天。
· License设置:
¡ EBM License告警阈值(%):该参数必须为0-100之间的整数,在EBM组件license使用量和license总申请量的比值超过该阈值时会发送告警,0代表不发送告警,缺省值为80%。
¡ EDM License告警阈值(%):该参数必须为0-100之间的整数,在license使用量和license总申请量的比值超过该阈值时会发送告警,0代表不发送告警,缺省值为80%。
日志配置提供了对EBM和EDM组件系统运行环境进行相关参数的配置。
单击“自动化”页签,选择[终端业务>终端行为管理>系统配置>系统参数>日志配置]菜单项,进入日志配置页面,如图2-111所示。
参数说明
· 应用名称:
¡ EBM UI服务:EBM前台服务。
¡ EDM UI服务:EDM前台服务。
¡ EBM LOG服务:行为审计与数据防泄漏审计上报服务。
¡ EBM POLICY服务:终端行为策略与数据防泄漏策略下发服务。
· 日志级别:指定日志的重要级别。配置了日志级别后,系统仅记录该级别和该级别以上的日志;当前支持日志级别:错误、警告、信息、调试,缺省值为信息。
¡ 错误:错误级别的日志表示应用程序发生了一些错误,但这些错误不会导致应用程序崩溃或停止运行。对于普通用户而言,这些错误可能会导致某些功能无法正常工作或请求处理失败。这些日志应该引起用户的关注,因为它们可能需要开发人员进行修复。
¡ 警告:警告级别的日志表示系统可能遇到潜在的问题或异常情况,但不会影响应用程序的正常运行。对于普通用户而言,这些警告信息可能表明某些功能不太稳定或存在一些配置上的问题,但不会导致应用程序崩溃或故障。
¡ 信息:信息级别的日志记录了应用程序的正常运行信息,例如应用程序的启动、关键操作的完成等。对于普通用户而言,信息级别的日志可以让用户知道应用程序的运行状态和重要事件的发生,但并不涉及具体的错误或警告。
¡ 调试:调试级别的日志用于开发人员在程序开发和故障排查过程中追踪代码执行的信息。对于普通用户而言,这些调试日志不是必须了解的,因为它们通常包含程序内部的细节和变量的值。
· 修改日志级别后需等待1分钟才能生效。
· 将日志级别修改为“调试”可能会影响系统的效率,请谨慎操作。
文件服务器用于储存EBM及EDM业务的文件备份。管理员可增加、查看、修改和删除文件服务器,并在文件备份参数配置中根据实际情况配置之后可在备份时生效。
单击“自动化”页签,选择[终端业务>终端行为管理>系统配置>文件备份>文件服务器]菜单项,进入文件服务器页面,如图2-112所示。
单击<增加>按钮,进入增加服务器页面,如图2-113所示。
参数说明:
· 基础配置,如图2-114所示:
¡ 文件服务器名称:服务器的唯一标识
¡ 协议类型:增加服务器时默认选择SMB协议。
- 本地存储:服务器自带的存储空间。
- SMB协议:开放的、跨平台的网络文件共享协议,提供安全性和认证机制来保护数据的机密性和完整性。
¡ IP地址:服务器IPv4地址。
¡ 端口:此服务器上向外部文件传输文件使用的端口,Windows操作系统默认使用445端口提供SMB服务。
¡ 用户名:服务器本地用户账号。
¡ 密码:与当前用户名匹配的密码。
¡ 确认密码:再次确认当前输入的密码。
¡ 存储根目录:此服务器文件存储所在的根级目录,须以/开头,且以/结尾;例:“/filePath/”。长度不超过1024个字符。
¡ 描述:对此服务器进行说明。
¡ 服务器存储容量指示环:显示当前服务器已使用存储大小、总存储容量大小、剩余存储大小、已使用存储百分比等信息。
¡ 连接状态:与此服务器的连接状态,连接或端口。
¡ 告警阈值:当已使用的存储百分比大于此阈值设置值时,会触发首页实时告警。
· 服务器存储清理配置,如图2-115所示:
¡ 统一设置文件清理:启用该功能时,将根据填入的天数定期或者触发告警时对此服务器上的备份文件进行清理,默认为启用此功能。关闭统一设置文件清理后,可根据需求定制每类文件的清理周期。
¡ 文件类型:根据不同行为策略及审计日志所产生的备份文件。
¡ 配置:清理方式
- 定期清理:定期清理x天前的文件。
- 告警清理:根据基础配置中的告警阈值,当触发告警时清理x天前的文件。
文件备份参数配置控提供了对服务器上备份文件清理的相关参数配置。
单击“自动化”页签,选择[终端业务>终端行为管理>系统配置>文件备份>文件备份参数配置]菜单项,进入文件备份参数配置页面,如图2-116所示。
图2-116 文件备份参数配置
单击<刷新>按钮,可获取最新的文件备份参数配置。
参数说明:
· 基本配置:
¡ 统一配置日志存储路径:启用该功能时,将根据选择的日志存储路径统一备份上传的打印文件、光驱刻录文件、文件操作管控文件、论坛发帖文件、蓝牙传输文件、邮件文件、即时通讯工具传输文件、屏幕录制文件、桌面应用程序截屏监控文件、网盘操作文件、桌面应用程序录屏监控文件、网页上传文件、盲水印文件、FTP操作文件、数据泄露文件、违规截屏文件、MTP外发文件。关闭时,需根据实际需求定制上述文件的备份方式。默认为启用此功能。
¡ 日志存储路径:当前文件备份在文件服务器上的存储路径。
¡ 文件服务器名称:显示当前配置的日志存储的服务器名称。
¡ 连接状态:显示与当前配置的日志存储的服务器的连接状态,分为连接与断开。
· 已备份大小:当前服务器上已备份的光驱刻录文件大小。
· 已备份时长:当前服务器上已备份的该类(光驱刻录文件、蓝牙传输文件、打印文件、论坛发帖文件、邮件文件、网盘操作文件、即时通讯工具传输文件、文件操作管控文件、屏幕录制文件、桌面应用程序截屏监控文件、桌面应用程序录屏监控文件)文件的存在时长,单位为天。
展示当前服务器备份的文件记录。
单击“自动化”页签,选择[终端业务>终端行为管理>系统配置>文件备份>文件备份记录]菜单项,进入文件备份记录页面,如图2-117所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-118所示,可定制显示文件备份记录列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击右上角下拉箭头,如图2-119所示,可支持按照资产信息、用户信息、地址、存储时间、客户端备份时间、存储结果、存储路径、文件类型和文件服务器名称快速查询相关的审计记录。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 文件类型:光驱刻录文件、蓝牙传输文件、打印文件、论坛发帖文件、邮件文件、网盘操作文件、即时通讯工具传输文件、文件操作管控文件、屏幕录制文件、桌面应用程序截屏监控文件、桌面应用程序录屏监控文件、网页上传文件。
· 存储结果:成功或失败。
· 存储路径:服务器上的文件存储路径。
· 客户端备份时间:客户端保存该备份文件的时间。
· 客户本地路径:客户端本地备份该文件的路径。
· 文件大小:备份文件的大小,单位为B,KB,MB,GB。
· 存储时间:服务器存储客户端上报的文件的保存时间。
· 文件服务器名称:备份文件存储的文件服务器名称。
日志管理的主要功能是记录外设审计、软件审计、网络行为审计、屏幕审计、文件审计以及终端系统审计,为管理员追踪和管控整个网络的安全状态提供依据。
当存储设备限制策略中开启“检测光驱刻录内容”时,系统可以记录终端用户的光驱刻录行为,并对刻录文件进行备份。
单击“分析”页签,选择[健康分析>终端分析>行为审计>外设审计>光驱刻录]菜单项,进入光盘刻录页面,如图2-120所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-121所示,可定制显示光驱刻录审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-122所示,可支持按照资产信息、用户信息、地址和刻录时间快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的光驱刻录审计详细信息,如图2-123所示。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 刻录时间:记录刻录时间,使用服务器时间。格式:yyyy-MM-dd HH:mm:ss。
· 刻录驱动器名称:进行光驱刻录驱动器的名称。
· 刻录文件大小(MB):刻录的文件总大小,单位为MB。
· 刻录盘名称:用户刻录机上自定义填入的光盘名称。
当存储设备限制策略中开启“识别USB设备类型”时,系统可以对终端用户的USB设备操作进行详细的记录。
单击“分析”页签,选择[健康分析>终端分析>行为审计>外设审计>USB设备使用]菜单项,进入USB设备使用页面,如图2-124所示。
图2-124 USB设备使用
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-125所示,可定制显示USB设备使用审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-126所示,可支持按照资产信息、用户信息、地址、设备拔插时间和拔插事件类型快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的光USB设备使用审计详细信息,如图2-127所示。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 设备拔插时间:USB设备进行拔插操作时的时间,使用服务器时间。格式:yyyy-MM-dd HH:mm:ss。
· 设备描述信息:USB设备的详细信息,例如:hp v220w USB Device。
· 设备类型:蓝牙设备的具体类型,设备类型包括U盘、移动磁盘、USB刻录机、鼠标、键盘、手机、摄像头、打印机、扫描仪、网卡设备、USB-CDROM、音频设备、蓝牙适配器、蓝牙LE枚举器,超出此范围的设备则识别为“其他”。
· 插拔事件类型:分为插入、拔出、未知三种类型。
当存储设备限制策略中开启“蓝牙设备监控”时,系统可以对终端上蓝牙设备添加、删除的操作进行详细的记录。
单击“分析”页签,选择[健康分析>终端分析>行为审计>外设审计>蓝牙配对]菜单项,进入蓝牙配对页面,如图2-128所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-129所示,可定制显示蓝牙配对审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-130所示,可支持按照资产信息、用户信息、地址、变更时间和变更类型快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的蓝牙配对审计详细信息,如图2-131所示。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 变更时间:蓝牙设备添加或删除时的时间。使用服务器时间,格式:yyyy-MM-dd HH:mm:ss。
· 设备地址:蓝牙MAC地址,用来识别唯一的蓝牙设备。
· 蓝牙名称:蓝牙设备插入终端后的显示名称。
· 设备类型:蓝牙设备的具体类型。
· 变更类型:分为添加和删除。
当存储设备限制策略中开启“蓝牙设备监控”时,系统可以对终端上蓝牙进行文件传输的记录。
单击“分析”页签,选择[健康分析>终端分析>行为审计>外设审计>蓝牙传输文件]菜单项,进入蓝牙传输文件页面,如图2-132所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-133所示,可定制显示蓝牙传输文件审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-134所示,可支持按照资产信息、用户信息、地址、操作时间和文件名快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的蓝牙传输文件审计详细信息,如图2-135所示。
(11) 单击操作列的<查看文件备份记录>按钮,可查看该列记录的蓝牙传输文件备份记录。
(12) 单击操作列的<下载文件>按钮,可下载该文件。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 操作类型:分为发送文件、接收文件。
· 文件名:发送或接受文件的名称。
· 操作时间:进行发送或接收文件的时间,使用客户端时间。格式:yyyy-MM-dd HH:mm。
· 文件大小(KB):表示发送或接收文件大小,单位为KB。
· 文件路径:发送或接收文件在终端上的存放路径。
当打印限制策略中开启“打印审计”时,系统可以对由iNode上报上来的终端打印操作进行记录,包括终端的资产信息、账号信息、打印的时间、内容、打印机名称等。
单击“分析”页签,选择[健康分析>终端分析>行为审计>外设审计>打印操作]菜单项,进入打印操作页面,如图2-136所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-137所示,可定制显示打印操作审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-138所示,可支持按照资产信息、用户信息、地址、打印时间和文件名称快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的打印操作记录审计详细信息,如图2-139所示。
(11) 单击操作列的<查看文件备份记录>按钮,可查看该列记录的打印操作文件备份记录。
(12) 单击操作列的<下载文件>按钮,可下载该文件。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 打印时间:记录打印操作时间。格式:yyyy-MM-dd HH:mm:ss。
· 文件大小(KB):打印文件的大小,单位为KB。
· 文件名称:打印文件的文件名及后缀。例如:设计文档.docx。
· 打印总页数:此次文件打印操作总共打印的页数。
· 打印份数:此次文件打印操作总共打印的份数。
· 打印机名称:执行此次文件打印操作的外设打印机名称。
提供打印水印中的点阵水印追溯参照。点阵对照版中每一个图案代表一位十六进制数,九位十六进制数以3x3的形式排列成一个点阵水印ID,在水印生效的时候,这些水印ID会铺满整个打印区域,在追溯的时候,只需要对照实际水印中的一个点阵ID(即上述图案3x3排列的区域),从左往右,从上往下的顺序与对照版中的图案对比出其代表的十六进制数,在水印资产查询区域的“点阵水印ID(十六进制)”后面的输入框中输入十六进制数,单击<搜索>按钮可以查询水印对应的资产。
单击“分析”页签,选择[健康分析>终端分析>行为审计>外设审计>打印点阵水印追溯]菜单项,进入打印点阵水印追溯页面,如图2-140所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-141所示,可定制显示打印点阵水印审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击右上角下拉箭头,如图2-142所示,可支持按照点阵水印ID和资产编号快速查询相关的审计记录。
参数说明:
· 点阵水印ID(十六进制):可通过此ID结合点阵水印对照版来比对正在生效的点阵水印。
· 资产编号:终端资产注册时分配的资产编号。
· 资产状态:当前资产是否在线。
· 资产分组:当前资产的所属分组。
· 使用人账号:当前资产的使用人账号。
当存储设备限制策略中开启“MTP设备监控”时,系统可以对终端上手机MTP模式连接终端后,从终端拷贝文件到手机的操作进行记录。
单击“分析”页签,选择[健康分析>终端分析>行为审计>外设审计>MTP外发]菜单项,进入MTP外发页面,如图2-143所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-144所示,可定制显示MTP外发审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-145所示,可支持按照资产信息、用户信息、地址、操作时间、文件原路径和目标路径快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的MTP外发审计详细信息,如图2-146所示。
(11) 单击操作列的<下载文件>按钮,可下载该文件。
参数说明:
· 账号名:终端接入账号。如果终端没有进行接入认证,显示为资产编号。
· 资产编号:终端资产注册时分配的资产编号。
· 资产名称:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· MAC地址:桌面资产管理中的终端MAC地址。
· 终端IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· 文件大小:外发文件的大小。
· 文件原路径:外发文件在终端上的存储路径。
· 目标路径:外发文件拷贝到手机上的存储路径。
· 本地备份路径:外发文件在终端上的iNode的备份路径。
当软件运行监控策略中开启“启用启停监控”时,系统可以对终端上软件启停的操作进行记录。
单击“分析”页签,选择[健康分析>终端分析>行为审计>软件审计>软件运行]菜单项,进入软件运行页面,如图2-147所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-148所示,可定制显示软件运行审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-149所示,可支持按照资产信息、用户信息、地址、记录时间和日志类型快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的软件运行审计详细信息,如图2-150所示。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 日志类型:软件程序进行的操作,分为“程序窗口切换”、“程序开启”、“程序关闭”。
· 描述:针对软件应用程序的详细描述。
· 记录时间:日志记录的时间,使用服务器时间,格式:yyyy-MM-dd HH:mm:ss。
· 进程名:在终端PC上对应到任务管理器中的显示的进程名称,并非软件名称,例如:notepad.exe。
当软件运行监控策略中开启“有效使用时长监控”时,系统可以对终端上进程有效使用时长进行记录。
单击“分析”页签,选择[健康分析>终端分析>行为审计>软件审计>软件有效使用时长]菜单项,进入软件有效使用时长页面,如图2-151所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-152所示,可定制显示软件有效使用时长审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-153所示,可支持按照资产信息、用户信息、地址、程序活动开始时刻和进程名称快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的软件有效使用审计详细信息,如图2-154所示。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 进程名:在终端PC上对应到任务管理器中的显示的进程名称,并非软件名称,例如:notepad.exe。
· 应用程序路径:软件对应的应用程序在终端PC上的安装路径。
· 窗口标题:打开应用软件窗口的时候,窗口上显示的标题名称。
· 程序活动开始时刻:单次应用程序有效使用的开始时间,格式:yyyy-MM-dd HH:mm:ss。
· 程序活动结束时刻:单次应用程序有效使用的结束时间,格式:yyyy-MM-dd HH:mm:ss。
· 运行时长(秒):单次应用程序有效使用的时长,是活动结束时刻与开始时刻的差值。
· 产品名称:程序产品名称。
· 产品版本:程序产品版本信息。
· 描述:针对软件应用程序的详细描述。
· 厂商名称:软件应用程序的厂商名称。
· 版权信息:软件应用程序的版权信息。
· 内部名称:厂家内部名称。
· 原始名称:应用程序执行文件的原始名称。
当网络访问策略中开启“网页浏览监控”时,系统可以对终端上进行的网站浏览进行记录,包含网页浏览时间、网页浏览URL、网站名称等信息。
单击“分析”页签,选择[健康分析>终端分析>行为审计>网络行为审计>网页浏览]菜单项,进入网页浏览页面,如图2-155所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-156所示,可定制显示网页浏览审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-157所示,可支持按照资产信息、用户信息、地址、浏览时间、网页标题、网站名称和进程名称快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的网页浏览审计详细信息,如图2-158所示。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 浏览时间:浏览网页的时间。格式:yyyy-MM-dd HH:mm:ss。
· 浏览的URL:用户打开的网页的网址全路径。
· 网站名称:搜索引擎网站的名称。
· 网页标题:用户使用浏览器打开网站的时候,浏览器上显示的标题。
· 进程名称:浏览网页时浏览器的进程名称。
当网络访问策略中开启“网页浏览监控”时,系统可以对终端浏览器上的网页搜索行为进行记录。目前支持百度搜索,360搜索,搜狗搜索,必应搜索,中国搜索。
单击“分析”页签,选择[健康分析>终端分析>行为审计>网络行为审计>网页搜索]菜单项,进入网页搜索页面,如图2-159所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-160所示,可定制显示网页搜索审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-161所示,可支持按照资产信息、用户信息、地址、浏览时间、网页标题、网站名称和搜索内容快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的网页搜索审计详细信息,如图2-162所示。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· 搜索内容:用户在搜索引擎中输入的内容。
· 浏览时间:浏览网页的时间。格式:yyyy-MM-dd HH:mm:ss。
· 网站名称:搜索引擎网站的名称。
· 网页标题:用户使用浏览器打开网站的时候,浏览器上显示的标题。
· 浏览URL:用户打开的网页的网址全路径。
当网络访问策略中开启“论坛发帖监控”时,系统可以对终端上论坛发帖进行记录。包括发帖时间、帖子URL、帖子标题、作者等信息。
单击“分析”页签,选择[健康分析>终端分析>行为审计>网络行为审计>论坛发帖]菜单项,进入论坛发帖页面,如图2-163所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-164所示,可定制显示论坛发帖审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-165所示,可支持按照资产信息、用户信息、地址、发帖时间和作者快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的论坛发帖审计详细信息,如图2-166所示。
(11) 单击操作列的<查看文件备份记录>按钮,可查看该列记录的打印操作文件备份记录。
(12) 单击操作列的<下载文件>按钮,可下载该文件。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 发帖时间:发布帖子时的时间,使用服务器时间。格式:yyyy-MM-dd HH:mm:ss。
· 帖子的URL:用户发帖的网页的网址全路径。
当网络访问策略中开启“网页粘贴内容监控”时,系统可以对终端上网页粘贴行为进行记录。
单击“分析”页签,选择[健康分析>终端分析>行为审计>网络行为审计>网页粘贴]菜单项,进入网页粘贴页面,如图2-167所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-168所示,可定制显示网页粘贴审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-169所示,可支持按照资产信息、用户信息、地址、粘贴时间、浏览器类型和粘贴内容快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的网页粘贴审计详细信息,如图2-170所示。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 粘贴时间:发生粘贴行为的时间,使用服务器时间。格式:yyyy-MM-dd HH:mm:ss。
· 浏览器类型:发生粘贴行为的浏览器。目前支持360极速浏览器、搜狗浏览器、谷歌浏览器、火狐浏览器、QQ浏览器、360浏览器、IE浏览器、2345Explorer浏览器。
· 粘贴内容:粘贴的内容。
当网络访问策略中开启“网页上传文件监控”时,系统可以对终端上网页上传行为进行记录。
单击“分析”页签,选择[健康分析>终端分析>行为审计>网络行为审计>网页上传]菜单项,进入网页上传页面,如图2-171所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-172所示,可定制显示网页上传审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-173所示,可支持按照资产信息、用户信息、地址、上传时间、浏览器标题、浏览器类型和文件名称快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的网页上传审计详细信息,如图2-174所示。
(11) 单击操作列的<查看文件备份记录>按钮,可查看该列记录的网页上传文件备份记录。
(12) 单击操作列的<下载文件>按钮,可下载该文件。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 上传时间:进行上传行为的时间,使用服务器时间。格式:yyyy-MM-dd HH:mm:ss。
· 浏览器标题 :浏览器的标题。
· 浏览器类型:发生上传行为的浏览器。目前支持360极速浏览器、搜狗浏览器、谷歌浏览器、火狐浏览器、QQ浏览器、360浏览器、IE浏览器、2345EXPLORER浏览器、Edge浏览器。
· 文件路径:网页上传文件在终端上的源文件路径。
· 文件大小(KB):上传文件的文件名。
· 文件名称:上传文件的文件名。
· 本地备份路径:若上传文件为图片或文件,显示该图片或文件在终端上的本地备份路径。
当网络访问策略中开启“网页邮件监控”时,系统可以记录邮件接收/发送时间、邮件标题、邮件发送者、邮件接受者等信息。
单击“分析”页签,选择[健康分析>终端分析>行为审计>网络行为审计>邮件收发]菜单项,进入邮件收发页面,如图2-175所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-176所示,可定制显示邮件收发审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-177所示,可支持按照资产信息、用户信息、地址、操作时间、邮件备份文件名称和收发标志快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的邮件收发审计详细信息,如图2-178所示。
(11) 单击操作列的<查看文件备份记录>按钮,可查看该列记录的打印操作文件备份记录。
(12) 单击操作列的<下载文件>按钮,可下载该文件。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 操作时间:邮件接收或发送时间。格式:yyyy-MM-dd HH:mm:ss。
· 收发标志:分为POP发送、POP接收、IMAP发送、IMAP接收、Web发送、Web接收、Exchange发送、Exchange接收八个标识。
· 邮件标题:邮件的标题
· 发件人:邮件发送方。
· 收件人:邮件接收方。
· 是否有附件:邮件内是否包含附件。
· 邮件大小(KB):邮件的大小。
· 邮件备份文件名称:邮件在服务端备份时的文件名称。
· 进程名称:邮件收发时的进程名称。
当网络访问策略中开启“FTP操作监控”时,系统可以对用户使用FTP协议上传或下载文件的操作进行记录,记录内容包括用户帐号信息、资产信息、操作时间、操作类型、FTP服务器信息、文件路径信息等。
单击“分析”页签,选择[健康分析>终端分析>行为审计>网络行为审计>FTP操作]菜单项,进入FTP操作页面,如图2-179所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-180所示,可定制显示FTP操作审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-181所示,可支持按照资产信息、用户信息、地址、操作时间、本地文件名称和操作类型快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的FTP操作审计详细信息,如图2-182所示。
(11) 单击操作列的<查看文件备份记录>按钮,可查看该列记录的文件备份记录。
(12) 单击操作列的<下载文件>按钮,可下载备份的文件。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 操作时间:用户开始进行FTP操作的时间,格式:yyyy-MM-dd HH:mm:ss。
· 操作类型:包括上传、下载两种类型。
· FTP服务器地址:FTP上传操作的目标服务器地址或者FTP下载操作的源文件所在服务器地址。
· 本地文件名称:上传时待上传文件名称,或者下载后保存在本地的文件名称。
· 服务器文件存储路径:上传时待上传文件名称,或者下载后保存在本地的路径。
· 操作文件路径:进行FTP上传或下载操作的本地文件路径。
· 监控进程名:进行FTP上传或下载操作的进程名称。
· 文件大小:上传或下载的文件大小。
当网络访问策略中开启“网盘操作监控”时,系统可以对用户使用网盘上传和下载文件的行为进行记录,记录内容包括用户帐号信息、资产信息、操作时间、操作类型、操作类型、网盘应用程序信息以及操作的文件信息等。
单击“分析”页签,选择[健康分析>终端分析>行为审计>网络行为审计>网盘操作]菜单项,进入网盘操作页面,如图2-183所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-184所示,可定制显示网盘操作审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-185所示,可支持按照资产信息、用户信息、地址、操作时间、操作标记、网盘类型和文件名快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的网盘操作审计详细信息,如图2-186所示。
(11) 单击操作列的<查看文件备份记录>按钮,可查看该列记录的文件备份记录。
(12) 单击操作列的<下载文件>按钮,可下载备份的文件。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 操作时间:用户每次使用网盘进行上传下载操作的时间,格式:yyyy-MM-dd HH:mm:ss。
· 操作标记:上传文件或下载文件。
· 网盘类型:网盘应用程序名称,目前支持百度网盘。
· 文件名:上传或者下载的资源文件名称。
· 文件大小(KB):上传或者下载的资源文件的大小,单位是KB。
· 文件路径:上传或者下载的资源文件在网盘上的保存路径。
· 客户端本地文件路径:上传时待上传文件在本地的路径,或者下载后保存在本地的路径。
当网络访问策略中开启“Telnet操作监控”时,系统可以对用户使用Telnet协议进行远程操作的行为进行记录,只能监控到Telnet到Windows系统的记录。记录内容包括用户帐号信息、资产信息、操作时间、操作类型、目标地址、命令行。
单击“分析”页签,选择[健康分析>终端分析>行为审计>网络行为审计>Telnet操作]菜单项,进入Telnet操作页面,如图2-187所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-188所示,可定制显示Telnet操作审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-189所示,可支持按照资产信息、用户信息、地址、操作时间、目标地址和命令行内容快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的Telnet操作审计详细信息。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 操作时间:用户每次进行Telnet操作的时间,格式:yyyy-MM-dd HH:mm:ss。
· 目标地址:Telnet远程操作的目标设备IP地址。
· 命令行:用户在Telnet操作时输入的命令。
当即时通讯管控策略中内容勾选“监控”复选框之后,系统可以对即时通讯软件的内容进行记录,包括聊天记录类型、发送者信息、聊天工具类型、消息内容等信息。
单击“分析”页签,选择[健康分析>终端分析>行为审计>网络行为审计>聊天内容]菜单项,进入聊天内容页面,如图2-190所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-191所示,可定制显示聊天内容审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-192所示,可支持按照资产信息、用户信息、地址、聊天工具、消息类型、消息时间和消息内容快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的聊天内容审计详细信息,如图2-193所示。
(11) 单击操作列的<查看文件备份记录>按钮,可查看该列记录的文件备份记录。
(12) 单击操作列的<下载文件>按钮,可下载备份的文件。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 聊天工具:包括QQ、旺旺、飞秋、微信、钉钉、企业微信六种聊天工具。
· 消息类型:分为文字记录、图片记录、文件记录三种类型。
· 发送者账户:此条消息发送者的账户。
· 发送者昵称:此条消息的发送者在聊天工具上注册的昵称。例如:张三。
· 会话窗口账户:此条消息的本地登录账户在聊天工具上打开会话窗口进行会话的对方账户。
· 会话窗口名称:此条消息的本地登录账户在聊天工具上打开会话窗口进行对话的昵称。例如:李四(125545678)。
· 本地登录账户:策略所监控的终端上登录聊天工具所用账户。
· 本地登录账户昵称:策略所监控的终端上登录聊天工具所用账户昵称。
· 消息时间:聊天记录消息发送的时间,使用服务器时间。格式:yyyy-MM-dd HH:mm。
· 消息内容:当聊天类型为文字时,显示为该条消息的文字记录;当聊天类型为图片或文件时,显示为图片名或文件名。
· 文件大小(KB):若消息类型为图片或文件,显示该图片或文件在服务器上备份的文件大小,单位为KB。
· 本地备份路径:若消息类型为图片或文件,显示该图片或文件在终端上的本地备份路径。
当即时通讯管控策略中登录勾选“监控”复选框之后,系统可以对终端上用户使用即时通讯软件的操作进行记录。
单击“分析”页签,选择[健康分析>终端分析>行为审计>网络行为审计>聊天工具使用]菜单项,进入聊天工具使用页面,如图2-194所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-195所示,可定制显示聊天工具使用审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-196所示,可支持按照资产信息、用户信息、地址、操作时间和聊天工具快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的聊天工具使用审计详细信息,如图2-197所示。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 聊天工具:包括QQ、旺旺、飞秋、微信、钉钉、企业微信六种聊天工具。
· 登录类型:目前仅支持记录聊天工具的登录操作。
· 操作时间:聊天工具进行对应操作的时间,使用服务器时间。格式:yyyy-MM-dd HH:mm。
· 通讯工具登录账户信息:在终端上登录通讯软件的账户名及帐号。例如:李四(123456789)。
当设置屏幕监控策略时,系统可以对终端进行屏幕录制的结果进行记录,包括录制的时间、录像文件名称等。
单击“分析”页签,选择[健康分析>终端分析>行为审计>屏幕审计>屏幕录像]菜单项,进入屏幕录像页面,如图2-198所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-199所示,可定制显示屏幕录像审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-200所示,可支持按照资产信息、用户信息、地址、录像时间和录像文件名快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的屏幕录像详细信息,如图2-201所示。
(11) 单击操作列的<播放录屏>按钮,可在线播放该列记录对应的录像视频。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 录像文件名:保存在客户端本地的录像文件的名称。
· 索引文件本地备份路径:屏幕录制成功后,所生成的一个.nindex的数据文件保存在本地的绝对路径。
· 数据文件本地备份路径:屏幕录制成功后,所生成的一个.ndata的数据文件保存在本地的绝对路径。
· 录制时间:开始录像的时间。格式:yyyy-MM-dd HH:mm:ss。
当屏幕监控策略开启“桌面应用程序监控”开关时,系统可以对终端进行桌面应用程序监控的结果进行记录,包括记录发生时间、敏感文件路径、打开文件的进程等。
单击“分析”页签,选择[健康分析>终端分析>行为审计>屏幕审计>桌面应用程序监控]菜单项,进入桌面应用程序监控页面,如图2-202所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-203所示,可定制显示桌面应用程序监控审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-204所示,可支持按照资产信息、用户信息、地址、发生时间、进程名和监控方式快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的桌面应用程序监控审计详细信息,如图2-205所示。
(11) 若监控方式为录屏,单击操作列的<播放录屏>按钮,可在线播放该列记录对应的录像视频。
(12) 若监控方式为截屏,单击操作列的<下载截屏文件>按钮,可下载备份的截屏文件。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 发生时间:访问文件并产生了录屏监控的记录时间,格式:yyyy-MM-dd HH:mm:ss。
· 触发操作类型:触发何种操作后iNode开始进行录屏,包括读取敏感内容事件和进程启动事件。
· 进程名:实际操作文件的进程,后台进程不包含在内。
· 触发事件文件路径:当触发操作类型为读取敏感内容事件时,代表敏感文件路径;当触发操作类型为进程启动事件时,代表进程路径。
· 监控方式:录屏或截屏。
· 事件GUID:事件的唯一标识。
提供屏幕水印中的点阵水印追溯参照。点阵对照版中每一个图案代表一位十六进制数,九位十六进制数以3x3的形式排列成一个点阵水印ID,在水印生效的时候,这些水印ID会铺满整个打印区域,在追溯的时候,只需要对照实际水印中的一个点阵ID(即上述图案3x3排列的区域),从左往右,从上往下的顺序与对照版中的图案对比出其代表的十六进制数,在水印资产查询区域的“点阵水印ID(十六进制)”后面的输入框中输入十六进制数,单击<搜索>按钮可以查询水印对应的资产。
单击“分析”页签,选择[健康分析>终端分析>行为审计>屏幕审计>屏幕点阵水印追溯]菜单项,进入屏幕点阵水印追溯页面,如图2-206所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-207所示,可定制显示屏幕点阵水印审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击右上角下拉箭头,如图2-208所示,可支持按照点阵水印ID和资产编号快速查询相关的审计记录。
参数说明:
· 点阵水印ID(十六进制):可通过此ID结合点阵水印对照版来比对正在生效的点阵水印。
· 资产编号:终端资产注册时分配的资产编号。
· 资产状态:当前资产是否在线。
· 资产分组:当前资产的所属分组。
· 使用人账号:当前资产的使用人账号。
当终端行为策略配置盲水印策略后,会监控终端的截图动作,对截图后的图片增加盲水印;生成盲水印后会同步上报一条盲水印记录。
单击“分析”页签,选择[健康分析>终端分析>行为审计>屏幕审计>盲水印记录]菜单项,进入盲水印记录页面,如图2-209所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-210所示,可定制显示桌面应用程序监控审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击<解析盲水印图片>按钮,进入解析盲水印图片页面,如图2-211所示。
(10) 在解析盲水印图片页面单击<上传文件>按钮可选择一张带有盲水印的泄密图片。
(11) 单击<下载解析文件>按钮,服务端会解析盲水印图片并生成图片中包含的终端的水印信息。
(12) 返回盲水印记录页面,通过水印信息可以追溯泄密终端。
(13) 单击右上角下拉箭头,如图2-212所示,可支持按照资产信息、用户信息、地址、上传时间、进程名称、水印信息和数据来源快速查询相关的审计记录。
(14) 单击操作列的<查看详情>按钮,可查看该列记录的盲水印记录详细信息,如图2-213所示。
参数说明:
· 账号名:终端接入账号。如果终端没有进行接入认证,显示为资产编号。
· 资产编号:终端资产注册时分配的资产编号。
· 资产名称:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· MAC地址:桌面资产管理中的终端MAC地址。
· 终端IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· 操作时间:生成盲水印的时间。格式:yyyy-MM-dd HH:mm:ss。
· 数据来源:盲水印生成的来源,目前仅支持截图,审计日志中该参数包含未知和截图。
· 进程名称:生成盲水印的活动进程。
· 本地备份路径:盲水印图片在终端上的本地备份路径。
· 水印信息:通过终端信息生成的水印码,可通过水印信息回溯生成盲水印的终端。
当配置了文件操作监控策略时,系统可以对终端上文件的操作进行记录。包括对文件的创建、重命名、删除、拷贝、读取、修改。
单击“分析”页签,选择[健康分析>终端分析>行为审计>文件审计>文件操作记录]菜单项,进入文件操作记录页面,如图2-214所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-215所示,可定制显示文件操作记录审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-216所示,可支持按照资产信息、用户信息、地址、文件操作时间、文件创建时间、文件修改时间、文件名、文件进程名称和文件操作类型快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的文件操作记录审计详细信息,如图2-217所示。
(11) 单击操作列的<查看文件备份记录>按钮,可查看该列记录的打印操作文件备份记录。
(12) 单击操作列的<下载文件>按钮,可下载该文件。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 操作时间:进程对文件进行相应操作的时间,使用服务器时间。格式:yyyy-MM-dd HH:mm。
· 文件进程名称:对文件进行相应操作的进程名称。例如:notepad.exe
· 文件名:被操作的文件的名称。
· 源文件所在磁盘类型:包括固定磁盘、没有根目录的驱动器、可移动磁盘、网络盘、光驱、内存虚拟盘、未知驱动器。比如对于复制操作,就存在源文件和目标文件两个概念。
· 源文件绝对路径:被操作的源文件存储路径。比如对于复制操作,就存在源文件和目标文件两个概念。
· 目标文件所在磁盘类型:包括固定磁盘、没有根目录的驱动器、可移动磁盘、网络盘、光驱、内存虚拟盘、未知驱动器。
· 目标文件绝对路径:相应操作产生的目标文件的存储路径。比如对于复制操作,就存在源文件和目标文件两个概念。
· 源文件MD5:根据源文件属性产生的MD5值。
· 注册U盘名:监控可移动磁盘中文件操作时,可移动磁盘在PC上显示的名称。
· 文件大小(KB):被操作的文件的大小,单位为KB。
· 文件创建时间:创建文件时的时间,使用客户端时间。格式:yyyy-MM-dd HH:mm。
· 文件修改时间:文件最后一次修改时间,使用客户端时间。格式:yyyy-MM-dd HH:mm:ss。
当系统事件监控策略开启“监控系统状态”时,可以记录系统开机、关机、意外关闭、睡眠、睡眠唤醒等事件信息。
单击“分析”页签,选择[健康分析>终端分析>行为审计>终端系统审计>系统状态变更记录]菜单项,进入系统状态变更记录页面,如图2-218所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-219所示,可定制显示系统状态变更记录审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-220所示,可支持按照资产信息、用户信息、地址、记录时间和操作事件快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的系统状态变更记录审计详细信息。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 记录时间:系统状态发生变更的时间,使用服务器时间。格式:yyyy-MM-dd HH:mm:ss。
· 事件ID:事件ID。
· 操作事件:系统状态变更时的操作时间,包括其他、开机、关机、意外关闭、睡眠和睡眠启动。
· 日志类型:目前只有系统操作日志一类。
· 记录编号:日志记录编号。
· 日志等级:分为错误、警告、信息、审核成功、审核失败五个等级。
· 来源:日志来源。
· 描述:对该条记录的描述。
当系统事件监控策略开启“监控用户(组)变化”时,可以记录系统组分组名称、变更类等变更信息。
单击“分析”页签,选择[健康分析>终端分析>行为审计>终端系统审计>系统组变更记录]菜单项,进入系统组变更记录页面,如图2-221所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-222所示,可定制显示系统组变更记录审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-223所示,可支持按照资产信息、用户信息、地址、变更时间和变更类型快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的系统组变更记录审计详细信息,如图2-224所示。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 变更类型:分为“增加”、“删除”两种类型。
· 变更时间:使用服务器时间。格式:yyyy-MM-dd HH:mm:ss。
· 分组名:系统组变更后的所在分组名称。
当系统事件监控策略开启“监控用户(组)变化”时,可以记录系统用户名称、原用户名称等变更信息。
单击“分析”页签,选择[健康分析>终端分析>行为审计>终端系统审计>系统用户变更记录]菜单项,进入系统用户变更记录页面,如图2-225所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-226所示,可定制显示系统用户变更记录审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-227所示,可支持按照资产信息、用户信息、地址、变更时间、用户名称、原用户名称和变更类型快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的系统用户变更记录审计详细信息,如图2-228所示。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 变更时间:系统用户发生变更的时间,使用服务器时间。格式:yyyy-MM-dd HH:mm:ss。
· 变更类型:分为“增加”、“删除”和“名称或全称修改”三种类型。
· 原全名:变更之前的用户全名。
· 全名:变更之后的用户全名。
· 原用户名称:变更之前的用户姓名。
· 用户名称:变更之后的用户姓名,当前用户使用姓名。
当系统事件监控策略开启“监控用户登录”时,可以记录登录/注销用户名、登录/注销域名、登录类型、事件类型等信息。
单击“分析”页签,选择[健康分析>终端分析>行为审计>终端系统审计>系统登录记录]菜单项,进入系统登录记录页面,如图2-229所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-230所示,可定制显示系统登录记录审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-231所示,可支持按照资产信息、用户信息、地址、记录时间、登录类型、登录/注册用户名和事件类型快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的系统登录记录审计详细信息,如图2-232所示。
参数说明:
· 资产编号:终端资产注册时分配的资产编号。
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 登录域:进行登录或注销操作的终端域名。
· 事件类型:分为登录成功、登录失败、注销三种类型。
· 登录类型:包括交互式登录、网络、批处理、服务、解锁、网络明文、新凭证、远程交互、缓存交互。
· 记录时间:使用服务器时间。格式:yyyy-MM-dd HH:mm:ss。
· 来源:日志来源。
· 描述:对该条记录的描述。
当系统事件监控策略记录的系统日志名称、日志来源、日志等级等信息。
单击“分析”页签,选择[健康分析>终端分析>行为审计>终端系统审计>系统事件]菜单项,进入系统事件页面,如图2-233所示。
(1) 单击<定制显示列>按钮,进入定制显示列页面,如图2-234所示,可定制显示系统事件审计列表里列的个数、名称、顺序。
(2) 在定制显示列页面的源列表中选择需要在列表中展示的字段后单击“>”按钮将字段转移到目的列表。
(3) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(4) 单击<确定>按钮后完成对列表页面的定制显示。
(5) 单击<导出>按钮下拉框,可按查询条件导出或按选择导出。
(6) 在导出页面的源列表中选择需要导出的字段后单击“>”按钮将字段转移到目的列表。
(7) 目的列表中选择字段后单击下方的按钮可将字段置顶、上移、下移或置底。
(8) 单击<确定>按钮等待文件导出。
(9) 单击右上角下拉箭头,如图2-235所示,可支持按照资产信息、用户信息、地址、记录时间和日志等级快速查询相关的审计记录。
(10) 单击操作列的<查看详情>按钮,可查看该列记录的系统事件审计详细信息,如图2-236所示。
参数说明:
· 资产名:终端资产注册后上报的资产名称,对于PC端来说就是PC名称。
· 帐号名:终端接入帐号。
· 系统登录名:终端操作系统登录帐号名。
· IP地址:桌面资产管理中的终端IPv4地址。
· IPv6地址:桌面资产管理中的终端IPv6地址。
· MAC地址:桌面资产管理中的终端MAC地址。
· 记录时间:系统状态发生变更的时间,使用服务器时间。格式:yyyy-MM-dd HH:mm:ss。
· 事件ID:事件ID。
· 记录编号:日志记录编号。
· 日志等级:分为错误、警告、信息、审核成功、审核失败五个等级。
· 来源:日志来源。
· 描述:对该条记录的描述。
单击“首页”页签,单击左上角的
按钮,进入所有菜单页面,如图2-237所示。选择可视化大屏选项,进入可视化大屏页面,如图2-238所示。
· 系统内预置三种大屏视图:终端综合监控平台、终端行为监控平台、终端数据监控平台。
¡ 终端综合监控平台:展示违规事件敏感等级、违规资产Top 5、泄露方式Top 5、论坛发帖Top 5、数据泄漏事件、数据泄露操作告警、网页浏览Top 5、邮件收发数量、程序使用Top 5、光驱刻录文件、文件打印页数和USB设备插拔,如图2-239所示。
¡ 终端行为监控平台:展示聊天记录、邮件收发趋势、网页浏览记录、USB设备插拔、光驱刻录文件、文件打印页数、蓝牙传输文件、网页浏览Top 5、论坛发帖Top 5和程序使用Top 5,如图2-240所示。
· 大屏定制功能涉及的操作如下:
¡ 新建视图:创建一个新的大屏监控视图,新建的大屏监控包括预览、编辑、复制、默认和删除功能。
¡ 预览:跳转到大屏监控页面供用户查看当前大屏监控视图中的数据。
¡ 编辑:跳转到大屏监控编辑页面,此页面可以定制大屏监控的参数与大屏监控元素。预置大屏监控视图无编辑功能。
¡ 复制:从预置的大屏监控模板中或者从操作员已经创建的大屏监控视图进行复制,创建新的大屏监控视图。
¡ 默认:指定当前大屏监控视图为默认的大屏监控视图。一个操作员有且只有一个默认的大屏监控视图,预置视图无法指定为默认大屏监控视图。如果当前大屏监控已经为默认大屏监控视图,则不能再指定其为默认或者删除该大屏监控视图,指定其它大屏监控视图为默认视图后,才可删除该视图。单击“大屏监控”菜单显示当前默认的大屏监控视图,如果当前没有指定默认大屏监控视图,则需要从预置大屏监控视图中选一个视图复制为默认大屏监控视图,建议使用操作员登录名作为视图名称。
- 如果系统同时部署EBM和EDM组件,新建视图时默认视图标题为“终端综合监控平台”。
- 如果系统仅部署EBM组件,新建视图时默认视图标题为“终端行为监控平台”。
¡ 删除:删除当前大屏监控视图,预置大屏监控视图与默认大屏监控视图不支持删除。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
