说明:
iOA 零信任安全管理系统(SaaS)11.1.1版本灰度发布中,当前暂未全量更新。
员工将敏感文件加密/压缩/改文件后缀名后外发,是否能被检测到?
说明:
目前仅支持检测加密的压缩包、Office 文档、PDF 文件,针对加密文件的正文内容暂时不作识别。
如何确保 iOA 检测进程正常运行,无法被用户手动关闭?
iOA 默认开启自保护功能,且默认情况下用户无法关闭自保护功能,因此终端用户无法手动终止 iOA 进程。
对应控制台的策略配置如下:
1. 在客户端管理 > 客户端策略页面,选择客户端自保护,单击新建策略 > 客户端自保护开关设置,开启客户端自保护,可防止木马恶意破坏。
该配置项以及对应客户端的界面表现如下:
若勾选允许客户端修改设置:自保护设置以客户端设置为准,用户在客户端可手动修改是否开启/临时关闭自保护。
若取消勾选(不勾选)允许客户端修改设置:自保护设置以控制台设置为准,客户端自保护按钮置灰,用户无法手动修改/设置客户端自保护模式。
如何针对员工外发的敏感文件取证分析?
1. 外发文件备份:默认情况下,触发的 iOA DLP 模块检测的敏感文件或敏感剪贴板内容均会上传至临时存储空间(10G),另外 iOA 支持对接自购的腾讯云 COS 桶或支持 S3协议的存储服务,可根据实际需求开通 对象存储 COS。
2. 截屏取证:分别在外发动作发生的第一时间和之后2秒,4秒截取三张屏幕截图,用于事后取证分析,截屏取证配置参见文档管控策略。
3. 查看外发详情:在风险调查 > 行为审计页面, 选择告警,单击操作列的详情,查看外发的原文件和操作截屏。
如何检测剪贴板或截图文件内容?
iOA 支持剪贴板中敏感文字和屏幕截图的识别和检测,针对屏幕截图会使用 OCR 技术提取文字内容并检测是否包含敏感信息。
