Wat zijn Netskope-incidenten?
Resumen: Netskope-incidenten kunnen worden beoordeeld door deze instructies te volgen.
Síntomas
Een Netskope-incident is elke actie die buiten de normale bewerkingen valt, zoals beschreven door een Netskope-beheerder, met behulp van aangepaste of vooraf gebouwde profielen. Netskope splitst deze incidenten uit als preventie van dataverlies (DLP), afwijkingen, gecompromitteerde referenties of bestanden die in quarantaine zijn geplaatst of die vanwege juridische procedures worden bewaard.
Betreffende producten:
Netskope
Causa
Niet van toepassing.
Resolución
Toegang krijgen tot de pagina's Incidents:
- Ga in een webbrowser naar de Netskope-webconsole:
- Datacenter Verenigd Staten: https://[TENANT].goskope.com/
- Datacenter Europese Unie: https://[TENANT].eu.goskope.com/
- Datacenter Frankfurt: https://[TENANT].de.goskope.com/
- Meld u aan bij de Netskope-webconsole.
- Klik op Incidents( Incidenten).
- Klik op de betreffende pagina Incidents.
Klik op de juiste optie voor meer informatie over incidenten.
De DLP-pagina bevat informatie over DLP-incidenten in uw omgeving.
De DLP-pagina bevat deze informatie over elk DLP-incident:
- Object: Toont het bestand of object dat de overtreding heeft veroorzaakt. Als u op het object klikt, wordt een pagina geopend met meer informatie over het wijzigen van de status, het toewijzen van incidenten, het wijzigen van de prioriteit en het uitvoeren van acties.
- Toepassing: Toont de applicatie die de overtreding heeft veroorzaakt.
- Blootstelling: Toont bestanden die zijn gecategoriseerd op blootstelling, zoals Public - Indexed, Public - Unlisted, Public, Private, Externally Shared, Internally Shared en Enterprise Shared.
- Schending: Toont het aantal schendingen in het bestand.
- Laatste actie: Toont de actie die het meest recentelijk is ondernomen.
- Status: Toont de status van de gebeurtenis. Er zijn drie statuscategorieën: Nieuw, bezig en opgelost.
- Gevolmachtigde: Toont wie de taak heeft om de gebeurtenis te bewaken.
- Severity: Toont het prioriteitsniveau. Er zijn vier niveaus: Laag, gemiddeld, hoog en kritiek.
- Tijdstempel: Toont de datum en tijd van de overtreding.
De pagina Anomalies bevat informatie over de verschillende soorten gedetecteerde afwijkingen.
Er zijn drie anomalie-paginacategorieën. Klik voor meer informatie op de juiste categorie.
De overzichtspagina toont totale anomalieën, afwijkingen op risiconiveau en afwijkende afmetingen (percentage per categorie). Er zijn ook tabellen die afwijkingen per profielen en gebruikers weergeven. Er kan een queryveld worden gebruikt om te zoeken naar specifieke afwijkingen. De overzichtspagina bevat ook filters voor afwijkingen op risiconiveau, geheel of nieuw, of op basis van een specifiek profiel.
Klik op Profiel om het aantal gedetecteerde afwijkingen voor elk type weer te geven, samen met de nieuwste tijdstempel. Alleen de profielen voor gedetecteerde afwijkingen worden weergegeven.
Klik op Gebruiker om te zien hoeveel afwijkingen elke gebruiker heeft, samen met de distributie van het risiconiveau. Klik op een item om de pagina Details te openen voor specifieke informatie over profielen of gebruikers.
Op de pagina Details vindt u meer informatie over afwijkingen. Alle of specifieke afwijkingen kunnen op deze pagina worden bevestigd. Er kan een queryveld worden gebruikt om te zoeken naar specifieke afwijkingen. De pagina Details bevat ook filters voor afwijkingen op risiconiveau, alle of nieuwe afwijkingen of afwijkingen op basis van een specifiek profiel.
De informatie op de pagina Details bevat:
- Risiconiveau
- E-mailadres gebruiker
- Profieltype
- Beschrijving
- Afmetingen
- Tijdstempel
Klik op een item om gedetailleerde informatie over risico's, applicaties en gebruikers weer te geven. Als u een of meer afwijkingen wilt verwijderen, schakelt u het selectievakje naast een item in en klikt u op Bevestigen of klikt u op Alles bevestigen.
Op de pagina Configure kunt u het traceren van anomalieprofielen in- of uitschakelen en configureren hoe anomalieën worden bewaakt.
Als u een profiel wilt configureren, klikt u op het potloodpictogram in de kolom Configuration. Klik op Select Applications (Applicaties selecteren) om de applicaties te configureren. Klik op Wijzigingen toepassen om uw configuraties op te slaan.
Beschikbare profielen:
| Profielen | Gebruik |
|---|---|
| Applicaties | Configureer de applicaties die u anomaliedetectie wilt uitvoeren. |
| Nabijheidsevenement | Configureer de afstand (in miles) tussen twee locaties of de tijd (in uren) voor wanneer de locatiewijziging plaatsvindt. Daarnaast kunt u ook vertrouwde netwerklocaties toestaan, zodat u uw vertrouwde netwerken kunt identificeren en de detectie van de nabijheidsafwijking kunt verfijnen. |
| Zeldzame gebeurtenis | Configureer een tijdsperiode voor een zeldzame gebeurtenis in een aantal dagen. |
| Mislukte aanmeldingen | Configureer het aantal mislukte aanmeldingen en het tijdsinterval. |
| Bulkdownload van bestanden | Configureer het aantal gedownloade bestanden en het tijdsinterval. |
| Bulkupload van bestanden | Configureer het aantal bestanden dat is geüpload en het tijdsinterval. |
| Bulkbestanden verwijderd | Configureer het aantal verwijderde bestanden en het tijdsinterval. |
| Data-exfiltratie | Hiermee kunt u de overdracht of het ophalen van data van een computer of server in- of uitschakelen. |
| Gedeelde referenties | Configureer het toestaan of niet toestaan van gedeelde referenties met tijdsintervallen. |
Het dashboard met gecompromitteerde referenties informeert u over bekende gecompromitteerde referenties voor de accounts die worden gebruikt door uw werknemers.
Het dashboard met gecompromitteerde referenties bevat:
- Totaal aantal gebruikers met gecompromitteerde referenties.
- Geïdentificeerde en gedetecteerde gebruikers.
- Mediareferenties van datalekken in zowel tabel- als grafiekindeling.
- E-mailadres van een gecompromitteerd gebruiker.
- Status van de databron.
- De bron van informatie.
- De datumgegevens zijn aangetast.
Als u een of meer van de gecompromitteerde referenties wilt verwijderen, schakelt u het selectievakje naast een item in en klikt u op 'Acknowledge or Acknowledge All'.
De pagina Malware bevat informatie over malware die in de omgeving wordt aangetroffen.
De pagina Malware bevat:
- Malware: Het aantal malware-aanvallen dat door de scan wordt gedetecteerd.
- Getroffen gebruikers: Het aantal gebruikers dat bestanden heeft die worden beïnvloed door een specifieke malware-aanval.
- Getroffen bestanden: Het aantal bestanden dat in quarantaine is geplaatst of dat een waarschuwing heeft geactiveerd.
- Naam malware: De naam van de gedetecteerde malware.
- Type malware: Het type malware dat wordt gedetecteerd.
- Severity: De ernst die aan de malware is toegewezen.
- Laatste actiedatum: De datum waarop het eerste bestand werd gedetecteerd door de scan en er een actie werd ondernomen op basis van het geselecteerde quarantaineprofiel.
Klik op een item op de pagina voor meer uitgebreide informatie of voor het in quarantaine zetten, terugzetten of markeren van het bestand als veilig.
Op de pagina Schadelijke sites kunt u zien welke potentieel schadelijke sites eindpunten gaan gebruiken.
De informatie die op deze pagina wordt weergegeven, omvat:
- Sites toegestaan: Sites die uw gebruikers hebben bezocht en niet zijn geblokkeerd.
- Totaal aantal schadelijke sites: Het totale aantal schadelijke sites dat is bezocht.
- Gebruikers toegestaan: Het aantal gebruikers dat niet wordt geblokkeerd voor het bezoeken van een schadelijke site.
- Site: Het IP-adres of de URL van de schadelijke site.
- Severity: De prioriteitsbeoordeling voor de schadelijke site.
- Category: Het type schadelijke site dat wordt gedetecteerd.
- Bestemming van de locatie: De locatie waar de malware is gedownload.
Op de pagina Quarantine wordt een lijst met in quarantaine geplaatste bestanden weergegeven.
De quarantainepagina bevat de onderstaande informatie over het in quarantaine geplaatste bestand:
- Date: De datum waarop het bestand in quarantaine is geplaatst.
- Bestandsnaam: De bestandsnaam van het bestand op het moment van quarantaine.
- Oorspronkelijke bestandsnaam: De oorspronkelijke naam van het in quarantaine geplaatste bestand.
- Beleidsnaam: De afgedwongen policynaam zorgt ervoor dat het bestand in quarantaine wordt geplaatst.
- Schending: De beleidsfout veroorzaakt dat het bestand in quarantaine wordt geplaatst.
- Bestandseigenaar: De eigenaar van het in quarantaine geplaatste bestand.
- Detectiemethode: De methode die wordt gebruikt om de overtreding te detecteren.
U kunt acties uitvoeren op elk van de in quarantaine geplaatste bestanden. Schakel het selectievakje naast een in quarantaine geplaatst bestand in en klik rechtsonder op:
- Neem contact op met eigenaren: U kunt contact opnemen met de eigenaar van het in quarantaine geplaatste bestand.
- Bestanden downloaden: U kunt het tombstone-bestand downloaden.
- Onderneem actie: U kunt het tombstone-bestand herstellen of blokkeren.
De pagina Legal Hold bevat een lijst met bestanden die in de juridische wachtstand worden geplaatst.
Op de pagina Legal Hold vindt u de onderstaande informatie over het bestand dat in de juridische wacht staat:
- Date: De datum waarop het bestand in juridische wacht is gezet.
- Bestandsnaam: De naam van het bestand op het moment dat het in juridische wacht werd gezet.
- Oorspronkelijke bestandsnaam: De oorspronkelijke naam van het bestand dat in juridische wacht staat.
- Beleidsnaam: De afgedwongen beleidsnaam zorgt ervoor dat het bestand in juridische wachtstand wordt gezet.
- Schending: De beleidsfout die ervoor zorgt dat het bestand in juridische wachtstand wordt gezet.
- Bestandseigenaar: De eigenaar van het bestand in juridische wachtstand.
- Detectiemethode: De methode die wordt gebruikt om de overtreding te detecteren.
U kunt acties ondernemen voor elk van de legal hold-bestanden. Schakel het selectievakje naast een legal hold-bestand in en klik rechtsonder op een van de volgende opties:
- Neem contact op met eigenaren: Dit neemt contact op met de eigenaar van het bestand.
- Bestanden downloaden: Hiermee wordt het bestand gedownload.
Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.