应用攻略:如何从海量日志中发现泄密风险

作者: TEC 分类: IP-guard应用攻略 发布时间: 2019-06-27 11:09 ė 6没有评论

IP-guard能全面记录终端各类操作的日志,比如文档操作、移动存储设备使用、文档打印、邮件发送、上网浏览和应用程序使用等。不过每个员工在每天的工作过程中都会产生大量的日志,每个操作类型都会包含有成百上千条的日志,当客户端数量规模庞大时,管理员对每个员工每条日志进行审计需要花费大量的时间,这样一来,从大量的日志中发现有风险操作就比较困难。

为了更加全面有效的对海量日志进行审计,IP-guard为用户提供了一个便捷有效的分析工具——风险审计报表,这个工具能对海量的日志进行批量统计分析,从中发现有风险的操作。在完成分析之后,还可以将统计结果导出可视化报表,方便向其他业务部门、上级领导进行汇报。除此之外,还能针对公司制定的安全策略设置敏感征兆条件,当风险行为发生时,可以报警并且阻止风险操作行为,同时可以根据征兆条件更加有效的对敏感操作进行记录。

实际应用案例:

1、 A公司组织架构庞大,一共有上千名员工。每个员工每天的操作日志都有上千条,巨大的审计工作量让风控审计部门难以承受,无法细致的对每个员工进行审计,日志审计形同虚设。

解决方案:通过统计报表对一段时间内的所有日志操作进行快速统计和排序,准确的定位敏感操作最频繁的前20名员工,再针对这20名员工进行细致审计。

2、A公司后来使用了统计报表对敏感日志进行排序统计,已经定位到了问题员工。但是需要审计这个员工整个季度的所有操作,在比较长的时间线里面难以发现员工的问题节点。

解决方案:在审计员工一段时间内的操作行为时,可以使用趋势报表绘制趋势曲线,通过分析数据的异常峰值定位问题时间节点,再针对问题节点进行细致审计。通过趋势曲线能让日志审计更加高效。

3、B公司已经有制定完善的安全体系,希望只针对安全体系里面提到的一些风险点进行精准审计,支持针对敏感操作设置阈值,过滤正常的办公行为,只记录严重的情况。

解决方案:通过征兆报表针对特定敏感操作设置征兆阈值,一旦员工操作的严重程度超过预设的条件,就会对操作的严重性进行分类并记录,方便事后有针对性的审计。

4、公司领导要求管理员对员工的操作日志进行分析,并且在所有部门主管的联合会议中进行讲解,从各个部门的实际数据入手分析目前可能存在的风险点,然后再灵活的调整管理策略。

解决方案:可以设置定期生成报表的策略,并且可以自动发送邮件通知对应的领导,快捷的将审计结果传送至各个部门主管和领导的手上。

IP-guard风险报表功能,帮您批量分析终端操作日志

IP-guard风险审计报表提供统计表、趋势表、征兆表、周期报表等多种报表,企业可以根据需要对各类终端行为进行统计分析,快速了解终端操作动态以及行为变化趋势,还可以对具有风险的敏感操作提前设置预警机制,以便及时发现安全风险。

1、统计表:统计用户行为

比如对所有终端的文档操作日志进行快速统计,可以选择相应的筛选条件(如复制文件数量、复制文档大小等)进行统计和排序,快速的定位操作频率在前5、前10、前20或是自定义的问题员工。可以从统计表中直接双击打开某个员工相关文档操作的明细。

统计表:统计用户行为

2、趋势表:展现用户行为变化

可以对所有员工、某个部门或者某个员工在某段时间内的操作趋势动态以曲线形式展示出来,比如文档复制行为是否增多了,趋势曲线出现了异常峰值,管理员可以直接定位出现问题的时间节点,再针对这个时间节点的日志进行详细审计,根据文档拷贝记录判断员工大量拷贝文件的合理性,精准定位泄密漏洞。

趋势表:展现用户行为变化

3、征兆表:及时预警潜在风险

提前对高风险操作进行预警,可以及时发现制止泄密行为。管理员可对打印、电子邮件、移动存储、文档操作、应用程序、上网浏览、即时通讯等行为,预先设置征兆阈值和报警级别(如文档打印,可设征兆阈值:打印次数≥ 10次,报警级别=严重),当用户行为达到设置的阈值时,报表系统会自动产生、统计相应的征兆事件,并记录。

征兆表:及时预警潜在风险

打开”报表-征兆条件设置”的设置界面,可以通过设置征兆条件,该预警机制可以只针对敏感操作行为设置阈值,过滤正常办公行为只记录严重的违规行为,管理员可以更快速地发现违规泄密行为。

4、周期报表:定时自动发送

打开”控制台-工具-选项-邮件报告服务器设置”,设置系统发送报表的发件邮箱。然后再打开”报表控制台-报表-邮件报告”,设置需要发送的报表类型、邮件主题、邮件正文、收件地址等,之后每当到设置的时间节点,系统就会把自动生成的报表附件发送到所有的收件箱中。

IP-guard还提供个性化的统计报表,企业可以根据需要自定义分析条件,得到更详细的统计结果。





Related posts:

本文出自 信息防泄露大讲堂,转载时请注明出处及相应链接。

本文永久链接: http://www.ip-guard.net/blog/?p=2024

发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Ɣ回顶部