我们可以把这个警报看成是一个实时/定时更新的审计日志–audit log。
警报与DLP最大的区别:
1.警报针对特定操作
2.警报无法阻止用户的操作
也就是说,你无法自定义一个新的警报事件,而且警报事件只能通知相应的人员刚刚/今天/一段时间发前生了什么事情。
有可能你会觉得这没什么用,如果我不允许某个站点的文件对外分享,那干脆禁止这个站点的对外分享功能就好了,为什么要设置警报呢?难道还要IT收到警报再发一封邮件去警告用户?如果目的是这样,为什么不直接用DLP呢?既然说警报类似于审计日志说为什么不直接调审计日志来查看呢?
首先,审计日志的生成是需要一定的时间的,最快也要1小时,有些甚至需要几小时,所以作为实时报告的意义来说不大,其次审计日志无法生成一个图表让IT对用户活动一目了然,接着就是审计的范围太广,就算导出报告也要做一些筛选。
警告和DLP的意义是不一样的,DLP是很明确的要prevent–阻止/防止/制止/教育一些用户的行为,但是警告只是单纯的告诉管理员这个用户做了什么或者某个站点发生了什么事情等等。
最终用户是体验不到警报的,既没有策略提示,也不会有警告邮件,更不会加密文件。
要知道实际的生产环境中,总有些用户会做一些不寻常的操作,比如:
1.把SharePoint站点里的一个文件删除很正常,如果一个用户选择永久删除,这就不是一般操作了。或者是永久删除一封邮件
2.某个用户总是下载公司站点的文件或是经常分享文件
等等。
以上首先要求对公司平时基本的运营模式有一些了解,或者根据审计日志查看发现一些较为不寻常的地方,然后再制定相应的警报。
我们直接进入正题,访问protection.office.com,点击警报,选择警报策略:
这里有很多设置好的,但是方便你快速了解,警报分了,低中高三个严重程度。我们新建一个警报策略:
警报类别是方便我们在做审计的时候筛选用的,方便管理员统计检测,其实全部都选一个也不影响,毕竟跟数据丢失保护策略是有很大区别的。
当然这两着都要根据实际情况配合着来,没有说数据丢失防护就一定是高的严重程度。
创建警报设置这一栏才是最重要的:
具体是什么活动会触发一个警报。
注:这里所有的策略都是定义好的,无法自定义策略,只能从现有的选,每个选项在选中后都会有很清晰的描述说明这项警报具体检测什么。
添加的条件有三项:
常规,文件和用户,可以设置所任何或不等于两种选项,对于文件的话
对于文件的话选项稍微多一些:
然后就是触发警报的策略:
1.一旦发生就触发
2.过去一段时间内达到多少次触发(基于一个用户的行为次数还是所有用户加起来的次数)
选择单个用户:比如张三60分钟内做了15次外部分享的行为
选择所有用户:这个公司里过去60分钟内加起来的外部分享行为次数达到了15次
3.一个星期内发生的次数特别多就触发
选择警报通知的人和每天通知次数的上线,最大时200次(如果警报很多,也不建议设置200次,等于是200封邮件啊!)
那么警报,只有管理员这边会收到提示,最终用户是一无所知的(问号的地方是中文,没识别出来,不好意思):
警报的效果是立竿见影的,你设置好了马上就能测试出来,不像数据放丢失策略需要等几个小时。
在警报的仪表盘里也是马上能看到:
详细的报告可以导出:
导出后其实对做一些数据分析是非常有用的!
1728
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
