什么是 Netskope 事件?
Summary: 可以按照以下说明查看 Netskope 事件。
Symptoms
Netskope 事件是由 Netskope 管理员通过自定义或预构建的配置文件列出的正常操作以外的任何操作。Netskope 将这些事件划分为数据丢失预防 (DLP) 事件、异常、泄露的凭据或已隔离或处于依法保留状态的文件。
受影响的产品:
Netskope
Cause
不适用。
Resolution
要访问“Incidents”页面:
- 在网页浏览器中,导航到 Netskope Web 控制台:
- 美国数据中心:https://[TENANT].goskope.com/
- 欧盟数据中心:https://[TENANT].eu.goskope.com/
- 法兰克福数据中心:https://[TENANT].de.goskope.com/
- 登录到 Netskope Web 控制台。
- 单击 Incidents。
- 单击相应的“Incidents”页面。
有关事件的更多信息,请单击相应的选项。
DLP 页面包含有关您环境中的 DLP 事件的信息。
DLP 页面提供了有关每个 DLP 事件的以下信息:
- 对象:显示触发违规的文件或对象。单击对象将打开一个页面,其中包含更多详细信息,您可以在其中更改状态、分配事件、更改严重性并采取行动。
- Application:显示触发违规的应用程序。
- Exposure:显示按曝光分类的文件,例如 Public - Indexed、Public - Unlisted、Public, Private、Externally Shared、Internally Shared 和 Enterprise Shared。
- Violation:显示文件中违规的数量。
- Last Action:显示最近采取的操作。
- Status: 显示事件的状态。有三种状态类别:“New”、“In Progress”和“Resolved”。
- Assignee:显示负责监视事件的人员。
- 严重性:显示严重性级别。有四个级别:Low、Medium、High 和 Critical。
- Timestamp:显示违规的日期和时间。
“Anomalies”页面提供了有关检测到的各种类型的异常的信息。
有三个异常页面类别。要了解更多信息,请单击相应的类别。
“Summary”页面显示总体异常、风险级别异常和异常维度(每个类别的百分比)。还有一些表显示每个配置文件和用户的异常情况。查询字段可用于搜索特定异常。“Summary”页面还包含按风险级别、全部或新的或基于特定配置文件的异常筛选器。
单击 By Profile,以查看为每种类型检测到的异常数,以及最新的时间戳。仅显示检测到的异常的配置文件。
单击 By User 以查看每个用户有多少异常以及风险级别分布。单击一个项目以打开详细信息页面,了解有关配置文件或用户的特定信息。
Details 页面显示有关异常的更多细节。可以从此页面确认所有或特定的异常情况。查询字段可用于搜索特定异常。Details 页面还包含根据风险级别的异常、所有或新的异常或基于特定配置文件的异常情况的筛选器。
在 Details 页面上找到的信息包括:
- 风险级别
- 用户电子邮件地址
- 配置文件类型
- 描述
- 尺寸
- 时间戳
单击项目可查看详细的风险、应用程序和用户信息。要删除一个或多个异常,启用项目旁边的复选框,然后单击 Acknowledge,或单击 Acknowledge All。
Configure 页面允许您启用或禁用异常配置文件的跟踪,并配置如何监控异常。
要配置配置文件,请单击 Configuration 列中的铅笔图标。要配置应用程序,请单击 Select Applications。单击 Apply Changes 以保存您的配置。
可用配置文件:
| 配置文件 | 用途 |
|---|---|
| 应用程序 | 配置要执行异常检测的应用程序。 |
| 接近事件 | 发生位置更改时,配置两个位置之间的距离(以英里为单位)或时间(以小时为单位)。此外,您可以允许列出受信任的网络位置,从而识别可信网络并微调接近异常检测。 |
| 罕见事件 | 配置极少数事件的时间段(以天为单位)。 |
| 登录失败 | 配置失败的登录计数和时间间隔。 |
| 文件的批量下载 | 配置下载的文件计数和时间间隔。 |
| 文件的批量上传 | 配置上传的文件计数和时间间隔。 |
| 已删除的批量文件 | 配置已删除的文件计数和时间间隔。 |
| 数据泄露 | 启用或禁用从计算机或服务器传输或检索数据。 |
| 共享凭据 | 使用时间间隔配置允许或禁止共享凭据。 |
“Compromised Credentials”控制面板会告知您员工使用的帐户的已知受损凭据。
Compromised Credentials 控制面板包括:
- 具有受损凭据的用户总数。
- 识别并检测的用户。
- 以表和图形格式显示的数据泄露的介质引用。
- 受损的用户电子邮件地址。
- 数据源状态。
- 信息来源。
- 日期凭据受损。
要删除一个或多个受损凭据,启用项目旁边的复选框,然后单击 Acknowledge 或 Acknowledge All。
Malware 页面提供有关在环境中发现的恶意软件的信息。
Malware 页面包括:
- Malware:扫描检测到的恶意软件攻击的数量。
- Users Affected:具有受特定恶意软件攻击影响的文件的用户数。
- Files Affected:已隔离或触发警报的文件数。
- Malware Name:检测到的恶意软件的名称。
- Malware Type:检测到的恶意软件类型。
- 严重性:分配给恶意软件的严重性。
- Last Action Date:扫描检测到第一个文件并根据所选的隔离配置文件执行操作的日期。
单击页面上的一个项目以查看更全面的详细信息,或者将文件隔离、还原或标记为安全。
通过“Malicious Sites”页面,您可以查看哪些可能是恶意站点端点。
此页面上显示的信息包括:
- Sites Allowed:您的用户访问过且未被阻止的站点。
- Total Malicious Sites:已访问的恶意站点总数。
- Users Allowed:未被阻止访问恶意站点的用户数。
- Site:恶意站点的 IP 地址或 URL。
- 严重性:恶意站点的严重性评级。
- Category: 检测到的恶意站点的类型。
- Site Destination:从中下载恶意软件的位置。
“Quarantine”页面显示隔离文件的列表。
“Quarantine”页面包含有关隔离文件的以下信息:
- Date: 文件被隔离的日期。
- File Name:隔离时文件的文件名。
- Original File Name:隔离文件的原始名称。
- Policy Name:使文件被隔离的强制实施的策略名称。
- Violation:使文件被隔离的策略违反。
- File Owner:隔离文件的所有者。
- Detection Method:用于检测违规的方法。
您可以对每个隔离的文件执行操作。选中隔离文件旁边的复选框,然后在右下角单击:
- Contact Owners:您可以联系隔离文件的所有者。
- Download Files:您可以下载墓碑文件。
- Take Action:您可以恢复或阻止墓碑文件。
“Legal Hold”页面包含处于依法保留状态的文件的列表。
“Legal Hold”页面包含处于依法保留状态的文件的以下信息:
- Date: 文件处于依法保留状态的日期。
- File Name:文件处于依法保留状态时的名称。
- Original File Name:处于依法保留状态的文件的原始名称。
- Policy Name:使文件处于依法保留状态的强制实施的策略名称。
- Violation:使文件处于依法保留状态的策略违反。
- File Owner:处于依法保留状态的文件的所有者。
- Detection Method:用于检测违规的方法。
您可以对每个处于依法保留状态的文件执行操作。选中处于依法保留状态的文件旁边的复选框,然后在右下角单击以下任一项:
- Contact Owners:这会联系文件的所有者。
- Download Files:这将下载文件。
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。