关于DataSecurity Plus产品审计服务器的文件复制和粘贴的情况说明
在DataSecurity Plus产品中有些用户反馈为什么文件审核功能审核不到服务器上的文件复制操作,反而粘贴操作可以审核到。
这取决于Windows系统中clipboard:
对于文件审核功能:审计到或审计不到某个(复制或粘贴)操作,取决于这个复制操作是记录在哪台设备的clipboard上产生的以及这台设备是不是在DataSecurity Plus中配置了;
请看以下几种情况:
(1)如果您是通过Network访问(\\fileserver\shares)访问文件服务器,然后从服务器复制文件到终端,那复制和粘贴记录都是本地终端上的;
(2)如果您是通过RDP访问文件服务器,然后从服务器复制文件到终端,那复制记录是在服务器上的clipboard,相应地粘贴事件是终端上的;
(3)如果您是通过Network(\\fileserver\shares)访问文件服务器,然后从本地复制文件到服务器,那本地clipboard有复制事件,相应地服务器上也会有粘贴事件;
所以:
(1)无论是域环境还是工作组环境,如果用户是通过网络共享方式访问文件服务器共享进行的复制操作,那么只有当访问的终端也在产品的终端DLP配置了,才会获取到相应的复制事件。
(2)文件审核中的复制报表只是针对文件服务器本地的复制操作或者RDP的操作(即进程不是-,有实际进程产生的情况)。
Related Articles
DataSecurity Plus-文件审核-旧数据的处理方式?
文件审核中获取的数据(log)会存在产品内置的数据库(PGSQL)中,如果启用了归档,那当早与归档天数的数据会从数据库删除掉,同时会被归档到归档文件夹。 举例,如下图,归档数据的天数和归档路径用户可以根据审核的文件服务器的数据量进行自定义: 如果某天需要查看已被归档的旧数据,那需要在恢复归档那里再选中被归档的数据文件,点击“加载/Load”,不需要查看了就再点击“卸载/Unload"即可。
关于DataSecurity Plus中的DataEngine XNode服务
关于DataSecurity Plus中的DataEngine XNode服务: 该服务主要是与文件分析和数据风险评估两个组件有关的服务;(与文件审核也有关系,文件审核性能优化) 文件分析和风险评估:每天扫描服务器,需要获取很多基于文件信息(甚至内容),而这些大量的信息对空间和资源占用要求非常高,所以不采取像文件审核的数据存储在数据库中的那种方式,而是存储在DataEngine中,而且相比数据库,DataEngine还能增强产品的可扩展性/伸缩性(就是搜索和检索数据会更快)。 ...
DataSecurity Plus-如何配置实现定期给管理员发送某共享文件夹或子文件夹的读取记录?
例如,对于某共享文件夹(Share Folder-郭婷婷)下的子文件夹(Know Me),管理员需要知道每天都有哪些用户对该文件进行了访问、读取或者其他操作。 因为子文件夹(Know Me)是某个共享文件夹下的子文件夹,可以专门自定义一个报表,审核所有该文件夹上的活动; 然后通过配置计划,实现定期向管理员发送关于该文件夹的用户活动的一个文件列表,如下图:
关于DataSecurity Plus产品中文件审计的两个报表-“N天后访问的文件”和“N天后修改的文件”
在DataSecurity Plus产品中,关于文件审计,有两个报表-“N天后访问的文件”和“N天后修改的文件”,如何理解? 如下图以“N天后访问的文件”举例: (1 )选择要查看的域中或工作组中的某台服务器; (2)对于这个文件->上次访问发生在什么时候; (如该服务器中C:\Users\Default\AppData\Local\Microsoft\Windows\WinX\的文件(夹)Group3,上次(即最近一次)访问的时间是Thursday, November 05, 2020 ...
DataSecurity Plus可以对域中的工作站进行审计吗?
在DataSecurity Plus产品中,有专门针对域中的工作站的终端数据泄露预防方案的组件:Endpoint DLP。 如下图对工作站的USB活动审计的举例: