事件是一个记录,记录关于检测到的疑似数据泄露相关联的应用程序事件。
当消息内容与类别数据和所有策略中指定的标准相匹配时,DLP 模块生成一个事件说明违反了这一策略。依据一些策略,如果消息违反信息安全,DLP模块 生成几个匹配已违反的策略数量的事件。
每个事件包含事件对象的信息(导致信息安全违反的消息),消息发送方和接收方,被违反的策略,服务信息,比如事件 ID 和 生成事件的时间。
安全人员处理已被应用程序创建的事件。事件处理可能涉及,例如,违反记录以及可能的技术和组织措施,以提高机密数据的保护。
事件状态
事件状态反映了事件处理的阶段。当生成一个事件,它被分配的新状态标签。安全人员通过事件处理更改事件状态。安全人员分配一个关闭(<原因>)状态值给事件时,事件处理结束。
事件状态
状态 |
类型。 |
值 |
|---|---|---|
新 |
打开 |
新事件。事件处理还没有开始。 |
处理中 |
打开 |
一个事件的调查正在进行中。 |
已关闭(已处理) |
已关闭 |
这一事件已经成功处理,并已采取必需的措施。 |
已关闭(误报) |
已关闭 |
违反了策略,但受保护的数据的传输是合法的。没有违反信息安全。策略设置可能需要修改。 |
已关闭(不是一个事件) |
已关闭 |
违反了策略,但受保护的数据的传输是由一个特殊的授权。不需要额外的操作。 |
已关闭(其他) |
已关闭 |
其他原因的事件已经关闭。 |
事件优先级
事件优先级反映需要紧急处理的事件。在生成事件时应用程序分配一个事件优先级(低、中 或 高)。优先级分配是基于已经违反了策略的设置的指定的值。
事件存档
关闭事件可能放置在一个档案。事件被放在一个档案被称为存档事件。事件放置存档时,事件将从事件列表中删除。如有必要,您可以 恢复事件存档 并在事件列表中查看它们。
事件存档使用特殊的 bak 格式的扩展名。您可以创建无限数量的事件档案。
存档可以帮助定期释放事件列表中,删除关闭的事件,从而优化事件数据库体积,而不会丢失事件生成和处理的历史记录。
统计报表
这个应用程序显示新事件,事件处理,关闭事件的统计。此信息有助于评估数据保护状态,以及安全人员的表现。此信息也可以用于生成报告。