全面审计可以帮您详尽记录计算机所有操作的日志,但记录下来的信息量如此庞大,缺乏有效管理,即使是有用的信息也容易被淹没,难以排查潜在信息安全风险。
想要快速排查异常行为,您可以应用IP-guard慧眼风险审计报表中的征兆预警功能,对计算机操作行为设置相关阈值,当用户行为达到该阈值时,报表系统会自动产生、统计相应的征兆事件,并启动预警。
征兆表——及时预警潜在风险
1、用户可以对打印、移动存储、即时通讯、邮件、文档操作、应用程序、上网浏览等操作设置阈值,及相应的征兆级别(如文档打印,可设征兆阈值:打印次数>=10次,征兆级别=严重),当用户行为在某个时间段达到设置的阈值时,会被记录下来,并启动相应预警。
2、可以通过邮件定期(日、周或月等)发送征兆事件报告给相关管理人员,及时对报告内容进行评估反馈,适时调整防泄露策略。
具体怎么操作,请看下面:
第一步:在报表控制台中,对相应计算机或计算机组设置征兆条件
1、增加征兆条件。在菜单栏->报表->征兆条件管理,可以对已有的征兆条件进行删除或编辑,也可以添加新的征兆条件,点击增加按钮,可以从已有的征兆条件里复制,或者选择某种类型的日志数据设置征兆,以打印征兆为例,选择从已有征兆条件中复制。
2、编辑征兆条件。在常规选项卡输入名称、备注,时间间隔可选分钟、小时、天,设置征兆条件的阈值范围;在过滤条件选项卡可设置相应的过滤条件。
第二步:查看征兆事件统计表、查看预警报告
可以在征兆事件统计表中,查看某个时间段的征兆预警统计。
第三步:可以设置通过邮件定期发送征兆报表给相关管理员
1、设置征兆统计周期报表
新建周期报表,在征兆事件统计表中创建新报表,设置条件、统件、周期等,系统会自动定期生成周期报表,减少定期手工创建报表的繁琐工作。
2、定期发送邮件报告
报表系统菜单栏->报表->邮件报告设置,可以设置需要发送邮件的报表、邮件的标题和地址、是否将报表添加到正文、附件形式、是否压缩附件等。与主控制台的邮件报告设置类似,需要先在邮件报告服务器设置好对应的邮件服务器。
信息安全管理实际是一场风险管理,谁先找到风险,谁就能在信息防泄露中处于主导地位。