Что такое инциденты Netskope?
Resumen: Инциденты Netskope можно просмотреть, выполнив следующие инструкции.
Síntomas
Инцидент Netskope — это любое действие, выходящее за пределы нормальной работы, как указано администратором Netskope с помощью пользовательских или предварительно созданных профилей. Netskope выделяет эти инциденты как инциденты предотвращения потери данных, аномалии, взломанные учетные данные или файлы, помещенные в карантин или удерживаемые по юридическим причинам.
Затронутые продукты:
Netskope
Causa
Не применимо.
Resolución
Чтобы получить доступ к страницам «Incidents», выполните следующие действия.
- В браузере перейдите к веб-консоли Netskope:
- Центр обработки данных в США: https://[TENANT].goskope.com/
- Центр обработки данных в Европейском Союзе: https://[TENANT].eu.goskope.com/
- Центр обработки данных во Франкфурте: https://[TENANT].de.goskope.com/
- Войдите в веб-консоль Netskope.
- Нажмите Incidents.
- Нажмите на соответствующую страницу «Incidents».
Нажмите на соответствующий вариант, чтобы ознакомиться с дополнительными сведениями об инцидентах.
Страница DLP содержит информацию об инцидентах DLP в вашей среде.
На странице DLP представлена следующая информация о каждом инциденте DLP.
- Object. Отображает файл или объект, вызвавший нарушение. При нажатии на объект открывается страница с более подробными сведениями, на которой можно изменить статус, назначить инциденты, изменить уровень серьезности и предпринять действия.
- Application. Показывает приложение, инициировавшее нарушение.
- Exposure. Отображает файлы, которые классифицируются по степени уязвимости, например «Public - Indexed», «Public - Unlisted», «Public», «Private», «Externally Shared», «Internally Shared» и «Enterprise Shared».
- Violation. Отображает количество нарушений в файле.
- Last Action. Показывает последнее действие.
- Status. Отображает состояние события. Существует три категории статусов: «New», «In Progress» и «Resolved».
- Assignee. Показывает, кто занимается мониторингом события.
- Severity. Показывает уровень серьезности. Существует четыре уровня: «Low», «Medium», «High» и «Critical».
- Timestamp. Показывает дату и время нарушения.
На странице «Anomalies» представлена информация о различных типах обнаруженных аномалий.
Существует три категории страницы «Anomalies». Нажмите на соответствующую категорию, чтобы ознакомиться с дополнительными сведениями.
На странице «Summary» отображается общее количество аномалий, аномалии по уровню риска и аномальные измерения (процент на категорию). Кроме того, существуют таблицы, в которых отображаются аномалии для каждого профиля и пользователя. Для поиска конкретных аномалий можно использовать поле запроса. На странице «Summary» также содержатся фильтры поиска аномалий по уровню риска, по всем или новым аномалиями или на основе определенного профиля.
Нажмите By Profile, чтобы просмотреть количество аномалий, обнаруженных для каждого типа, а также последнюю метку времени. Отображаются только профили обнаруженных аномалий.
Нажмите By User, чтобы просмотреть, сколько аномалий у каждого пользователя, а также распределение уровней риска. Нажмите на элемент, чтобы открыть страницу с подробными сведениями о профилях или пользователях.
На странице «Details» представлена более подробная информация об аномалиях. На этой странице можно узнать обо всех или конкретных аномалиях. Для поиска конкретных аномалий можно использовать поле запроса. На странице «Details» также содержатся фильтры поиска аномалий по уровню риска, по всем или новым аномалиям или на основе определенного профиля.
Информация, содержащаяся на странице «Details», включает в себя следующие сведения.
- Уровень риска
- Адрес электронной почты пользователя
- Тип профиля
- Описание
- Размер
- Метка времени
Нажмите на элемент, чтобы просмотреть подробную информацию о рисках, приложениях и пользователях. Чтобы удалить одну или несколько аномалий, установите флажок рядом с элементом и нажмите Acknowledge или Acknowledge All.
На странице «Configure» можно включить или отключить отслеживание профилей аномалий и настроить способ мониторинга аномалий.
Чтобы настроить профиль, нажмите на значок карандаша в столбце «Configuration». Чтобы настроить приложения, нажмите Select Applications. Нажмите Apply Changes, чтобы сохранить конфигурации.
Доступные профили:
| Профили | Использование |
|---|---|
| Приложения | Настройте приложения, для которых необходимо выполнить обнаружение аномалий. |
| Событие приближения | Настройте расстояние (в милях) между двумя точками или время (в часах) для момента изменения местоположения. Кроме того, можно получить доступ к списку доверенных сетевых расположений, что позволит идентифицировать доверенные сети и точно настроить обнаружение аномалий приближения. |
| Редкое событие | Настройте период времени для редкого события (в днях). |
| Неудачные попытки входа | Настройте количество неудачных попыток входа и временной интервал. |
| Пакетное скачивание файлов | Настройте количество скачиваемых файлов и временной интервал. |
| Пакетная загрузка файлов | Настройте количество загружаемых файлов и временной интервал. |
| Удаляемые пакетные файлы | Настройте количество удаляемых файлов и временной интервал. |
| Кража данных | Включите или отключите передачу или извлечение данных с компьютера или сервера. |
| Общие учетные данные | Настройте разрешение или запрет на общее использование учетных данных с помощью временных интервалов. |
Панель управления «Compromised Credentials» информирует об известных скомпрометированных учетных данных для учетных записей, которые используются сотрудниками.
Панель управления «Compromised Credentials» включает:
- Общее количество пользователей, имеющих скомпрометированные учетные данные.
- Идентифицированные и обнаруженные пользователи.
- Ссылки на носители в случае утечки данных в табличном и графическом форматах.
- Адрес электронной почты скомпрометированного пользователя.
- Статус источника данных.
- Источник информации.
- Дата похищения учетных данных.
Чтобы удалить скомпрометированные учетные данные, установите флажок рядом с элементом и нажмите Acknowledge или Acknowledge All.
На странице «Malware» представлена информация о вредоносном ПО, обнаруженном в среде.
Страница «Malware» содержит следующие сведения.
- Malware: Количество атак вредоносного ПО, обнаруженных при сканировании.
- Users Affected. Количество пользователей, у которых есть файлы, затронутые вредоносной атакой.
- Files Affected. Количество файлов, помещенных в карантин или инициировавших оповещение.
- Malware Name. Имя обнаруженной вредоносной программы.
- Malware Type. Тип обнаруженной вредоносной программы.
- Severity. Уровень серьезности, назначенный вредоносному ПО.
- Last Action Date. Дата, когда при сканировании был обнаружен первый файл и выполнено действие на основе выбранного профиля карантина.
Нажмите на элемент на странице, чтобы просмотреть более подробные сведения, поместить файл в карантин, восстановить или пометить его как безопасный.
На странице «Malicious Sites» можно увидеть, на какие потенциально вредоносные сайты переходят пользователи конечных устройств.
Информация, содержащаяся на этой странице, включает в себя следующие сведения.
- Sites Allowed. Сайты, которые посещают пользователи и которые не заблокированы ими.
- Total Malicious Sites. Общее количество посещенных вредоносных сайтов.
- Users Allowed. Количество пользователей, которые не заблокированы для посещения вредоносного сайта.
- Site. IP- или URL-адрес вредоносного сайта.
- Severity. Уровень серьезности вредоносного сайта.
- Category. Тип обнаруженного вредоносного сайта.
- Site Destination. Расположение, откуда было загружено вредоносное ПО.
На странице «Quarantine» отображается список файлов, помещенных в карантин.
На странице «Quarantine» представлена следующая информация о файле, помещенном в карантин.
- Date. Дата помещения файла в карантин.
- File Name. Имя файла на момент помещения в карантин.
- Original File Name. Исходное имя файла, помещенного в карантин.
- Policy Name. Заданное имя политики, которое стало причиной помещения файла в карантин.
- Violation. Нарушение политики, которое стало причиной помещения файла в карантин.
- File Owner. Владелец файла, помещенного в карантин.
- Detection Method. Метод, используемый для обнаружения нарушения.
Можно выполнять действия с каждым файлом, помещенным в карантин. Установите флажок рядом с файлом, помещенным в карантин, и в правом нижнем углу нажмите:
- Contact Owners. Можно связаться с владельцем файла, помещенного в карантин.
- Download Files. Можно скачать файл отметки полного удаления.
- Take Action. Можно восстановить или заблокировать файл отметки полного удаления.
На странице «Legal Hold» находится список файлов, которые удерживаются по юридическим причинам.
На странице «Legal Hold» представлена следующая информация о файле, который удерживается по юридическим причинам.
- Date. Дата помещения файла в список удерживаемых по юридическим причинам.
- File Name. Имя файла на момент его помещения в список удерживаемых по юридическим причинам.
- Original File Name. Исходное имя файла, который удерживается по юридическим причинам.
- Policy Name. Заданное имя политики, на основании которой файл удерживается по юридическим причинам.
- Violation. Нарушение политики, которое привело к тому, что файл был помещен в список удерживаемых по юридическим причинам.
- File Owner. Владелец файла, удерживаемого по юридическим причинам.
- Detection Method. Метод, используемый для обнаружения нарушения.
Можно выполнять действия с каждым файлом, помещенным в список удерживаемых по юридическим причинам. Установите флажок рядом с файлом, удерживаемым по юридическим причинам, и в правом нижнем углу нажмите:
- Contact Owners. Позволяет связываться с владельцем файла.
- Download Files. Позволяет скачать файл.
Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.