API流量日志

介绍API流量日志监控的相关信息。

API流量日志用于记录WebService API通道的所有文件数据行为,包括数据防泄漏DLP扫描,数据脱敏,病毒扫描及记录未命中数据防泄漏DLP策略的数据。

监控 > API流量日志页面管理监控到的实时API流量日志。

监控页面包含以下快速按钮。

1. 快速按钮功能介绍
按钮 功能
调整显示列 点击按钮显示所有筛选条件对话框,可选择筛选条件,查看具体的报告数据。符合筛选条件的统计数据将以显示列的方式显示在报告中。
提示:
  • 可充分利用显示的列信息,通过查看、排序、分组和过滤等找到重大违规事件项
  • 可点击恢复初始按钮可恢复为系统默认列信息
  • 可勾选保存为默认配置选项,将当前所选的列信息保存为默认显示列。
添加筛选 点击按钮显示所有筛选条件列表,可添加筛选条件。符合筛选条件的统计数据将以显示列的方式显示在报告中。选择好的单个或者多个筛选条件,可以勾选保存为默认配置进行保存,下次打开页面,自动选择这些筛选条件。
提示: 自软件版本3.5起,在各监控报告页面,系统支持对记录为空的字段进行筛选,即在筛选条件的值中输入N/A,以对数值为空的对象执行筛选、统计、跳转等操作。
删除 点击按钮删除选中的事件。

删除已选事件/日志:直接删除已选项目。

删除过滤事件/日志:标记原因(误报/已解决/不相关/已归档)后删除当前页面所有筛选后的项目。

注意以下事项:
  • 支持事件的批量删除,需先选中需要删除的项目。如果删除失败,则会提示错误信息,并显示失败的原因。
  • 支持删除报表中所有的项目。
  • 删除项目时,会弹出确认对话框,选择需要删除项目的原因。选择其他原因时,需要说明具体原因。
  • 如果项目删除成功,存放的相关证据文件也将同时删除。
统计 点击按钮按照快速生成按照某一条件的进行统计的事件统计报表,快速对多条事件进行归类排列,并呈现柱状图排序。

日志显示以下信息。

显示列/筛选条件 介绍
流量UUID 流量通用唯一识别码
事件 日志所记录的安全事件
用户 事件涉及的用户。
部门 组织架构中配置或从用户目录中同步的部门。
来源IP 来源的IP地址。
检测时间 安全引擎检测到违规事件触发策略的时间
通道 事件所发生的通道(HTTP/HTTPS/FTP/IM/SMTP/自定义协议/网络打印/IMAP/POP3/”WebService应用/文件共享)
策略名称 事件命中的数据防泄漏DLP安全策略

命中多个策略时,系统记录所有命中的策略名,包含内置的策略名称(策略名称是固定的)

目标 数据的目标信息,可显示为用户名(用户识别模块)/IP地址/URL地址/设备名(Endpoint USB/DVD/Printing)/Email地址
病毒名称 访问的内容被病毒引擎发现的病毒名称
检测引擎 检测到该违规事件的安全引擎的名称
文件名称 事件涉及的文件名称,可能有多个
RMS解密 是否启用RMS解密功能
WebService操作 事件关联的WebService操作
动作 策略所对应的响应动作

动作可包含:阻止、计时、提示、放行、命中DLP策略等,每条策略只对应一个动作。

动作优先级为:阻止 > 计时 > 提示 > 放行

如策略对应的响应动作为命中DLP策略,系统将在用户行为日志页面显示命中DLP策略的超级链接,安全管理员可单击该链接,即可跳转到相关页面,查看DLP网络日志对应事件的详细信息。

检测类型 事件检测类型
脱敏方式 涉事敏感信息的脱敏处理方式
脱敏策略 涉事敏感信息的脱敏策略
文件路径/存储桶 系统支持以下云存储通过API接入的方式,进行数据防泄漏DLP内容分析,数据脱敏和病毒扫描:
  • S3--Simple Storage Service(AWS)
  • Swift--Swift Object Storage(Openstack)
  • COS--Cloud Object Storage(腾讯云)
  • OSS--Object Storage Service(阿里云)
  • OBS--Object Storage Service(华为云)