创建和管理警报规则
这篇文章是给谁看的?
Incydr专业,企业,地平线和政府F2
Incydr基础,高级,和政府F1
老师,不。
Incydr Professional, Enterprise, Horizon和Gov F2,是的。
Incydr基础,高级和Gov F1,是的。
概述
属性配置警报规则管理规则屏幕上。警报规则监视组织已识别为危险的活动,并定义在活动发生时通知的用户。在规则中,您还可以定义阈值和严重性,以帮助确定重要数据何时可能离开公司。betway88help
创建警报时,它将显示在警报>检查警告屏幕上。
注意事项
在开始之前
在创建警报规则之前,请仔细识别对组织构成真正风险的行为。创建一个规则来监视(例如)所有风险严重程度的每个文件类别是很有吸引力的,但是过于宽泛的规则可能会导致通知过载和太多信息,无法找到真正的泄露风险。
制定有意义和有重点的规则:
- 确定哪些信息对您的组织构成了最大的风险。例如,也许源代码文件是您组织中最有价值的知识产权,您希望在此类文件移动到可信任边界之外时收到警报。或者也许计算机辅助设计(CAD)或绘图文件对你的公司至关重要。betway88help中的用例和示例警报规则设置参考而且推荐规则参考有关如何识别组织中最有价值的业务数据的想法。
- 使用风险设置和严重程度来确定这些数据对你有多重要。例如,如果您的业务运行在电子表格上,并且知道它们何时被公开共享是至关重要的,那么您可以为所有风险严重程度为中等或以上的电子表格文件设置一个规则。
- 设置信任的活动确定企业边界,促进员工和业务伙伴之间的重要合作。警报规则仅通知您在这些边界之外的不受信任位置上发生的活动,这些位置对您的组织构成了真正的风险。
- 请记住,Code42自动监控所有目标和泄露向量上的活动。添加目的地设置当您希望将通知过滤到仅在那些选定的目的地上发生的活动时,指定到规则。
创建规则
您可以通过几种方式创建新规则:从模板、从头开始、从监视列表或通过复制和修改现有规则。
使用模板
为了让您启动并运行,Code42包含了一些预配置的规则模板包含推荐设置的。您可以从这些模板快速创建规则,修改默认设置以匹配您的需求和环境。
- 登录到Code42控制台.
- 去警报>管理规则.
- 下推荐规则,选择要用作起点的模板。选择要使用的推荐规则后,将X的第一步面板打开并显示该模板中使用的预配置设置。
- 如果要使用的推荐规则已经出现在列表中,请单击其名称。
- 否则,单击查看所有建议查看所有推荐的规则,然后单击规则名称。
- 检查告警规则设置并根据需要添加更多设置。点击下一个当你完成时。
- 如果你有Code42指导员产品计划或者一个Incydr产品计划其中包括Code42 Instructor,当用户的风险活动触发此警报规则时,选择通过Slack或电子邮件发送的课程。
点击查看讲师课程打开Code42讲师并查看有关可用课程的更多信息。- (可选)如果用户重复相同的风险活动,则更新课程发送的频率。
- (可选)选择一旦发送了教训,就解除警报.
- 点击下一个.
- 输入根据此规则创建的警报通知使用的电子邮件地址,用逗号分隔。点击下一个当你完成时。
当警报被触发时,Code42就文件活动向这些收件人发送电子邮件。如果您不输入任何电子邮件地址,Code42不会发送任何电子邮件,但仍会收集有关触发警报的文件活动的信息。中查看这些通知检查警告表格 - 输入规则名称和描述。点击保存当你完成保存新规则。
- 检查规则的设置、操作和通知,然后关闭查看规则面板。
从头创建规则
- 登录到Code42控制台.
- 去警报>管理规则.
- 点击创建规则.
- 当Create规则面板打开时,单击警报规则设置,将其添加到规则中。
- 选择要用于规则中该设置的选项,然后单击保存.
X面板的第1步打开并总结新规则的标准。 - 检查新规则的标准,并根据需要添加更多设置。点击下一个当你完成时。
- 如果你有Code42指导员产品计划或者一个Incydr产品计划其中包括Code42 Instructor,当用户的风险活动触发此警报规则时,选择通过电子邮件或Slack发送给用户的课程。
点击查看讲师课程打开“讲师”并查看有关可用课程的更多信息。- (可选)如果用户重复相同的风险活动,则更新课程发送的频率。
- (可选)选择一旦发送了教训,就解除警报.
- 点击下一个.
- 输入根据此规则创建的警报通知使用的电子邮件地址,用逗号分隔。点击下一个当你完成时。
当警报被触发时,Code42就文件活动向这些收件人发送电子邮件。如果您不输入任何电子邮件地址,Code42不会发送任何电子邮件,但仍会收集有关触发警报的文件活动的信息。中查看这些通知检查警告表格. - 输入规则名称和描述。点击保存当你完成保存新规则。
- 检查规则的设置、操作和通知,然后关闭查看规则面板。
为监视列表创建规则
- 登录到Code42控制台.
- 去用户活动>观察名单中.
- 单击已存在的监视列表。你也可以添加一个新的,如有需要。
监视列表打开。 - 2 .在界面右上方,单击以下操作之一:
- 如果尚未将警报添加到监视列表,请单击添加警报.
- 如果警报已添加到监视列表,请单击编辑提醒.
- 做以下其中一件事:“创建规则:3步中的第1步”面板将在一个新选项卡中打开,并总结新规则中使用的设置。
- 点击视图要从推荐的监视列表警报模板之一创建包含此监视列表的规则。
- 点击创建新警报创建使用其他警报规则设置的规则。
- 检查告警规则设置并根据需要添加更多设置。点击下一个当你完成时。
- 如果你有Code42指导员产品计划或者一个Incydr产品计划其中包括Code42 Instructor,当用户的风险活动触发此警报规则时,选择通过电子邮件或Slack发送给用户的课程。
点击查看讲师课程打开“讲师”并查看有关可用课程的更多信息。- (可选)如果用户重复相同的风险活动,则更新课程发送的频率。
- (可选)选择一旦发送了教训,就解除警报.
- 点击下一个.
- 输入根据此规则创建的警报通知使用的电子邮件地址,用逗号分隔。点击下一个当你完成时。
当警报被触发时,Code42就文件活动向这些收件人发送电子邮件。如果您不输入任何电子邮件地址,Code42不会发送任何电子邮件,但仍会收集有关触发警报的文件活动的信息。中查看这些通知检查警告表格. - 输入规则名称和描述。点击保存当你完成保存新规则。
- 检查规则的设置、操作和通知,然后关闭查看规则面板。
复制并修改现有规则
- 登录到Code42控制台.
- 去警报>管理规则.
- 在规则列表中,找到要复制的规则。
- 点击行动并选择复印一份.
3个面板中的第1步打开并总结复制规则的条件。 - 检查新规则的标准,并根据需要添加更多设置。点击下一个当你完成时。
- 如果你有Code42指导员产品计划或者一个Incydr产品计划其中包括Code42 Instructor,当用户的风险活动触发此警报规则时,选择通过电子邮件或Slack发送给用户的课程。
点击查看讲师课程打开“讲师”并查看有关可用课程的更多信息。- (可选)如果用户重复相同的风险活动,则更新课程发送的频率。
- (可选)选择一旦发送了教训,就解除警报.
- 点击下一个.
- 输入根据此规则创建的警报通知使用的电子邮件地址,用逗号分隔。点击下一个当你完成时。
当警报被触发时,Code42就文件活动向这些收件人发送电子邮件。如果您不输入任何电子邮件地址,Code42不会发送任何电子邮件,但仍会收集有关触发警报的文件活动的信息。中查看这些通知检查警告表格. - 输入规则名称和描述。点击保存当你完成保存新规则。
- 检查规则的设置、操作和通知,然后关闭查看规则面板。
编辑规则
- 登录到Code42控制台.
- 选择要编辑的规则。
- 更新规则设置,如有需要。点击保存当你完成时。
- 如果你有Code42指导员产品计划或者一个Incydr产品计划其中包括Code42讲师,单击编辑下行动当用户的风险活动触发这一警告规则时,将课程更改为通过电子邮件或Slack发送给用户。
点击查看讲师课程打开“讲师”并查看有关可用课程的更多信息。- (可选)如果用户重复相同的风险活动,则更新课程发送的频率。
- (可选)选择一旦发送了教训,就解除警报.
- 点击下一个.
- 下通知,点击编辑如果需要,更新用户的电子邮件地址,将向其发送警报通知。点击保存当你完成时。
- 单击,可修改名称或描述行动并选择编辑名称和描述,然后进行更改,并单击保存.
- 关闭查看规则面板。
禁用规则
禁用规则可防止规则就其监视的可疑文件活动向您发出警报。
- 登录到Code42控制台.
- 去警报>管理规则并定位要禁用的规则。
- 单击启用列以禁用该规则。再次单击它以启用该规则。
“启用”列表示何时禁用规则或启用.
删除规则
删除规则将停止这些警报
删除规则将停止所有用户对该规则的所有警报。规则之前的任何警报通知都保留在Review Alerts表中。
删除规则将停止所有用户对该规则的所有警报。规则之前的任何警报通知都保留在Review Alerts表中。
- 登录到Code42控制台.
- 去警报>管理规则.
- 在规则列表中,找到要删除的规则。
- 点击操作并选择删除.
出现一个确认对话框。 - 点击删除规则.
该规则将从列表中删除,该警报的所有未来通知将停止。