Ctrlk
Go to eAuditor cloud®Website
For the complete documentation index, see llms.txt. This page is also available as Markdown.

Powiadomienia

Powiadomienia w regułach DLP

Wprowadzenie

Powiadomienia to opcjonalny, ale istotny element reguł ochrony danych, pozwalający skutecznie informować administratorów i użytkowników końcowych o zdarzeniach dotyczących bezpieczeństwa. Dodanie powiadomień zwiększa przejrzystość działania reguł oraz umożliwia szybką reakcję na potencjalne naruszenia polityk bezpieczeństwa.

Powiadomienia nie są wymagane, ale ich konfiguracja jest kolejnym krokiem po zdefiniowaniu akcji. Jeśli użytkownik nie aktywuje powiadomień, system i tak generuje logi w zakładce Dzienniki, niezależnie od skonfigurowanych akcji i powiadomień. Powiadomienia wykonują się równocześnie z akcjami, co zapewnia pełną synchronizację działań i komunikatów.

Jeśli administrator chce skonfigurować wyłącznie powiadomienie, bez dodatkowych akcji, wystarczy odznaczyć "...wykonaj te działania..." w poprzednim kroku i przejść do konfiguracji powiadomień.

Jak skonfigurować politykę lub regułę DLP?

Dostępne opcje powiadomień

  1. Log w systemie:

    • Wyświetlenie powiadomienia w systemie, w zakładce Dzienniki w konsoli webowej.

  2. Ostrzeż admina (Powiadomienie e-mail):

    • Wysłanie wiadomości e-mail na wskazany adres lub adresy.

  3. Powiadom użytkownika końcowego:

    • Wyświetlenie okienka powiadomienia na stacji użytkownika w prawym dolnym rogu.

Konfiguracja powiadomień

Log

  • Treść alertu:

    • Możliwość wprowadzenia dowolnego tekstu.

    • Opcjonalne wykorzystanie parametrów dynamicznych (np. data zdarzenia, nazwa komputera).

Lista dostępnych parametrów jest indywidualna dla każdego wyzwalacza i znajduje się pod Parametry do powiadomień.

Ostrzeż admina (Powiadomienie e-mail)

  • Adresy e-mail:

    • Wprowadzenie jednego lub wielu adresów e-mail poprzez kliknięcie „+”.

    • Usuwanie adresów za pomocą ikony kosza.

  • Opcjonalne ustawienia:

    • Poinformuj administratora urządzenia: Wyślij e-mail do osoby przypisanej jako administrator w karcie szczegółowej urządzenia.

    • Powiadom użytkownika urządzenia: Wyślij e-mail do użytkownika przypisanego do urządzenia w systemie.

  • Treść wiadomości e-mail:

    • Edytowalny temat i treść e-maila.

    • Możliwość wykorzystania zaawansowanego edytora tekstu z obsługą dynamicznych parametrów (np. data zdarzenia, nazwa pliku).

Lista dostępnych parametrów jest indywidualna dla każdego wyzwalacza i znajduje się pod Parametry do powiadomień.

Powiadom użytkownika końcowego

  • Powiadomienie w prawym dolnym rogu ekranu dla użytkownika końcowego:

    • Mniej inwazyjne okienko informacyjne.

    • Treść jest widoczna po kliknięciu powiadomienia.

  • Treść alertu:

    • Możliwość wprowadzenia dowolnego tekstu.

    • Opcjonalne wykorzystanie parametrów dynamicznych (np. data zdarzenia, nazwa komputera).

Lista dostępnych parametrów jest indywidualna dla każdego wyzwalacza i znajduje się pod Parametry do powiadomień.

Parametry do powiadomień

Operacje na pliku

%DateTime% Data i czas zdarzenia %ComputerName% Nazwa komputera %UserName% Nazwa zalogowanego użytkownika %ProcessName% Nazwa procesu %ProcessPath% Ścieżka do katalogu procesu %FileName% Nazwa pliku %FilePath% Ścieżka do katalogu pliku %OldFileName% Poprzednia nazwa pliku %OldPath% Poprzednia ścieżka do katalogu pliku %FileSize% Rozmiar pliku (w bajtach) %Operation% Wykonana operacja %DriveType% Typ nośnika danych

Zrzut ekranu

%DateTime% Data i czas zajścia zdarzenia %ComputerName% Nazwa komputera %UserName% Nazwa zalogowanego użytkownika

Kopiowanie

%DateTime% Data i czas zajścia zdarzenia %ComputerName% Nazwa komputera %UserName% Nazwa zalogowanego użytkownika %ProcessName% Nazwa procesu, w którym dokonano operacji kopiowania %ProcessPath% Ścieżka katalogu procesu %Format% Format odczytanych danych (np. tekst, obraz, plik) %Size% Rozmiar danych (w bajtach) %Title% Tytuł aktywnego okna w momencie kopiowania

Przekroczenie czasu pracy

%DateTime% Data i czas zdarzenia %ComputerName% Nazwa komputera, na którym wykryto naruszenie %UserName% Nazwa zalogowanego użytkownika

Podłączenie pamięci USB

%DateTime% Data i czas zajścia zdarzenia %ComputerName% Nazwa komputera %UserName% Nazwa zalogowanego użytkownika %IDPENDRIVE% Identyfikator pendrive (np. numer seryjny urządzenia) %FileSystem% System plików (np. NTFS, FAT32) %Encryption% Status szyfrowania urządzenia

Podłączenie urządzenia

%DateTime% Data i czas zdarzenia %ComputerName% Nazwa komputera %UserName% Nazwa zalogowanego użytkownika %DeviceName% Nazwa podłączonego urządzenia %DeviceStatus% Status urządzenia (np. włączone, wyłączone) %ActionStatus% Status wykonania akcji (np. powodzenie lub błąd operacji włączenia/wyłączenia urządzenia)

Uruchamiane procesy/Aplikacje

%DateTime% Data i czas zdarzenia %ComputerName% Nazwa komputera %UserName% Nazwa zalogowanego użytkownika %ProcessName% Nazwa procesu, którego dotyczy zdarzenie %ProcessPath% Ścieżka katalogu procesu %ParentProcessName% Nazwa procesu nadrzędnego, który uruchomił lub zamknął dany proces %ParentProcessPath% Ścieżka katalogu procesu nadrzędnego %Operation% Wykonana operacja (np. „Uruchomienie” lub „Zamknięcie”)

Przeglądane strony WWW

%DateTime% Data i czas zdarzenia %ComputerName% Nazwa komputera %UserName% Nazwa zalogowanego użytkownika %ProcessName% Nazwa procesu, w którym odwiedzono stronę %ProcessPath% Ścieżka katalogu procesu %http% Adres odwiedzonej strony WWW %c% Kategoria odwiedzonej strony WWW

Wysyłanie pliku

%DateTime% Data i czas zdarzenia %ComputerName% Nazwa komputera %UserName% Nazwa zalogowanego użytkownika %ProcessName% Nazwa procesu (dotyczy aplikacji chmurowych i „Inne”) %FileName% Nazwa przesyłanego pliku %FilePath% Ścieżka katalogu, z którego przesyłany jest plik

Podłączanie do sieci

%DateTime% Data i czas zdarzenia %ComputerName% Nazwa komputera %UserName% Nazwa zalogowanego użytkownika %SSID% SSID (nazwa sieci) %BSSID% BSSID (adres MAC punktu dostępowego) %Auth% Algorytm autoryzacji (np. WPA2-PSK) %Cipher% Algorytm szyfrowania (np. AES) %Channel% Kanał, na którym działa sieć %Quality% Jakość sygnału wyrażona w procentach [%]

Drukowanie

{p:date} Data zajścia zdarzenia {p:user} Użytkownik {p:pagelimit} Limit stron {p:perhours} W czasie [godz.] {p:pagecount} Liczba wydrukowanych stron

Transfer sieciowy

{p:date} Data zajścia zdarzenia {p:hostname} Nazwa komputera {p:ip} Adres IP komputera {p:user} Nazwa zalogowanego użytkownika {p:periodofminutes} Okres monitorowania (w minutach) {p:filecount} Liczba skopiowanych plików

Podsumowanie

  1. Warunki wysyłania powiadomień:

    • Powiadomienia są wywoływane zgodnie z zasadami skonfigurowanej reguły, tj. po wystąpieniu zdarzenia zdefiniowanego w wyzwalaczu.

  2. Praktyczne zastosowanie:

    • Powiadomienia pomagają w szybkim wykrywaniu incydentów i ich raportowaniu.

    • Alerty dla użytkowników końcowych mogą być wykorzystywane jako narzędzie edukacyjne, uświadamiające pracowników o politykach bezpieczeństwa.

Szczegółowy opis parametrów i przykładów zastosowania znajduje się w sekcji Case Study.

WsteczWyrażenia regularneDalejLogi DLP (Dzienniki)

Ostatnia aktualizacja

Czy to było pomocne?