DataSecurity Plus
DSP的域和工作组中可以添加对应工作组,但是文件审核模块无法识别出来,怎么处理?
无法识别出来的根源是添加的工作站(windows7,8,10等非windows server),这些可以在终端DLP模块审计到.文件审计模块尽可添加windows server
审计到的日志没有路径怎么回事儿?
问题:审计到的日志如下图没有路径怎么回事儿? 方案: 对于审计的文件,DSP需要具有该文件的“系统”权限才能获取其“本地路径”。如果没有该权限,它将显示“文件名”。以下图方式对文件进行检查:
如何重置密码?(最新)
重置密码步骤: 1.登录到 DataSecurity Plus 服务器 > 打开 <DataSecurity Plus Installation folder>\Bin (For Ex: C:\Program Files (x86)\ManageEngine\DataSecurity Plus\Bin) 2.执行 resetDSPPassword.bat 命令 3.按任意键继续 4.输入 "dsp" 作为用户名,输入 "dsp" 作为密码 5. 输入 "account ...
DSP 支持的文件类型
附件为 DSP 可以审计到的文件类型。其他文件类型可加,如果有特别文件类型需要审计,可反馈到支持组。
DSP 迁移流程
根据下面链接指导,我们可以: 1. 将DataSecurity Plus从一台服务器或驱动器迁移到另一台服务器或驱动器。 2. 将DataSecurity Plus从32位架构迁移到64位架构。 3. 迁移DataSecurity Plus以及对数据库进行恢复。 链接:https://www.manageengine.com/data-security/help/guides/migration-guide.html
DSP 使用“最小权限”配置
1.可以按照以下文档创建最低权限服务帐户:https://www.manageengine.com/data-security/help/qs/minimum-privileges-required.html 2. 手动安装代理并确保以下端口开放:https://www.manageengine.com/data-security/help/qs/default-port-configuration.html
邮箱服务器配置方式
如何阻止用户复制文件,打印文件?
文档参考:https://www.manageengine.com/data-security/how-to/protect-files-from-copying.html?source=dspresource https://www.manageengine.com/data-security/how-to/prevent-data-leakage.html?source=dspresource
在只有添加工作组的环境下,终端工作站添加报错:Couldn't start remote service 解决方法
在只有工作组没有域的情况下,添加终端DLP要审核的工作站时,如果产品UI界面出现如下报错时: 解决方法: 1. 检查防火墙是否已开启;如果开启,要打开DSP指定的端口。 2. 检查防病毒软件,要确保任务管理器中没有任何防病毒进程在运行。
DSP服务器 Ping 通其他“主机名”的方式
以下方式可以帮助服务器 Ping 通 其他“主机名(hostname)"https://www.liquidweb.com/kb/edit-host-file-windows-10/
在UI报表中有中文翻译,无论以何种格式导出后都仍为英文。
问题: 1. 在UI报表中有中文翻译,无论以何种格式导出后都仍为英文。 通过以下补丁来修复,请按下面步骤应用补丁程序: Step1: 停止Data Security Plus的服务器。 Step2: 导航到<安装目录> \ Manage Engine \ Data Security Plus \ Lib(将现有的ManageEngineFAPServer.jar移动到备份的位置。) ...
DSP中如何添加一些文件类型到办公文件类别或其它类别?
可以通过在如下位置设置:
DSP文件分析功能为什么会比文件服务器实际使用少一些?比如:文件服务器显示使用7.97TB,DSP显示7.96TB
我们跳过扫描一些平均占驱动器10%左右的元信息:We skip scanning some meta information which on average is 10% of the drive.
使用DSP速度慢与自动终止问题解决方案
请按以下图片方式操作: —在如下图片文档中修改— 1. 解决使用产品中“速度慢”的问题。 2. 解决使用产品中“自动停止”的问题。
DSP-风险分析中的风险评分分数和数据置信度如何判断?
风险评分分数决定因素:违规次数、违反的策略、规则、文件中内容数据量等; 数据置信度决定因素:根据正则表达式的准确性以及数据违反的规则的校验和来决定的;
DSP针对Windows 2008系统无法安装代理或者安装代理后无数据,如何解决?
https://www.catalog.update.microsoft.com/Search.aspx?q=4474419 需要根据以上链接打补丁
DSP仪表板可以编辑或者自定义吗?
1.可在如下界面对于内置仪表板进行编辑或者删除: 2.如果想添加其它的报表到仪表板,可以在对应报表以下位置添加,也可编辑显示的天数:
DSP-定期删除长时间未使用的旧文件
DataSecurity Plus可以多维度分析文件情况(如大小、访问时间、创建时间、权限等),对那种半年或者一年都未访问的文件,一般默认为“睡眠文件”,可以实现定期删除吗? 可以。 -例如现有一年以内都没有访问过的文件(这里方便测试,所以用用户名定位了5个特殊文件) -现在配置一个告警(告警中可以启用只是告警,也可以同时启用删除发现的文件。请注意如果选择删除,没有恢复选项,回收站也没有。一旦删除不可恢复。) -然后制定一个计划,定期扫描执行即可。
DSP中垃圾文件是如何定义的?可以修改标准吗?
1.垃圾文件即旧文件(基于访问时间),重复文件,非商业文件的总和,如下图所示: 2.修改标准如下图位置:
DSP-SIEM集成转发的syslog是哪些日志?
转发的是文件审核(File Audit)和技术员(Technicians)的审核日志:
DSP-代理显示运行正常但是数据同步不过来?
当DataSecurity Plus服务器或者审核的文件服务器所处的环境中网络发生更改时,可能会出现服务器之间是互通的状态,产品运行正常以及Agent运行也正常,但是就是没有最近的数据同步过来。 出现这种情况,请先参考https://support.manageengine.cn/portal/zh/kb/articles/dsp%E5%AE%89%E8%A3%85dai-l保证RPC和HTTP通讯没问题。 然后点击“管理代理”,点击“立即同步”,看报表中有没有数据同步过来。 ...
DSP安装代理后显示http通信失败怎么办?
产生原因:"超过24小时没有可用的HTTP通信"错误的两个常见原因: 1.代理无法将数据转发到DataSecurity Plus服务器。 2.代理属性与相应的服务器属性不匹配。 解决方案: 1.检查代理是否能够将事件数据转发到DataSecurity Plus服务器。 1)登录到文件服务器,确保文件服务器能够ping DataSecurity Plus服务器。 2)通过web浏览器(我们建议使用Internet Explorer或Edge)输入 ...
DSP-6052Build中Dashboard 界面-修改top 5到top 10-不起作用?
DataSecurity Plus6052Build中,在Dashboard界面,修改图表的Top*显示不管用的问题,可暂时通过补丁包进行修复,该补丁包目前只针对最新的6052Build,也会在下个Build中修复。 补丁包下载链接: https://downloads.zohocorp.com/dnd/DataSecurity_Plus/dMw7rZAkhyfQBAt/ManageEngineFAPServer.jar 步骤: -停掉 "ManageEngine DataSecurity ...
DSP-apps\dataengine-xnode\data\main\violated-files文件夹占用太多磁盘空间
优化方案:附件Patch for strict Regex to avoid false positives,步骤和说明都包含在附件中。 (该Patch为内部测试的,还未正式发布。) 如果不想继续使用风险分析功能,不建议直接把这整个文件夹删除,请按照以下步骤腾出空间: 1.先停掉产品; 2.在以下路径,手动删掉对应的文件: \apps\dataengine-xnode\data\main\violated-files\RAViolationRecords ...
DSP-6052Build文件分析中禁用文件服务器后无法再次启用的问题已修复
Issue description: 如下图,禁用后再次启用时会报错: Solution: 附件为补丁,按照如下步骤应用该补丁: Stop the "ManageEngine DataSecurity Plus" service Navigate to <Installation_Folder>\ManageEngine\DataSecurity Plus\lib Create a folder as jarbak outside the lib folder Rename the file ...
DSP-6052Build中点击‘注销’无反应的问题已修复
DataSecurity Plus最新的6052Build中,用户登录后点击‘注销’没有反应。 针对该问题,请下载附件中的补丁替换以下两个文件: <产品安装文件夹>\ManageEngine\DataSecurity Plus\Webapps\fap\javascript中的vendor.min.js文件; <产品安装文件夹>\ManageEngine\DataSecurity Plus\Webapps\fap\WEB-INF中的struts-config.xml文件; ...
DSP-告警机制中启用的脚本,有参考的脚本样本吗?
对于告警机制中,如果用户或某事件触发了某个配置的告警文件,需要采取响应措施,如用户在短时间内大量拷贝或更改或访问公司文件服务器上的重要文件,一旦达到某阈值,可以启用脚本立即锁定该账户等措施。 请在如下路径找到产品内置的几个脚本,供用户参考,实际环境中的脚本需要用户自己根据需求写的: 建议把该文件拷贝出去改为txt文件再查看,不建议直接双击打开看。
DSP-文件审核报表中“进程名称”字段值有时候为"-"?
如下图,对于进程名称这个字段,发现有些是有值的有些是“-”,什么意思呢? 如果是通过网络共享访问的文件,那该字段值会显示横线,不涉及到本地进程; 如果是本地或者RDP,那会显示实际的进程名称,如下图:
DSP-风险分析支持日语等语言的内容发现和分析吗?
(整个DataSecurity Plus产品UI支持中英文两种语言环境)。 对于风险分析模块,支持中文、英文或任意其他第三种语言,无论是正则表达式还是关键字匹配。 (匹配到的文件内容会正确显示,其他不匹配的上下文内容会显示“假的内容”,即只显示匹配规则的那一部分文件内容。) 如下图所示:
DSP-支持集群共享及共享子文件夹审计吗?
DataSecurity Plus支持集群共享审计,在文件审核的集群配置处配置好集群以及节点即可。 (一)目前Shares审计直接添加即可; (二)Shares中的subfolders审计两种方法: 方法1:在文件服务器处添加每个节点,然后选择共享的某subfolder审计;此种情况下,如果共享漂移了,那审计的event的entries在产品UI中也会跟着漂移,很正常;通俗讲,DSP中查数据时会发现events有时候在这个节点,有时候在那个节点。 ...
DSP-如何删除‘文件分析’中‘按需报表’下配置的路径记录
如下图,该需求已提交研发团队,未来在产品UI内会实现一个勾选框,供用户删除配置的路径记录: 目前,也可以通过数据库执行语句进行删除(请勿在数据库执行其他语句或操作): 1.打开“协议://IP地址:端口号/index.do#/4/config/admin/RunQuery”进入产品的数据库: 2.执行以下语句(单引号里面local path换成复制的本地路径下的路径记录): DELETE FROM DspCustomFoldersDetail WHERE LOCAL_PATH='local ...
DataSecurity Plus-普通域用户权限可以配置产品并正常使用吗?
DataSecurity Plus是一款轻量级的产品,其中文件审计模块可以审计文件服务器上的文件/文件夹的所有活动。 在很多大型企业中,尤其是外企,一般国内的公司是拿不到域管理员(Domain Admin)的权限,那也可以实现DSP配置。 “需要将产品中提供的普通域用户(如图1)加入到要被审计的文件服务器的本地管理员组(Local Administrator group)(如图2),或者最低权限到本地的Power Users组(如图3)” 图1: 图2: 图3:
DataSecurity Plus-如何配置实现定期给管理员发送某共享文件夹或子文件夹的读取记录?
例如,对于某共享文件夹(Share Folder-郭婷婷)下的子文件夹(Know Me),管理员需要知道每天都有哪些用户对该文件进行了访问、读取或者其他操作。 因为子文件夹(Know Me)是某个共享文件夹下的子文件夹,可以专门自定义一个报表,审核所有该文件夹上的活动; 然后通过配置计划,实现定期向管理员发送关于该文件夹的用户活动的一个文件列表,如下图:
DataSecurity Plus-产品升级步骤
AD+很多产品升级步骤差不多,下面以DataSecurity Plus产品举例,以6045Build升级到6050Build为例: 1.停止DataSecurity Plus产品服务; 2.务必做产品备份,以防升级失败:直接对DataSecurity Plus整个安装文件夹做个副本备份,虚拟机环境也可以做快照; 3.下载6050Build的Service Pack升级包,网址是https://www.manageengine.com/data-security/service-pack.html ...
DataSecurity Plus-文件审核-旧数据的处理方式?
文件审核中获取的数据(log)会存在产品内置的数据库(PGSQL)中,如果启用了归档,那当早与归档天数的数据会从数据库删除掉,同时会被归档到归档文件夹。 举例,如下图,归档数据的天数和归档路径用户可以根据审核的文件服务器的数据量进行自定义: 如果某天需要查看已被归档的旧数据,那需要在恢复归档那里再选中被归档的数据文件,点击“加载/Load”,不需要查看了就再点击“卸载/Unload"即可。
DataSecurity Plus数据库备份和修复
Database backup: - 先停掉DataSecurity Plus产品的服务; - 打开cmd命令窗口(以管理员运行),导航到产品的bin目录下(安装路径下\ManageEngine\DataSecurity Plus\bin): 运行startDB.bat,然后运行完成后,再执行backupDB.bat; - 一个名称为“Backup”的文件夹会自动创建在”安装路径下\ManageEngine\DataSecurity Plus“文件夹中。 Database restore: - ...
DataSecurity Plus不工作时的用户的操作日志会被收集到吗?
DSP是基于Agent的方式收集日志数据的,所以文件服务器上的代理是工作状态,那就能获取到文件服务器上用户对文件的操作记录,这时就算DSP产品本身没启动或者不在工作状态,只要Agent获取到了,那产品再启动时,Agent会把获取到的日志数据同步到产品里。 所以,如果需要审计的文件服务器的Agent没有工作,那操作日志就收不到了。 跟Agent有关系,跟产品运行不运行关系不大,只要Agent能获取到,产品一启动,Agent就会同步数据到产品。
当被管理的文件服务器是集群时,DataSecurity Plus如何收费?
还是按照文件服务器的数量进行许可的。
关于备份DataSecurity Plus产品
备份产品还是吧备份数据库? 备份产品:如果想备份整个产品的所有配置信息和数据,那就备份整个DSP安装文件夹(虚拟机环境也可做快照)。 备份DB:只备份数据库里存的”产品配置信息“和“文件审核”的数据。 但是我们总是建议客户备份产品文件夹,尤其是在升级产品前和服务器所在环境有大的改动前,更建议备份产品而非只是备份数据库。当然,如果备份了整个产品的文件夹,那数据库备份就不用再单独做了,已经包含了。 ...
DataSecurity Plus的终端DLP中的“进程限制”预防策略
“进程限制”预防策略如果配置了,那在配置一组策略的时候会出现;反之,如果没有配置,则在配置“策略设置”时不会出现; 解释如下: - 如果没有配置进程策略: - 如果配置了进程策略:
Next page