Che cosa sono gli incidenti Netskope?
Resumen: Per rivedere gli incidenti Netskope seguire queste istruzioni.
Síntomas
Un incidente Netskope è un'azione che non rientra tra le normali operazioni, indicate da un amministratore Netskope, tramite profili personalizzati o predefiniti. Netskope suddivide questi incidenti come incidenti di prevenzione della perdita di dati (DLP), anomalie, credenziali compromesse o file che sono stati messi in quarantena o posti in uno stato di deposito legale.
Prodotti interessati:
Netskope
Causa
Non applicabile.
Resolución
Per accedere alle pagine degli incidenti:
- In un web browser accedere alla console web Netskope:
- Datacenter degli Stati Uniti: https://[TENANT].goskope.com/
- Datacenter dell'Unione europea: https://[TENANT].eu.goskope.com/
- Datacenter di Francoforte: https://[TENANT].de.goskope.com/
- Accedere alla console web Netskope.
- Cliccare su Incidents.
- Cliccare sulla pagina dell'incidente appropriata.
Per maggiori informazioni sugli incidenti, cliccare sull'opzione appropriata.
La pagina DLP contiene informazioni sugli incidenti DLP che si verificano nell'ambiente.
La pagina DLP fornisce queste informazioni su ogni incidente DLP:
- Object: visualizza il file o l'oggetto che ha attivato la violazione. Cliccando sull'oggetto si apre una pagina con ulteriori dettagli in cui è possibile modificare lo stato, assegnare incidenti, modificare il livello di gravità ed eseguire azioni.
- Application: visualizza l'applicazione che ha attivato la violazione.
- Exposure: visualizza i file classificati per esposizione, ad esempio Public - Indexed, Public - Unlisted, Public, Private, Externally Shared, Internally Shared e Enterprise Shared.
- Violation: riporta il numero di violazioni all'interno del file.
- Last Action: visualizza l'ultima azione eseguita.
- Status: visualizza lo stato dell'evento. Esistono tre categorie di stato: New, In Progress e Resolved.
- Assignee: visualizza l'utente incaricato di monitorare l'evento.
- Severity: indica il livello di gravità. I livelli di gravità con cui viene classificato un evento sono quattro: Low, Medium, High e Critical.
- Timestamp: visualizza la data e l'ora in cui si è verificata la violazione.
la pagina Anomalies fornisce informazioni sui diversi tipi di anomalie rilevate.
Esistono tre categorie di pagina Anomalies. Per maggiori informazioni su ciascuna categoria, cliccare sulla categoria.
La pagina Summary riporta il numero totale di anomalie, le anomalie classificate per livello di rischio e le dimensioni anomale (percentuale per categoria). Sono inoltre presenti tabelle che mostrano le anomalie per profili e utenti. È possibile utilizzare un campo di query per cercare anomalie specifiche. La pagina Summary contiene anche filtri per individuare le anomalie in base al livello di rischio, tutte o solo le nuove anomalie o le anomalie in base a un profilo specifico.
Cliccare su By Profile per visualizzare il numero di anomalie rilevate per ciascun tipo insieme alla data e l'ora dell'ultima rilevazione. Vengono visualizzati solo i profili relativi alle anomalie rilevate.
Cliccare su By User per visualizzare il numero di anomalie associate a ciascun utente insieme alla distribuzione del livello di rischio. Cliccare su un elemento per aprire la pagina dei dettagli per informazioni specifiche sui profili o gli utenti.
La pagina Details riporta ulteriori informazioni sulle anomalie. Da questa pagina è possibile confermare di aver preso visione delle anomalie (tutte le anomalie o solo anomalie specifiche). È possibile utilizzare un campo di query per cercare anomalie specifiche. La pagina Details contiene anche filtri per individuare le anomalie in base al livello di rischio, tutte o solo le nuove anomalie o le anomalie in base a un profilo specifico.
Le informazioni disponibili nella pagina Details includono:
- Livello di rischio
- Indirizzo e-mail dell'utente
- Tipo di profilo
- Descrizione
- Dimensioni
- Data e ora
Cliccare su un elemento per visualizzare informazioni dettagliate su rischi, applicazioni e utenti. Per rimuovere una o più anomalie, selezionare la casella di controllo accanto a un elemento e cliccare su Acknowledge o su Acknowledge All.
Nella pagina Configure è possibile abilitare o disabilitare il rilevamento di profili anomali e configurare come le anomalie devono essere monitorate.
Per configurare un profilo, cliccare sull'icona della matita nella colonna Configuration. Per configurare le applicazioni, cliccare su Select Applications. Cliccare su Apply Changes per salvare le configurazioni.
Profili disponibili:
| Profili | Utilizzo |
|---|---|
| Applicazioni | Configurare le applicazioni che devono eseguire il rilevamento delle anomalie. |
| Proximity Event | Configurare la distanza (in miglia) tra due posizioni o il tempo (in ore) che devono segnalare una modifica della posizione. Inoltre, è possibile autorizzare i percorsi di rete affidabili in modo da identificare le reti affidabili e ottimizzare il rilevamento delle anomalie di prossimità. |
| Rare Event | Configurare il periodo di tempo (in numero di giorni) di un evento raro. |
| Failed Logins | Configurare il numero di accessi non riusciti e l'intervallo di tempo. |
| Bulk Download of Files | Configurare il numero dei file scaricati e l'intervallo di tempo. |
| Bulk Upload of Files | Configurare il numero dei file caricati e l'intervallo di tempo. |
| Bulk Files Deleted | Configurare il numero dei file eliminati e l'intervallo di tempo. |
| Data Exfiltration | Abilita o disabilita il trasferimento o il recupero dei dati da un computer o un server. |
| Shared Credentials | Specificare se consentire o no la condivisione delle credenziali utilizzando intervalli di tempo. |
Il dashboard Compromised Credentials informa l'utente delle credenziali compromesse note per gli account utilizzati dai dipendenti.
Il dashboard Compromised Credentials include:
- Numero totale di utenti le cui credenziali sono state compromesse.
- Utenti identificati e rilevati.
- Riferimenti multimediali alle violazioni dei dati riportati sia in una tabella che su un grafico.
- Indirizzo e-mail compromesso di un utente.
- Stato dell'origine dati.
- L'origine delle informazioni.
- La data in cui le credenziali sono state compromesse.
Per rimuovere una o più credenziali compromesse, selezionare la casella di controllo accanto a un elemento e cliccare su Acknowledge o Acknowledge All.
La pagina Malware fornisce informazioni sui malware rilevati nell'ambiente.
La pagina Malware include:
- Malware: numero di attacchi di malware rilevati dalla scansione.
- Users Affected: numero di utenti con file interessati da un attacco malware specifico.
- Files Affected: il numero di file in quarantena o che hanno attivato un avviso.
- Malware Name: il nome del malware rilevato.
- Malware Type: il tipo di malware rilevato.
- Severity: livello di gravità assegnato al malware.
- Last Action Date: la data in cui il primo file è stato rilevato dalla scansione e in cui è stata eseguita un'azione in base al profilo di quarantena selezionato.
Cliccare su un elemento nella pagina per visualizzare dettagli più completi o per mettere in quarantena, ripristinare o contrassegnare il file come sicuro.
Nella pagina Malicious Sites è possibile visualizzare gli endpoint di siti potenzialmente dannosi.
Le informazioni visualizzate in questa pagina includono:
- Sites Allowed: siti visitati dagli utenti e che non sono stati bloccati.
- Total Malicious Sites: numero totale di siti dannosi visitati.
- Users Allowed: il numero di utenti a cui non è stato impedito di visitare un sito dannoso.
- Site: l'indirizzo IP o l'URL del sito dannoso.
- Severity: livello di gravità del sito dannoso.
- Category: il tipo di sito dannoso rilevato.
- Site Destination: la posizione da cui è stato scaricato il malware.
La pagina Quarantine mostra un elenco di file in quarantena.
La pagina Quarantine contiene le seguenti informazioni sul file in quarantena:
- Date: la data in cui il file è stato messo in quarantena.
- File Name: il nome del file al momento della quarantena.
- Original File Name: il nome originale del file in quarantena.
- Policy Name: il nome della policy applicata che ha causato la messa in quarantena del file.
- Violation: la violazione della policy che ha causato la messa in quarantena del file.
- File Owner: il proprietario del file in quarantena.
- Detection Method: il metodo utilizzato per rilevare la violazione.
È possibile eseguire azioni su ciascuno dei file in quarantena. Selezionare la casella di controllo accanto a un file in quarantena e, in basso a destra, cliccare su:
- Contact Owners: consente di contattare il proprietario del file in quarantena.
- Download Files: consente di scaricare il file tombstone.
- Take Action: consente di ripristinare o bloccare il file tombstone.
La pagina Legal Hold contiene l'elenco dei file conservati a fini legali.
La pagina Legal Hold contiene le seguenti informazioni sui file conservati a fini legali:
- Date: la data in cui il file è stato conservato a fini legali.
- File Name: il nome del file nel momento in cui è stato conservato a fini legali.
- Original File Name: il nome originale del file conservato a fini legali.
- Policy Name: il nome della policy applicata che ha determinato la conservazione a fini legali del file.
- Violation: la violazione della policy che ha determinato la conservazione a fini legali del file.
- File Owner: il proprietario del file conservato a fini legali.
- Detection Method: il metodo utilizzato per rilevare la violazione.
È possibile eseguire azioni su ciascuno dei file conservati a fini legali. Selezionare la casella di controllo accanto a un file conservato a fini legali e, in basso a destra, cliccare su:
- Contact Owners: consente di contattare il proprietario del file.
- Download Files: consente di scaricare il file.
Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.