Symantec DLP用户操作使用手册

目录

第 1 章 第 2 章

概述 ............................................................................................................................... 2 登陆控制台及事件查看 ............................................................................................... 2

2.1 控制台登陆 ........................................................................................................................ 2 2.2 事件查看............................................................................................................................ 3 第 3 章 第 4 章

事件处理 ....................................................................................................................... 5 事件统计 ..................................................................................................................... 10

第 1 章 概述

本手册配合XXX信息泄露防护项目工作，提供管理员进行事件处理操作。适用对象为XXX安全管理员。

根据不同的项目阶段，操作方法会有所不同，管理员需要从项目组获取最新的使用手册。

第 2 章 登陆控制台及事件查看

2.1 控制台登陆

管理员使用本人终端登陆DLP系统控制台。控制台可以通过浏览器打开。请注意，以下浏览器版本可以用于登陆控制台：

■ Microsoft Internet Explorer 10 or 11

■ Mozilla Firefox 35, 36, 37.0.1, 44, 45, and Firefox Enterprise (ESR) 38.7, and45. 登陆具体步骤如下：

1） 打开浏览器，在地址栏中输入：https://10.11.1.40（IP地址），按回车或点击前往按钮。

如下图所示：

2） 输入正确的用户名和密码成功登陆后，控制台主页为预制的各部门DLP报告模板显示如

下图所示：

2.2 事件查看

管理员可以通过控制台中的“事件”页面查看所有本部门相关的敏感信息事件。在这里，你可以看到“网络”、“端点”、“发现”三个标签，这三个标签分别对应如下：

? 网络：用户通过邮件、网页邮件向互联网发送包含敏感信息而产生的信息泄漏事件。

此类事件需要管理员定期审核确认。

? 端点：终端在执行文件拷贝、上传、打印、刻录时出现的信息泄漏事件。此类事件

需要管理员定期审核确认。

? 发现：终端执行本地全盘或部分扫描时发现的敏感信息事件。终端通常不执行此类

操作，因此此类事件通常为空。

选择“网络”或“端点”类事件后，可以在控制台右侧找到此类事件的列表，如下图所示：

在事件的列表中： ? ? ? ? ? ? ?

第一列“类型”图标标识了事件的类型。

第二列标识了触发事件的文件名称、终端名称（IP地址）、用户信息。 第三列标识了事件发生的时间。

第四列标识了事件的ID以及触发的策略。

第五列标识了此事件和策略中关键字的匹配次数。 第六列标识了事件的严重级别。

第七列标识了事件的当前状态。当事件未经管理员确认前，其状态为“新建”；当管理员确认事件内容后，事件会根据处理的结果自动修改为不同的状态。例如：“已撤销”、“已解决”等等。

事件上方的过滤器可以按照管理员的需求进行过滤，并显示过滤的结果。过滤器可以通过上方的保存按钮进行保存。具体方法如下：

1） 选择需要的过滤条件，点击“应用”按钮。 2） 在过滤器上选择“保存”->“保存为”，输入保存的过滤器的名字，点击保存。 如下图所示：

每一个事件都可以点击进入以查看详细信息。事件的详细信息如下图所示：

在事件详细信息页面，可以看到事件更多的信息。例如：匹配到的具体内容，事件触发者的相关信息等等。

同时，在事件详细信息的上方，可以看到事件对应的处理操作。管理员后续可以根据审核的结果选择不同的处理操作。这些处理操作会修改事件状态，并邮件通知相关人员。 ? 误报，非敏感信息 ? 误报，业务需要 ? 敏感信息，核心商密 ? 敏感信息，非核心商密

第 3 章 事件处理

管理员需要每天登陆控制台对产生的事件进行核实和确认。

处理事件时，管理员需要打开事件的详细信息页面，查看策略匹配的内容。如有必要可以直接下载违规文件进行确认。根据确认的结果，选择对应的操作。如下图所示：