策略动作

点击动作选项卡,设置事件命中策略后,对其所执行的动作。

默认动作

  1. 配置策略安全等级,指定命中策略时的事件严重程度,在事件及统计报告中可显示事件安全级别的详细数据。指定命中策略的事件安全级别为高、中、低和信息,用户可根据命中策略内容的敏感级别来定义。
  2. 在命中策略后,配置不同协议通道对事件执行不同的动作。详细信息请参考策略动作
    选项 解释
    审计 检测所有监控通道。
    保护 检测所有保护通道。
  3. 设置高级项,设置同一个用户/IP在一段时间内的不同阶梯触发敏感策略内容的执行行为。
    • 所有匹配总量的命中计算方式

      所有匹配总量代表各条件匹配数量相加达到设定的命中数量即以上,会命中中对应设置的等级动作。例如我们设置一条策略包含有姓名、手机号和身份证号3个元素,同时设置所有匹配总量为100。那么,当一个文件命中了姓名30个,手机号30个,身份证号有50个时,30+30+50>=100,即执行后续的策略安全级别和执行动作。

    • 单个匹配最大数量的命中计算方式
      单个匹配最大数量代表当一个条件达到设定的命中数量时,才执行后续的动作。例如我们设置一条策略有姓名、手机号和身份证号3个元素,同时设置单个匹配最大数量为100。那么只有当姓名、手机号或者身份证号,三者其中之一命中超过100个以后,才会执行后续的动作。
    高级动作项支持三个阶梯段的动作项设置。
    选项 解释
    至少命中n次 设置触发策略次数,只有在累计到触发次数或者单个元素触发次数后,开始记录事件。
    策略安全级别 指定触发策略内容的安全级别(高/中/低/信息)。
    策略执行动作 指定触发策略内容后执行的动作,默认为审计。

零星式泄露防护

DLP系统零星式泄露防护针对某段时间内持续泄露内容的行为进行防护,当某一用户行为单次或一段时间内累计匹配策略或内容时,将根据规则创建事件。

配置零星式泄露防护时,对于不同触发条件(时间段)触发策略或匹配内容的数量,时间段长的必须多于时间段短的;同一时间段内最多可配置三条规则,且触发策略或匹配内容的数量需依次增加。当多个条件里的事件等级冲突时,则合并冲突等级,记录最高事件等级。

  1. 计算匹配的方式,指定零星式防护类型,包含策略和内容。
    选项 解释
    选择策略 统计触发策略的次数。
    选择内容 统计触发内容的次数。
  2. 指定触发时段,设置零星式防护统计时段(5分钟/15分钟/30分钟/每1小时/每4小时/每8小时/每24小时),最多可选5个时段。
  3. 设置触发策略/内容次数,只有在累计到触发次数后,开始记录事件。
  4. 指定触发策略内容的安全级别(高/中/低/信息)。
  5. 指定触发策略内容后执行的动作,默认为审计。