DLP 会定期从 Skyhigh Security Cloud 中提取 Skyhigh 事件,并将其显示在 DLP 事件管理器中。 某些 Skyhigh 事件属性使用的名称不同于 DLP 事件管理器中事件属性使用的名称。 本文将 Skyhigh 事件属性映射到其 DLP 事件管理器等同于,确保 DLP Endpoint、DLP Prevent 或 Skyhigh Cloud Security Service 触发的所有 DLP 事件之间的一致性。
根据以下条件,Skyhigh 事件分为三种类型的 DLP 事件:
- 报告为"按需扫描"活动的 Skyhigh 事件在 DLP 事件管理器中的Data at rest (Network)部分显示为Discovery Incident(发现事件)。
- 任何未报告为按需扫描活动、服务名称为 Microsoft Exchange Online 或 Gmail 的任何 Skyhigh 事件都在 DLP 事件管理器中的 Data in-use/motion部分显示为Email Protection Incident(电子邮件保护事件)。
- 所有其他 Skyhigh 事件在 DLP 事件管理器中的 Data in-use/motion 部分下显示为 Cloud Protection Incident(云保护事件)。
Skyhigh 和 DLP 产品具有不同的事件条件,这些条件根据以下逻辑进行映射:
Skyhigh 事件属性名称 |
DLP 事件属性名称 |
规则集
在 Skyhigh 中不适用 |
规则集
所有 Skyhigh 事件标记为"Skyhigh 导入的规则。 |
事件类型
在 Skyhigh 中不适用 |
事件类型
有关不同事件类型的说明,请查看上述部分。 |
策略 |
Skyhigh 策略 值等同于 DLP规则名称。 |
策略–
在 Skyhigh 中不适用。 |
策略– DLP 使用此 ePO 术语的方式与其他 McAfee 托管产品在 ePO 策略目录上使用此术语的方式相同。
ePO 中的策略是一组配置,会推送到端点系统上托管产品。 对于 DLP,"策略"列表包含 DLP 规则集以及一些其他配置(推送到 DLP Prevent、DLP Monitor 和所有其他 DLP 产品)。 |
实际操作
在 Skyhigh 中不适用 |
实际操作
表示针对违反的项目执行的初始操作。 |
上次响应 |
用户对 Skyhigh 事件做出的每个响应或更改都会反映在审核日志选项卡中(位于 DLP 事件详细信息页面中)。 |
严重性 |
严重性
Skyhigh 严重性低-> DLP 严重性警告
Skyhigh 严重性中-> DLP 严重性次要
Skyhigh 严重性高-> DLP 严重性主要 |
外部 ID
在 Skyhigh 中不适用 |
外部 ID
提供指向 Skyhigh 控制台的链接。 |
上次更新 |
修改日期 (UTC)
可在审核日志选项卡下找到,表示对事件所做的更改。 |
用户 |
用户主要电子邮件
用于标识执行违规的最终用户的电子邮件地址。 |
所有者 |
审查人
分配给事件的所有外部用户(Skyhigh 用户)。 |
电子邮件内容
已发送、发件人、收件人、抄送、密件抄送、主题 |
其他信息
发生时间(UTC)、发件人、收件人、抄送、密件抄送、主题 |
内容
项目名称、项目类型、路径、大小、创建时间 |
所有名为证据的报告内容项目(在 DLP 事件管理器中,位于证据选项卡下)。
证据名称、项目类型、路径、文件大小(KB)
创建时间 - DLP 中无此项。 |
匹配 |
证据选项卡
匹配计数–反映匹配项的数量
短匹配字符串–显示 Skyhigh 匹配部分中显示的突出显示文本。 |
扫描
扫描名称、扫描运行日期 |
此信息仅与按需扫描事件相关。
信息显示在"常规详细信息"部分下,如"扫描名称","扫描开始(UTC)" |