更新时间:2024-12-17 GMT+08:00
分享

管理风险行为

OneAccess为企业提供账号异常行为检测功能,在设置的行为状态开启后,系统将按照设定的行为规则进行用户异常行为检测,当触发风险后,系统将实时发送风险告警提示。

异常行为分为四种类型:

  • IP异常:账号登录IP地址和常用IP不一致会触发风险。
  • 位置异常:账号登录位置和常用位置不一致会触发风险。
  • 设备异常:账号登录设备(浏览器,终端设备等)和常用设备不一致会触发风险。
  • 账号锁定:用户密码输入错误次数超过密码策略设置阈值,账号会被锁定并且触发风险。

当设置的行为触发风险后,系统按照选择的通知方式实时发送风险告警通知,有三种通知方式:邮件、短信和钉钉。

添加行为

  1. 登录OneAccess管理门户。
  2. 在导航栏中,选择安全 > 风险行为管理
  1. 在风险行为管理界面,单击添加行为”,并设置相关参数。

    表1 添加行为

    配置

    说明

    * 行为名称

    风险行为的名称。

    * 风险类型

    风险事件类型。可设置的风险类型有:异常位置、异常设备、异常IP和账号锁定。

    位置类型

    位置异常范围,根据位置类型选择的位置范围定义位置异常事件

    说明:

    仅当“风险类型”选择为“异常位置”时,才有该参数。

    * 次数配置

    之前登录常用的IP、设备和位置按次数设为默认值,不是默认值则为异常事件,会在风险事件和风险大盘展示和统计。

    说明:

    当风险类型选择为“账号锁定”时,不存在该参数配置,账号锁定功能依靠密码策略,用户错误密码输入次数超过密码策略的阈值,账号则被锁定并标记为风险事件,会在风险事件和风险大盘展示和统计。

    描述

    对于添加的行为进行说明。

  2. 单击“确定”,添加行为成功,风险行为管理列表中显示已添加的风险行为,可在“风险类型”进行筛选查询,便于后期对于已添加的行为进行管理。

编辑行为

  1. 登录OneAccess管理门户。
  2. 在导航栏中,选择“安全 > 风险行为管理”。
  3. 在待编辑的行为右侧“操作”列,单击“编辑”可重新设置该行为的配置。
  4. 单击“确定”修改完成。

删除行为

  1. 登录OneAccess管理门户。
  2. 在导航栏中,选择“安全 > 风险行为管理”。
  3. 在待删除的行为右侧“操作”列,单击“删除”。
  4. 在弹出框中单击“确定”删除该行为。

禁用风险行为

  1. 登录OneAccess管理门户。
  2. 在导航栏中,选择“安全 > 风险行为管理”。
  3. 在待操作的行为的“状态”列,单击
  4. 在弹出框中单击“确定”禁用该行为。

启用风险行为

设置的行为状态开启后,系统将按照设定的行为规则进行用户异常行为检测,当触发风险后,系统将实时发送风险告警提示。

  1. 登录OneAccess管理门户。
  2. 在导航栏中,选择“安全 > 风险行为管理”。
  3. 在待操作的行为的“状态”列,单击
  4. 在弹出框中单击“确定”启用该行为。

通知设置

当设置的行为触发风险后,系统按照选择的通知方式实时发送风险告警通知

  1. 在风险行为管理界面,单击通知设置
  2. 在“通知设置”弹窗中设置通知方式和对象。

    表2 通知设置

    配置

    说明

    * 通知方式

    触发风险行为时,系统发送通知的方式。

    当前提供邮件、短信、钉钉三种通知方式。如果选择邮件、钉钉通知,请先配置对应网关,详情请参考邮件网关配置钉钉网关配置

    * 发送对象

    触发风险行为时,系统发送通知的对象。默认发送所有用户,您也可以排除指定用户发送。

  3. 单击“确定”,完成设置。

相关文档