员工将敏感文件加密/压缩/改文件后缀名后外发,是否能被检测到?
说明:
目前仅支持检测加密的压缩包、Office 文档、PDF 文件,针对加密文件的正文内容暂时不作识别。
如何确保 iOA 检测进程正常运行,无法被用户手动关闭?
iOA 默认开启自保护功能,且默认情况下用户无法关闭自保护功能,因此终端用户无法手动终止 iOA 进程。
对应控制台的策略配置如下:
1. 在 客户端管理页面,单击新建策略 > 客户端保护策略,开启客户端自保护,可防止木马恶意破坏。
该配置项以及对应客户端的界面表现如下:
若勾选允许客户端修改设置:自保护设置以客户端设置为准,用户在客户端可手动修改是否开启/临时关闭自保护。
若取消勾选(不勾选)允许客户端修改设置:自保护设置以控制台设置为准,客户端自保护按钮置灰,用户无法手动修改/设置客户端自保护模式。
如何针对员工外发的敏感文件取证分析?
1. 外发文件备份:默认情况下,触发了 iOA DLP 模块检测的敏感文件或敏感剪贴板内容均会上传至临时存储空间(10G),另外 iOA 支持对接自购的腾讯云 COS 桶或支持 S3协议的存储服务,可根据实际需求购买存储服务。
说明:
1. 需已开启数据安全策略 > 截屏取证中对应系统以及对应截屏通道。
2. COS 服务器需要有剩余存储空间,默认提供10G的临时存储空间。
2. 截屏取证:分别在外发动作发生的第一时间和之后2s,4s截取三张屏幕截图,用于事后取证分析。
3. 查看外发详情:在告警调查审计 > 行为审计页面, 选择目标文档外发的告警,单击操作列的详情,可以查看外发的原文件和操作截屏。
如何检测剪贴板或截图文件内容?
iOA 支持剪贴板中敏感文字和屏幕截图的识别和检测,针对屏幕截图会使用 OCR 技术提取文字内容并检测是否包含敏感信息。
