管理风险行为
OneAccess为企业提供账号异常行为检测功能,在设置的行为状态开启后,系统将按照设定的行为规则进行用户异常行为检测,当触发风险后,系统将实时发送风险告警提示。
异常行为分为四种类型:
- IP异常:账号登录IP地址和常用IP不一致会触发风险。
- 位置异常:账号登录位置和常用位置不一致会触发风险。
- 设备异常:账号登录设备(浏览器,终端设备等)和常用设备不一致会触发风险。
- 账号锁定:用户密码输入错误次数超过密码策略设置阈值,账号会被锁定并且触发风险。
当设置的行为触发风险后,系统按照选择的通知方式实时发送风险告警通知,有三种通知方式:邮件、短信和钉钉。
添加行为
- 登录OneAccess管理门户。
- 在导航栏中,选择“安全 > 风险行为管理”。
- 在风险行为管理界面,单击“添加行为”,并设置相关参数。
表1 添加行为 配置
说明
* 行为名称
风险行为的名称。
* 风险类型
风险事件类型。可设置的风险类型有:异常位置、异常设备、异常IP和账号锁定。
位置类型
位置异常范围,根据位置类型选择的位置范围定义位置异常事件。
说明:仅当“风险类型”选择为“异常位置”时,才有该参数。
* 次数配置
之前登录常用的IP、设备和位置按次数设为默认值,不是默认值则为异常事件,会在风险事件和风险大盘展示和统计。
说明:当风险类型选择为“账号锁定”时,不存在该参数配置,账号锁定功能依靠密码策略,用户错误密码输入次数超过密码策略的阈值,账号则被锁定并标记为风险事件,会在风险事件和风险大盘展示和统计。
描述
对于添加的行为进行说明。
- 单击“确定”,添加行为成功,风险行为管理列表中显示已添加的风险行为,可在“风险类型”进行筛选查询,便于后期对于已添加的行为进行管理。
编辑行为
- 登录OneAccess管理门户。
- 在导航栏中,选择“安全 > 风险行为管理”。
- 在待编辑的行为右侧“操作”列,单击“编辑”可重新设置该行为的配置。
- 单击“确定”修改完成。
删除行为
- 登录OneAccess管理门户。
- 在导航栏中,选择“安全 > 风险行为管理”。
- 在待删除的行为右侧“操作”列,单击“删除”。
- 在弹出框中单击“确定”删除该行为。
禁用风险行为
- 登录OneAccess管理门户。
- 在导航栏中,选择“安全 > 风险行为管理”。
- 在待操作的行为的“状态”列,单击。
- 在弹出框中单击“确定”禁用该行为。
启用风险行为
设置的行为状态开启后,系统将按照设定的行为规则进行用户异常行为检测,当触发风险后,系统将实时发送风险告警提示。
- 登录OneAccess管理门户。
- 在导航栏中,选择“安全 > 风险行为管理”。
- 在待操作的行为的“状态”列,单击。
- 在弹出框中单击“确定”启用该行为。