Czym są incydenty Netskope?
Summary: Incydenty Netskope można przejrzeć, postępując zgodnie z poniższymi instrukcjami.
Symptoms
Incydent Netskope to dowolne działanie, które administrator Netskope za pośrednictwem niestandardowego lub wstępnie przygotowanego profilu oznaczył jako wykraczające poza normalne operacje. Netskope dzieli te incydenty na: zdarzenia zapobiegania utracie danych (DLP), anomalie, naruszenie poświadczeń lub plików, które zostały poddane kwarantannie lub znajdują się w stanie prawnego obowiązku przechowywania.
Dotyczy produktów:
Netskope
Cause
Nie dotyczy.
Resolution
Aby uzyskać dostęp do stron incydentów:
- W przeglądarce internetowej przejdź do konsoli internetowej Netskope:
- Centrum danych w Stanach Zjednoczonych: https://[DZIERŻAWCA].goskope.com/
- Centrum danych w Unii Europejskiej: https://[DZIERŻAWCA].eu.goskope.com/
- Centrum danych we Frankfurcie: https://[DZIERŻAWCA].de.goskope.com/
- Zaloguj się do konsoli internetowej Netskope.
- Kliknij Incidents.
- Kliknij odpowiednią stronę Incidents.
Aby uzyskać więcej informacji na temat incydentów, kliknij odpowiednią opcję.
Strona DLP zawiera informacje dotyczące incydentów DLP w danym środowisku.
Strona DLP zawiera następujące informacje na temat każdego incydentu DLP:
- Object: Wyświetla plik lub obiekt, który spowodował naruszenie. Po kliknięciu obiektu otwiera się strona ze szczegółami, na której można zmienić stan, przypisać incydenty, zmienić poziom ważności i podjąć działania.
- Application: Wyświetla aplikację, która uruchomiła naruszenie.
- Exposure: Wyświetla pliki, które są kategoryzowane według ekspozycji, takie jak Public - Indexed, Public - Unlisted, Public, Private, Externally Shared, Internally Shared i Enterprise Shared.
- Violation: Wyświetla liczbę naruszeń w pliku.
- Last Action: Wyświetla ostatnio podjętą czynność.
- Status: Wyświetla status zdarzenia. Istnieją trzy kategorie statusów: New, In Progress i Resolved.
- Assignee: Pokazuje, kto odpowiada za monitorowanie zdarzenia.
- Severity: Wyświetla poziom ważności. Istnieją cztery poziomy: Low, Medium, High i Critical.
- Timestamp: Wyświetla datę i godzinę naruszenia.
Strona Anomalies zawiera informacje na temat różnych typów wykrytych anomalii.
Istnieją trzy kategorie na stronie Anomalies. Aby uzyskać więcej informacji, kliknij odpowiednią kategorię.
Na stronie Summary przedstawione są całkowite anomalie, anomalie według poziomu ryzyka i nietypowe wymiary (procent na kategorię). Istnieją również tabele, które pokazują anomalie według profili i użytkowników. Do wyszukiwania określonych anomalii można użyć pola zapytania. Strona Summary zawiera również opcję filtrowania anomalii według poziomu ryzyka, wszystkich lub nowych, lub na podstawie określonego profilu.
Kliknij opcję By Profile, aby wyświetlić liczbę anomalii wykrytych dla każdego typu oraz najnowszy znacznik czasowy. Wyświetlane są tylko profile dla wykrytych anomalii.
Kliknij opcję By User, aby wyświetlić liczbę anomalii dla każdego użytkownika wraz z rozkładem poziomu ryzyka. Kliknij element, aby otworzyć stronę szczegółów w celu uzyskania szczegółowych informacji na temat profili lub użytkowników.
Strona Details zawiera szczegółowe informacje na temat anomalii. Na tej stronie można potwierdzić wszystkie lub określone anomalie. Do wyszukiwania określonych anomalii można użyć pola zapytania. Strona Details zawiera również opcję filtrowania anomalii według poziomu ryzyka, wszystkich lub nowych lub na podstawie określonego profilu.
Informacje, które znajdują się na stronie Details, obejmują:
- Risk level
- User email address
- Profile type
- Description
- Dimension
- Timestamp
Kliknij dany element, aby wyświetlić szczegółowe informacje o ryzyku, aplikacji i użytkowniku. Aby usunąć jedną lub więcej anomalii, zaznacz pole wyboru obok danego elementu i kliknij przycisk Acknowledge lub Acknowledge All.
Strona Configure umożliwia włączanie i wyłączanie śledzenia profili anomalii oraz konfigurowanie sposobu monitorowania anomalii.
Aby skonfigurować profil, kliknij ikonę ołówka w kolumnie Configuration. Aby skonfigurować aplikacje, kliknij opcję Select Applications. Kliknij przycisk Apply Changes, aby zapisać swoje konfiguracje.
Dostępne profile:
| Profile | Zastosowanie |
|---|---|
| Applications | Skonfiguruj aplikacje dla których chcesz przeprowadzić wykrywanie anomalii. |
| Proximity Event | Skonfiguruj odległość (w milach) między dwiema lokalizacjami lub czas (w godzinach) w przypadku zmiany lokalizacji. Ponadto można umieścić na liście dostępu zaufane lokalizacje w sieci, umożliwiając identyfikację zaufanych sieci i dostosowanie wykrywania anomalii zbliżeniowej. |
| Rare Event | Skonfiguruj okres dla rzadkich zdarzeń, podając liczbę dni. |
| Failed Logins | Skonfiguruj liczbę nieudanych logowań i przedział czasowy. |
| Bulk Download of Files | Skonfiguruj liczbę pobieranych plików i przedział czasowy. |
| Bulk Upload of Files | Skonfiguruj liczbę przesłanych plików i przedział czasowy. |
| Bulk Files Deleted | Skonfiguruj liczbę usuniętych plików i przedział czasowy. |
| Data Exfiltration | Włączaj lub wyłączaj przesyłanie lub pobieranie danych z komputera lub serwera. |
| Shared Credentials | Skonfiguruj umożliwianie lub uniemożliwianie udostępniania poświadczeń przy użyciu przedziałów czasowych. |
Pulpit naruszonych poświadczeń informuje o znanych naruszonych poświadczeniach dla kont używanych przez pracowników.
Pulpit nawigacyjny Compromised Credentials zawiera:
- Łączną liczbę użytkowników z zagrożonymi poświadczeniami.
- Zidentyfikowanych i wykrytych użytkowników.
- Odniesienia multimedialne do naruszeń danych w formacie tabeli i wykresu.
- Adres e-mail zagrożonego użytkownika.
- Status źródła danych.
- Źródło informacji.
- Datę naruszenia poświadczeń.
Aby usunąć co najmniej jedno z naruszonych poświadczeń, zaznacz pole wyboru obok danego elementu i kliknij opcję Acknowledge lub Acknowledge All.
Strona Malware zawiera informacje o złośliwym oprogramowaniu, które można znaleźć w środowisku.
Na stronie Malware znajdują się następujące informacje:
- Malware: Liczba ataków złośliwego oprogramowania wykrytych przez skanowanie.
- Users Affected: Liczba użytkowników korzystających z plików dotkniętych przez atak złośliwego oprogramowania.
- Files Affected: Liczba plików poddanych kwarantannie lub takich, które uruchomiły alert.
- Malware Name: Nazwa wykrytego złośliwego oprogramowania.
- Malware Type: Typ wykrytego złośliwego oprogramowania.
- Severity: Poziom ważności przypisany do złośliwego oprogramowania.
- Last Action Date: Data wykrycia pierwszego pliku przez skanowanie i podjęcie działania na podstawie wybranego profilu kwarantanny.
Kliknij element na stronie, aby wyświetlić bardziej kompleksowe szczegóły lub poddać plik kwarantannie, przywrócić go lub oznaczyć jako bezpieczny.
Strona złośliwych witryn umożliwia wyświetlenie potencjalnie złośliwych punktów końcowych witryn.
Informacje wyświetlane na tej stronie:
- Sites Allowed: Witryny odwiedzone przez użytkowników, które nie zostały zablokowane.
- Total Malicious Sites: Łączna liczba odwiedzonych złośliwych witryn.
- Users Allowed: Liczba użytkowników, dla których złośliwa witryna nie została zablokowana.
- Site: Adres IP lub URL złośliwej witryny.
- Severity: Wskaźnik ważności złośliwej witryny.
- Category: Typ wykrytej złośliwej witryny.
- Site Destination: Lokalizacja, z której pobrano złośliwe oprogramowanie.
Na stronie Quarantine znajduje się lista plików poddanych kwarantannie.
Na stronie Quarantine znajdują się poniższe informacje na temat pliku poddanego kwarantannie:
- Date: Data poddania pliku kwarantannie.
- File Name: Nazwa pliku w trakcie kwarantanny.
- Original File Name: Oryginalna nazwa pliku poddanego kwarantannie.
- Policy Name: Wymuszona nazwa zasady powodująca kwarantannę pliku.
- Violation: Naruszenie zasad, powodujące kwarantannę pliku.
- File Owner: Właściciel pliku poddanego kwarantannie.
- Detection Method: Metoda użyta do wykrycia naruszenia.
Możesz wykonać działania dla każdego z plików poddanych kwarantannie. Zaznacz pole wyboru obok pliku poddanego kwarantannie, a w prawym dolnym rogu kliknij:
- Contact Owners: Możesz skontaktować się z właścicielem pliku poddanego kwarantannie.
- Download Files: Możesz pobrać plik reliktu.
- Take Action: Można przywrócić lub zablokować plik reliktu.
Strona Legal Hold zawiera listę plików, które znajdują się w stanie prawnego obowiązku przechowywania.
Na stronie prawnego obowiązku ochrony danych znajdują się poniższe informacje na temat pliku, który znajduje się w stanie prawnego obowiązku przechowywania:
- Date: Data przeniesienia pliku w stan prawnego obowiązku przechowywania.
- File Name: Nazwa pliku w momencie jego przeniesienia w stan prawnego obowiązku przechowywania.
- Original File Name: Oryginalna nazwa pliku, który został przeniesiony w stan prawnego obowiązku przechowywania.
- Policy Name: Nazwa wdrożonej zasady powodującej, że plik został przeniesiony w stan prawnego obowiązku przechowywania.
- Violation: Naruszenie zasad, które spowodowało, że plik został przeniesiony w stan prawnego obowiązku przechowywania.
- File Owner: Właściciel pliku, który został przeniesiony w stan prawnego obowiązku przechowywania.
- Detection Method: Metoda użyta do wykrycia naruszenia.
Możesz podjąć działania dotyczące każdego z plików, które zostały przeniesione w stan prawnego obowiązku przechowywania. Zaznacz pole wyboru obok pliku przeniesionego w stan prawnego obowiązku przechowywania, a w prawym dolnym rogu kliknij jedną z opcji:
- Contact Owners: Spowoduje to skontaktowanie się z właścicielem pliku.
- Download Files: Spowoduje to pobranie pliku.
Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.