工程简单
安全边缘
CASB 和 DLP 管理指南

安全边缘应用

版权和免责声明
版权所有 © 2023 Lookout, Inc. 和/或其附属公司。 版权所有。
Lookout, Inc.、Lookout、盾牌徽标和 Everything is OK 是 Lookout, Inc. 的注册商标。Android 是 Google Inc. 的商标。Apple、Apple 徽标和 iPhone 是 Apple Inc. 在美国注册的商标和其他国家。 App Store 是 Apple Inc. 的服务标志。UNIX 是 The Open Group 的注册商标。 Juniper Networks, Inc.、Juniper、Juniper 徽标和 Juniper Marks 是 Juniper Networks, Inc. 的注册商标。
所有其他品牌和产品名称均为其各自所有者的商标或注册商标。
本文档根据包含对其使用和披露的限制的许可协议提供，并受知识产权法保护。 除非您的许可协议明确允许或法律允许，否则您不得以任何形式使用、复制、复制、翻译、广播、修改、许可、传输、分发、展示、执行、发布或展示任何部分，或以任何方式。
本文档中包含的信息如有更改，恕不另行通知，并且不保证没有错误。 如果您发现任何错误，请以书面形式向我们报告。
本文档可能提供对来自第三方的内容、产品和服务的访问或信息。 Lookout, Inc. 及其附属公司不对第三方内容、产品和服务承担任何责任，并明确拒绝提供任何类型的保证。 对于因您访问或使用第三方内容、产品或服务而导致的任何损失、费用或损害，Lookout, Inc. 及其附属公司概不负责。
2023-04-12

关于瞻博网络安全边缘

Juniper Secure Edge 通过始终如一的威胁保护来帮助您保护远程员工的安全，无论用户身在何处。 它提供全栈安全服务边缘 (SSE) 功能来保护 web、SaaS 和本地应用程序，并为用户提供从任何地方一致和安全的访问。
它包括关键的 SSE 功能，包括云访问安全代理 (CASB) 和数据丢失防护 (DLP)，以保护用户对 SaaS 应用程序的访问，并确保这些应用程序中的敏感数据不会在您不希望的情况下离开您的网络。
瞻博网络安全边缘的优势

• 从任何地方保护用户访问——通过安全访问他们所需的应用程序和资源，支持您在办公室、家里或路上的远程员工。 一致的安全策略遵循用户、设备和应用程序，无需复制或重新创建规则集。
• 来自单一 UI 的单一策略框架——从边缘到数据中心的统一策略管理意味着更少的策略差距、消除人为错误和更安全的环境。
• 动态用户细分——遵循用户策略通过精细策略为员工和第三方承包商提供自动访问控制，将第三方访问锁定为攻击媒介。
• 保护对本地和云端应用程序的访问——利用有效的威胁防御服务降低风险，这些服务已被多项第三方测试证明是市场上最有效的流量检查，确保安全访问 web、SaaS 和本地应用程序。
• 以最适合您的业务的速度过渡——瞻博网络在您的旅程中满足您的需求，帮助利用 Secure Edge 的云交付安全功能实现本地边缘安全amp我们和分支机构，以及您的远程员工，在任何地方工作。

云访问安全代理
CASB 提供对 SaaS 应用程序的可见性和精细控制，以确保授权访问、威胁预防和合规性。
使用瞻博网络的 CASB，您可以：

• 应用精细控制以确保授权访问、威胁预防和合规性。
• 保护您的数据免遭未经授权或无意访问、恶意软件交付和分发以及数据泄露。
• 允许组织利用他们现有的技术投资，无论您是从本地开始使用 camp我们和分支机构，在云中与远程劳动力，或混合方法。

数据丢失预防
瞻博网络的 DLP 对数据交易进行分类和监控，以确保合规性要求和数据安全。 瞻博网络的 DLP 读取 files，对内容进行分类（例如amp文件、信用卡号码、社会安全号码和地址），以及 tags 这 file 包含特定类别的数据。 使用您组织的 DLP 策略，您可以添加精细控制并添加 tags （例如ample、HIPAA 和 PII）到 file秒。 如果有人试图从您的组织中删除数据，瞻博网络的 DLP 会阻止这种情况发生。

入门

以下部分提供了部署 Juniper Secure Edge 后后续步骤的说明：

• 首次登录
• Viewing 功能演练
• 访问产品信息、文档和客户支持
• 管理您的密码和注销

登录后，您将看到用于载入云应用程序的选项。
首次登录
在您的企业购买 Juniper Secure Edge 后，您将收到一封电子邮件，其中包含提供用户名和临时密码的链接。 单击链接。
您在“创建帐户”屏幕中看到的用户名是从电子邮件中预先填充的。

1. 输入临时密码。
2. 在密码字段中，输入新密码以备将来使用。 提供提示作为允许的字符类型和数量的指南。
3. 在“确认密码”字段中重新输入新密码，然后单击“创建”。

笔记
电子邮件链接和临时密码将在 24 小时后过期。 如果超过 24 小时后您才看到此电子邮件，请联系支持人员以获取新的临时链接和密码。
完成登录步骤后，将出现初始欢迎屏幕。
当您准备好载入未经批准或经批准的云应用程序时，请从管理控制台中选择以下区域：

• 要为未经批准的云应用程序启动云发现：选择 Administration > Log Agents 以上传日志 files 并创建日志代理。
• 加入经批准的云应用程序：选择 Administration > App Management。 然后，按照有关载入云应用程序的说明进行操作。

Viewing 功能演练
单击 i 菜单以 view Juniper Secure Edge 功能的操作指南列表。
访问产品信息、文档和客户支持
单击问号图标以显示帮助菜单。
版本信息
单击关于链接。
文档和视频
以下链接可用：

• 演练视频 – 打开演练视频页面，其中包含指向有关产品功能的视频的链接。
  您还可以从右上角显示视频链接的任何管理控制台页面访问功能视频链接。
• 在线帮助 – 打开产品的在线帮助。 该帮助包括一个可点击的目录和一个搜索索引。
• 文档 – 打开 Juniper Secure Edge CASB 和 DLP 管理指南的可下载 PDF 的链接。

客户支持
您可以每周 24 天、每天 XNUMX 小时联系瞻博网络技术支持中心 (JTAC)，网址为 Web 或通过电话：

• 瞻博网络支持门户： https://supportportal.juniper.net/

笔记
如果这是您第一次请求支持，请在以下位置注册并创建一个帐户： https://userregistration.juniper.net/

• 电话：+1-888-314-JTAC（+1-888-314-5822），美国、加拿大和墨西哥免费

笔记
有关没有免费电话号码的国家/地区的国际或直拨选项，请参阅 https://support.juniper.net/support/requesting-support. 如果您通过电话联系 JTAC，请输入您的 12 位服务请求号码，然后输入现有案例的井号 (#) 键，或按星号 (*) 键转接给下一位可用的支持工程师。
管理您的密码和注销
使用以下过程更改您的密码、重置忘记的密码以及注销。
更改您的管理密码

1. 点击专业版file 图标。
2. 单击“更改密码”。
3. 在旧密码字段中输入您当前的密码。
4. 在新密码和确认密码字段中输入您的新密码。
5. 单击“更新”。

重置忘记的密码
如果您忘记了密码，请执行以下步骤重置密码。

1. 在登录屏幕中，单击忘记密码？。
2. 在忘记密码屏幕中，输入您的用户名并单击重置。
   您将收到一封包含临时密码和重置密码链接的电子邮件。
   此临时密码将在 24 小时后过期。 如果您收到临时密码后已超过 24 小时，您将在尝试输入临时密码时看到令牌已过期消息。 如果发生这种情况，请重复前两个步骤以接收新的临时密码。
3. 在电子邮件中，单击新临时密码的链接。
   将显示忘记密码对话框，其中填写了您的名字、姓氏和用户名。
4. 输入提供的临时密码。 如果您从电子邮件中复制并粘贴临时密码而不是键入它，请确保不要复制任何多余的空格或字符。
5. 在新密码和确认新密码字段中输入您的新密码。 在您键入时，工具提示会出现在右侧，为所需的格式和字符数提供指导。
6. 单击“创建”。

退出
点击专业版file 图标并单击注销。

入职云应用程序和套件

以下部分提供了有关配置和载入云应用程序和应用程序套件的说明。 启用云应用程序后，您可以为这些云应用程序创建和配置策略。
为了安全 Web 网关 (SWG)，您还可以创建和配置策略 web 使用权。
支持的认可云应用程序
Juniper Secure Edge 支持以下云类型：

• Atlassian
• AWS
• Azure
• 盒子
• Dropbox
• 艾格尼特
• 谷歌云
• Google 云端硬盘
• 现在
• OneDrive
• Salesforce
• 立即服务
• SharePoint
• 松弛
• 团队

为您创建的自定义应用程序提供支持，以满足您的特定数据安全需求。
对于您加入的每个云应用程序，您将需要为该应用程序的托管管理用户提供一个具有登录凭据的服务帐户。 这些特定于应用程序的登录凭据使管理员能够管理应用程序的帐户详细信息并监控用户活动。
笔记
Juniper Secure Edge 不存储特定于云的管理员凭据。

入职流程结束view
一些入职步骤因您入职的云和您选择的保护类型而异。 以下结束view 总结入职程序。
从管理控制台中，选择管理 > 应用程序管理。

单击新建。 然后，执行以下步骤。
输入基本信息

1. 选择云应用程序类型。
2. （必填）输入新云应用程序的名称。 仅使用字母字符、数字和下划线字符 (_)。 不要使用空格或任何其他特殊字符。
3. （可选）输入新应用程序的描述。

对于应用程序套件，选择应用程序
如果您加入的云类型是应用程序套件，系统将提示您选择该套件中要保护的应用程序。 单击要包含的应用程序的复选标记。
选择保护模式
根据您选择的云类型，将提供以下部分或全部保护模式。
对于套件，所选保护模式适用于整个套件。

• API 访问——提供带外数据安全方法； 对用户活动和管理功能进行持续监控。
• 云安全态势 – 用于您要为其应用云安全态势管理功能的云类型。
• Cloud Data Discovery — 用于您要为其应用 Cloud Data Discovery 功能的云类型。
• 选择一种或多种保护模式，具体取决于您要为云启用的保护类型。 您可以根据您选择的保护模式为云应用程序创建策略。
• 单击“下一步”。

选择配置设置
您将需要为要加入的云应用程序设置配置信息。 这些配置设置会有所不同，具体取决于云类型和您选择的保护模式。
输入授权信息
对于大多数保护模式，您将需要通过使用您的帐户管理员凭据登录到云应用程序来完成授权步骤。
保存载入的云应用程序

1. 点击下一步 view 有关新云应用程序的信息摘要。 摘要显示云类型、名称和描述、选择的保护模式和其他信息，具体取决于云类型和为云应用程序选择的保护模式。
2. 单击 Previous 更正任何信息或单击 Save 确认信息。
   新的云应用被添加到应用管理页面。

网格中的显示屏显示以下信息：

• 云应用程序的名称。
• 描述（如果提供）。 到 view 描述，将鼠标悬停在云应用程序名称旁边的信息图标上。
• 云应用可用的保护模式。 每个图标代表一种保护模式。
  您为此云选择的保护模式显示为蓝色； 未为此云选择的那些显示为灰色。 将鼠标悬停在每个图标上以查看其保护类型。
• 键分配状态。 右上角的橙色图标表示应用程序正在等待分配密钥。 您可以现在分配一个密钥，也可以稍后分配。 将密钥分配给云应用程序后，橙色图标将被绿色复选标记取代。
• 加入应用程序的管理员用户的用户 ID（电子邮件地址）。
• 应用程序上线的日期和时间。

以下部分提供了有关载入云应用程序和套件的说明。
载入 Microsoft 365 套件和应用程序
本部分概述了载入 Microsoft 365 套件和应用程序以及启用审核日志记录的过程。
笔记
入职需要以下用户角色。

• Office 应用程序管理员
• SharePoint 管理员
• 团队管理员
• 应用程序管理员
• 云应用管理员
• 嘉宾邀请人
• 特权认证管理员
• 特权角色管理员
• 全球读者
• 合规管理员
• 合规数据管理员

配置步骤
Microsoft 365 应用程序套件
CASB 可以为整套 Microsoft 365 应用程序提供保护选项，除了 OneDrive 和 SharePoint 之外，还包括 Microsoft Teams。
Microsoft 365 云类型是一个应用程序套件。 您可以加入该套件，然后选择要应用保护的应用程序。 一些配置，如密钥管理，将应用于整个套件，不能由应用程序指定。 可以为套件中的每个应用程序定制其他配置。
CASB 提供了一个专用仪表板，用于监视 Microsoft 365 套件应用程序中的活动。 您可以从“监视器”菜单中选择 Microsoft 365 仪表板。
默认开启审计日志搜索和验证邮箱管理
要监控 Microsoft 365 套件中的应用程序，您必须为这些选项配置设置： 打开审核日志搜索。 您必须先在 Microsoft 安全与合规中心打开审核日志记录，然后才能开始搜索 Microsoft 365 审核日志。 启用此选项可以将您组织中的用户和管理员活动记录在审核日志中。 信息会保留 90 天。
有关如何打开和关闭审核日志搜索的更多详细信息和说明，请参阅 https://docs.microsoft.com/en-us/office365/securitycompliance/turn-audit-log-search-on-or-off

共享点/OneDrive
为新的 SharePoint 或 OneDrive 用户创建网站
将新用户添加到 SharePoint 或 OneDrive 帐户后，您必须执行以下过程以开始监视和保护这些用户的个人网站中的数据。 您还应该执行用户同步。
执行以下步骤为新的 SharePoint 或 OneDrive 用户添加网站。

1. 以管理员身份登录。
2. 转到管理 > SharePoint 管理中心 > 用户专业版files > 我的网站设置 > 设置我的网站。
3. 在设置我的站点下，选中启用我的站点辅助管理员，然后选择该管理员作为站点管理员。
4. 转到用户专业版files > 管理用户 Profiles.
5. 在管理用户专业版下files、右击用户的profile，然后单击管理网站集所有者。 用户亲file默认情况下不显示。 它们仅在您搜索时出现。网站管理员现在应该出现在网站集管理员列表中。

在 SharePoint 中创建隔离站点
您必须创建一个名为 Quarantine-Site 的 SharePoint 网站才能使隔离操作生效。
入职步骤

1. 转到管理 > 应用程序管理并单击添加新的。
2. 选择 Office 365。这是 Office 365 应用程序套件。
3. 单击“下一步”。
4. 为新的云应用程序输入名称（必填）和描述（可选）。 对于名称，只能使用字母字符、数字和下划线字符 (_)。 不要使用空格或任何其他特殊字符。
5. 在套件中选择要保护的 Microsoft 365 应用程序。 指定的应用程序是受支持的特定应用程序。 其他应用选择包括任何不受支持或部分支持的应用程序，例如日历、Dynamics365、Excel、Word、Planner、Sway、Stream 和视频。
6. 单击“下一步”。
7. 选择一种或多种保护模式。 你看到的保护选项会有所不同，具体取决于你在上一步中选择的 Microsoft 365 应用程序，并将应用于这些应用程序。 您不能为单个应用程序选择保护模式。
   

   API 访问	适用于所有 Microsoft 365 应用程序。 如果启用，也必须启用 动态的 or 云数据发现.
   云安全态势	适用于所有 Microsoft 365 应用程序。 如果要为此云实施云安全状态管理 (CSPM) 功能，也称为 SaaS 安全状态管理 (SSPM) 功能，请选择此模式。 有关 CSPN 的更多信息，请参阅云安全状态管理 (CSPM)。
   云数据发现	适用于 OneDrive 和 SharePoint 应用程序。 如果您要为此应用程序实现 Cloud Data Discovery 功能，请选择此模式。 还需要 API 访问 才能启用。

8. 单击“下一步”。
9. 输入以下配置信息。 您看到的字段取决于您选择的保护模式。● 代理
   ● Custom HTTP Header Name 和Custom HTTP Header Value 字段在云级别（与云应用程序级别相对）配置。 如果这是您载入的第一个 Microsoft 365 云应用程序，您在这两个字段中输入的值将应用于您载入的所有其他 Microsoft 365 云应用程序。 如果这不是您加入的第一个 Microsoft 365 云应用程序，这些字段值将从您加入的第一个 Microsoft 365 云中初始化。
   其余字段是为您要加入的云应用程序配置的。 根据需要输入值。
   ● 登录域前缀 — 例如amp乐， 公司名称.com （如在@公司名称.com)
   ● 特定域- 需要重定向的Microsoft 365 特定域名。 为此云应用程序输入或选择域。
   ● 租户标识符域前缀——例如ample，casbprotect（如 casbprotect.onmicrosoft.com)
   ● API 设置（仅 API 访问保护模式需要）—
   ● Content Collaboration Scan – 默认启用切换。 此设置启用事件 File 要处理的签入/签出。 如果禁用此切换，则不会处理这些事件。
   ● 内部域— 输入一个或多个内部域。
   ● Archive Settings – 启用存档 file被永久删除或被内容数字权利政策行动取代的 s。 存档 files（包括 SharePoint 和 Teams 的那些）放置在 CASB Compliance Re 下的 Archive 文件夹中view 为云应用程序创建的文件夹。 然后你可以重新view 这 files 并在需要时恢复它们。
   笔记
   ● 如果您将Microsoft Teams 作为Microsoft 365 应用程序加入，请确保已创建Active Sync 目录，因为Azure AD 是用户信息的来源。 要创建目录，请转至管理 > 企业集成 > 用户目录。
   ● 变更云账号的授权管理员时，CASB Compliance Re 中之前存档的内容view 前任管理员拥有的文件夹应与新的授权管理员共享，以便重新归档存档数据view编和恢复。
   存档设置选项可用于已选择 API 访问保护模式的载入云应用程序。
   有两个选项可用：
   ● 从回收站中删除
   ● 存档对于永久删除策略操作，默认情况下这两个选项都是禁用的； 对于内容数字权利，它们默认启用。
   笔记
   对于 OneDrive 云应用程序 (Microsoft 365)， file当启用从垃圾桶中删除标志时，非管理员用户帐户的 s 不会从垃圾桶中删除。
   单击切换以启用或禁用设置。 如果您选择存档操作，您还必须选择从废纸篓中删除选项以启用存档。
   输入保留存档的天数 file秒。 默认值为 30 天。
   ● 授权— 授权Microsoft 365 组件。 出现提示时，您需要提供 Microsoft 365 登录凭据。 点击按钮如下：
   ● OneDrive 和SharePoint — 单击每个授权按钮。 如果您之前没有选择这些应用程序中的任何一个，则不会出现这些按钮。
   ● Office 365 – 单击“授权”将授权您选择的Office 365 套件组件，但OneDrive 和SharePoint 除外，它们必须单独授权。 此授权仅用于监控。
10. 单击“下一步”。
11. View 摘要页面以验证所有信息是否正确。 如果是，请单击“下一步”。
    入职完成。 云应用被添加到应用管理页面的列表中。

启用审核日志记录和管理邮箱审核
使用应用程序启动 Microsoft 365 套件后，您必须在 Microsoft 365 帐户中打开审核日志记录，然后才能搜索审核日志。 事件轮询将在启用审核日志记录后 24 小时开始。
有关 Microsoft 365 审核日志记录的信息和说明，请参阅以下 Microsoft 文档： https://docs.microsoft.com/en-us/microsoft-365/compliance/turn-audit-log-search-on-or-off?view=o365worldwide

载入 Slack Enterprise 应用程序
本节概述了加入 Slack 企业云应用程序的过程。 对于这些应用程序，您可以选择多种保护模式，包括 API 访问，它提供超越用户 ID 的扩展访问控制，例如拒绝来自不合规或受损设备以及具有风险行为模式的用户的登录。
非企业 Slack 应用程序也可以使用较少数量的保护模式。

入职步骤

1. 转到管理 > 应用程序管理。
2. 在“托管应用程序”选项卡中，单击“添加新的”。
3. 选择 Slack Enterprise，然后单击下一步。
4. 输入名称（必填）和说明（可选）。 然后单击下一步。
5. 选择一种或多种保护模式。
   ● API 访问
   ● 云数据发现
6. 输入所选保护模式的信息。
   ● 对于 API 设置 – 输入或选择以下信息：
   ● API 使用类型— 定义此应用程序将如何与API 保护一起使用。 检查监控和内容检查、接收通知或选择全部。如果您只选择 Receiving Notifications，则此云应用程序不受保护； 并且将仅用于接收通知。
   ● 启用重新view 检疫 Files — 单击此切换以启用重新viewing 墓碑 file通过 Slack 频道。
   ● 内部域——输入适用于此应用程序的任何内部域。
   ● Slack 企业域（完整登录域）— 输入您组织的完整域。 前任amp乐： https://<name>.enterprise.slack.com
   
7. 单击授权。 出现提示时输入 Slack 凭据。
8. Slack 会显示一个提示，要求您确认访问组织消息、修改消息和修改消息的权限。 view 来自您组织中的工作区、渠道和用户的元素。
   单击允许以确认这些权限。
9. 授权一个或多个工作空间。 单击工作区名称旁边的授权以对其进行授权。 必须至少授权一个工作区。
10. 当提示在工作区中安装应用程序时，单击允许。
    笔记
    如果要启用其他功能，则每个工作区都必须单独启用（授权）。 如果工作空间未单独授权，将不支持以下操作：
    ● 加密
    ● 水印
    ● 删除了外部共享链接
11. 响应非发现访问的提示，单击允许。
12. 点击下一步。 显示“密钥管理”页面。
13. 要立即申请新密钥，请单击申请新密钥。 管理员将收到通知，并分配一个密钥。 然后，单击保存。 如果您想稍后申请新密钥，请单击“保存”。

载入 AWS 套件和应用程序
本部分概述了在 CASB 中加入 AWS 套件的说明。 您可以根据需要选择执行自动或手动入职。
自动入职
您可以使用提供的 Terraform 模块自动加入 AWS 套件。
使用 Terraform 入职

1. 在管理控制台中，选择管理 > 系统设置 > 下载。
2. 找到 file aws-onboarding-terraform-module- .zip 并下载。
3. 提取 zip 的内容 file.
4. 找到并打开 file 自述文件 - 部署步骤.pdf。
5. 按照 README 中提供的说明进行操作 file 完成自动入职。

手动入职
本部分概述了配置 AWS 套件以在 CASB 中手动加入的说明，然后是手动加入说明。
配置步骤
在载入 AWS 应用程序之前，您必须执行一组配置步骤。
笔记： 仅当您计划以 API 模式加入 AWS 时才需要执行这些配置步骤。 如果您计划以内联模式加入 AWS，请跳至加入步骤。
首先，登录 AWS 控制台 (http://aws.amazon.com).

然后，执行以下配置步骤。

• 第 1 步 - 创建身份访问管理 (IAM) DLP 策略
• 第 2 步 – 创建 IAM 监控策略
• 第 3 步 – 创建 IAM 云安全态势管理 (CSPM) 策略
• 第 4 步 – 创建 IAM 密钥管理服务 (KMS) 策略
• 第 5 步 – 为瞻博网络 CASB 创建 IAM 角色
• 第 6 步 – 创建简单队列服务 (SQS)
• 第 7 步 – 创建云路径

第 1 步 - 创建身份访问管理 (IAM) DLP 策略

1. 单击服务并选择 IAM。
2. 选择策略并单击创建策略。
3. 单击 JSON 选项卡。
4. 复制并粘贴以下策略信息。
   {
   “陈述”： [
   {
   “行动”： [
   “我：获取用户”，
   “iam：ListUsers”，
   “我：GetGroup”，
   “iam：列表组”，
   “iam：ListGroupsForUser”，
   “s3：列出所有我的桶”，
   “s3：获取桶通知”，
   “s3：获取对象”，
   “s3：获取桶位置”，
   “s3：PutBucketNotification”，
   “s3：放置对象”，
   “s3：GetObjectAcl”，
   “s3:GetBucketAcl”,
   “s3：PutBucketAcl”，
   “s3：PutObjectAcl”，
   “s3：删除对象”，
   “s3：列表桶”，
   “sns：创建主题”，
   “sns：设置主题属性”，
   “sns：获取主题属性”，
   “sns：订阅”，
   “sns：添加权限”，
   “sns：按主题列出订阅”，
   “sqs：创建队列”，
   “sqs：获取队列Url”，
   “sqs：获取队列属性”，
   “sqs：设置队列属性”，
   “sqs：ChangeMes​​sageVisibility”，
   “sqs：删除消息”，
   “sqs：接收消息”，
   “cloudtrail：描述轨迹”
   ],
   “效果”：“允许”，
   “资源”：“*”，
   “Sid”：“LookoutCasbAwsDlpPolicy”
   }
   ],
   “版本”：“2012-10-17”
   }
5. 点击重新view 屏幕右下方的政策。
6. 将该策略命名为 lookout-api-policy 并单击创建策略。

第 2 步 – 创建 IAM 监控策略

1. 单击服务并选择 IAM。
2. 选择策略并单击创建策略。
3. 单击 JSON 选项卡。
4. 复制并粘贴以下策略信息。
   {
   “陈述”： [
   {
   “行动”： [
   “cloudtrail：DescribeTrails”，
   “cloudtrail：查找事件”，
   “我：得到*”，
   “我：名单*”，
   “s3：中止多部分上传”，
   “s3：删除对象”，
   “s3:GetBucketAcl”,
   “s3：获取桶位置”，
   “s3：获取桶通知”，
   “s3：获取对象”，
   “s3：列出所有我的桶”，
   “s3：列表桶”，
   “s3：ListMultipartUploadParts”，
   “s3：PutBucketAcl”，
   “s3：PutBucketNotification”，
   “s3：放置对象”，
   “s3：ListBucketMultipartUploads”
   ],
   “效果”：“允许”，
   “资源”：“*”，
   “Sid”：“LookoutCasbAwsMonitorPolicy”
   }
   ],
   “版本”：“2012-10-17”
   }
5. 点击重新view 屏幕右下方的政策。
6. 将策略命名为 lookout-aws-monitor 并单击创建策略。

第 3 步 – 创建 IAM 云安全态势管理 (CSPM) 策略

1. 单击服务并选择 IAM。
2. 选择策略并单击创建策略。
3. 单击 JSON 选项卡。
4. 复制并粘贴以下策略信息：
   {
   “陈述”： [
   {
   “行动”： [
   “帐户：*”，
   “cloudhsm：添加Tags到资源”，
   “cloudhsm：描述集群”，
   “cloudhsm：DescribeHsm”，
   “cloudhsm：ListHsms”，
   “cloudhsm：列表Tags”，
   “cloudhsm：列表Tags对于资源”，
   “cloudhsm：Tag资源”,
   “cloudtrail：添加Tags”，
   “cloudtrail：DescribeTrails”，
   “cloudtrail：GetEventSelectors”，
   “cloudtrail：GetTrailStatus”，
   “cloudwatch：描述警报”，
   “cloudwatch：DescribeAlarmsForMetric”，
   “云观察：Tag资源”,
   “配置：描述*”，
   “dynamodb：ListStreams”，
   “动态模块：Tag资源”,
   “ec2：创建Tags”，
   “ec2：描述*”，
   “ECS：描述集群”，
   “ecs：ListClusters”，
   “ECS：Tag资源”,
   “elasticbeanstalk：添加Tags”，
   “松紧带file系统：创建Tags”，
   “松紧带file系统：描述File系统”，
   “弹性负载平衡：添加Tags”，
   “弹性负载均衡：描述负载均衡器”，
   “弹性负载平衡：描述Tags”，
   “冰川：添加Tags到金库”,
   “冰川：ListVaults”，
   “iam：生成凭证报告”，
   “我：得到*”，
   “我：名单*”，
   “我：密码角色”，
   “kms：描述键”，
   “kms：ListAliases”，
   “kms：列表键”，
   “拉姆达：列表函数”，
   “拉姆达：Tag资源”,
   “日志：DescribeLogGroups”，
   “日志：DescribeMetricFilters”，
   “rds：添加Tags到资源”，
   “rds：DescribeDBInstances”，
   “红移：创建Tags”，
   “红移：描述集群”，
   “s3:GetBucketAcl”,
   “s3：获取桶位置”，
   “s3：获取桶Web地点”，
   “s3：列出所有我的桶”，
   “s3：列表桶”，
   “s3：PutBucketTag金”,
   “sdb:ListDomains”,
   “秘密管理器：ListSecrets”，
   “秘密经理：Tag资源”,
   “sns：获取主题属性”，
   “sns：列表*”，
   “tag：获取资源”，
   “tag：得到Tag键”，
   “tag：得到Tag价值观”，
   “tag:Tag资源”，
   “tag：联合国tag资源”
   ],
   “效果”：“允许”，
   “资源”：“*”，
   “Sid”：“LookoutCasbAwsCspmPolicy”
   }
   ],
   “版本”：“2012-10-17”
   }
5. 点击重新view 政策。
6. 将策略命名为 lookout-cspm-policy，然后单击创建策略。

第 4 步 – 创建 IAM 密钥管理服务 (KMS) 策略
如果 S3 存储桶启用了 KMS，请执行以下步骤。

1. 单击服务并选择 IAM。
2. 选择策略并单击创建策略。
3. 单击 JSON 选项卡。
4. 从 S3 存储桶中获取 KMS 策略信息的 KMS 密钥。
   A。 单击 S3 存储桶。
   b. 单击存储桶属性。
   C。 滚动到默认加密部分并复制 AWS KMS 密钥 ARN。
   如果为桶分配了不同的密钥，您将需要在策略信息中的资源下添加它们（步骤 5）。
5. 复制并粘贴以下策略信息：
   {
   “席德”：“可视化编辑器0”，
   “效果”：“允许”，
   “行动”： [
   “公里：解密”，
   “公里：加密”，
   “kms：生成数据密钥”，
   “kms：重新加密到”，
   “kms：描述键”，
   “kms：重新加密”
   ],
   “资源”：[“ ”
   ] }
6. 点击重新view 政策。
7. 将策略命名为 lookout-kms-policy，然后单击创建策略。

第 5 步 – 为瞻博网络 CASB 创建 IAM 角色

1. 单击角色并选择创建角色。
2. 选择角色类型：另一个 AWS 账户。
3. 对于帐户 ID，请从瞻博网络团队获取此 ID。 这是载入租户管理服务器的 AWS 账户的账户 ID。
4. 在选项下，选中需要外部 ID。
5. 输入以下信息：
   ● 外部ID – 输入在CASB 中加入AWS S3 时使用的唯一属性。
   ● 需要MFA – 不检查。
6. 单击下一步：权限。
7. 根据所需的保护模式分配在前三个步骤中创建的策略。 对于前amp例如，如果您只需要 S3 DLP 策略，请仅选择 lookout-casb-aws-dlp 策略。
8. 点击下一步： Tags 和（可选）输入任何 tags 你想包括到添加 Tags 页。
9. 单击下一步：重新view.
10. 输入角色名称（例如ample, Juniper-AWS-Monitor)，然后单击创建角色。
11. 搜索 您创建的角色名称并单击它。
12. 复制角色 ARN 并将其输入到 Role ARN 字段中。
13. 从角色 > 信任关系选项卡 > Lookout-AWS-Monitor 摘要复制外部 ID view > 条件。

第 6 步 – 创建简单队列服务 (SQS)

1. 在服务下，转到简单队列服务 (SQS)。
2. 单击创建新队列。
3. 输入队列名称并选择标准队列作为队列类型。
4. 转到访问策略部分。
5. 选择高级并粘贴以下策略信息。
   {
   “版本”：“2008-10-17”，
   “ID”：“default_policy_ID”，“声明”：[
   {
   “Sid”：“owner_statement”，“Effect”：“Allow”，“Principal”：{
   “AWS”：“*”
   },
   “行动”：“SQS：*”，“资源”：
   “arn:aws:sqs: : : ”
   },
   {
   “Sid”：“s3_bucket_notification_statement”，“效果”：“允许”，
   “主要的”： {
   “服务”：“s3.amazonaws.com”
   },
   “行动”：“SQS：*”，“资源”：
   “arn:aws:sqs: : : ”
   }
   ] }
6. 单击创建队列。

第 7 步 – 创建云路径

1. 从服务中，转到 Cloud Trail。
2. 从左侧面板中选择 Trails。
3. 单击新建轨迹并输入以下信息。● Trail 名称 – ccawstrail（for example）
   ● Apply trail to all regions – 勾选Yes。
   ● 管理事件 —
   ● 读/写事件——勾选全部。
   ● 记录AWS KMS 事件——勾选是。
   ● Insight 事件 – 检查编号。
   ● 数据事件（可选）——如果您想查看活动审计日志和AWS 监控屏幕，请配置数据事件。● 存储位置 –● 创建一个新的S3 存储桶——选择是创建一个新的存储桶或者选择否选择现有的存储桶来存储日志。
4. S3 存储桶 – 输入名称（例如ample，awstrailevents）。
5. 单击屏幕底部的 CreateTrail。
6. 在 Buckets 下，转到存储 CloudTrail 日志的存储桶（例如ample，awstrailevnts）。
7. 单击存储桶的属性选项卡。
8. 转到事件通知部分并单击创建事件通知。
9. 为通知输入以下信息。
   ● 名称 – 任意命名（例如ample, SQS 通知）
   ● 事件类型——检查所有对象创建事件。
   ● Filters – 输入要应用于通知的任何过滤器。
   ● 目标– 选择SQS 队列。
   ● Specify SQS Queue – 选择LookoutAWSQueue（选择在步骤5中创建的SQS队列。）
10. 单击“保存更改”。
    活动已创建。

入职步骤

1. 转到管理 > 应用程序管理并单击新建。
2. 从下拉列表中选择 AWS。
3. 输入名称（必填）和说明（可选），然后单击下一步。
4. 对于应用程序，检查亚马逊 Web 服务，然后单击下一步。
5. 通过单击要包含的每个保护模型的切换开关，选择以下保护模型中的一个或多个。
   ● 云认证
   ● API 访问
   ● 云安全态势
6. 单击“下一步”。
   笔记
   ● 要以API 模式加入AWS，请选择API Access。
   ● 云安全态势管理(CSPM) 提供工具来监控组织中使用的资源，并根据AWS 云应用程序的安全最佳实践评估安全风险因素。 要启用 CSPM，您必须选择云安全状态作为保护模式。
7. 如果您选择了 API 访问：
   A。 单击 AWS Monitoring 开关并在配置页面的 API 部分输入以下信息。 这是您在配置步骤的第 2 步中生成的信息（为 CASB 创建身份访问管理 (IAM) 角色）。
   我。 外部ID
   二. 角色 ARN
   三. SQS 队列名称和 SQS 区域（请参阅步骤 6 – 创建简单队列服务 [SQS]）b. 在身份验证部分中，单击授权按钮，然后单击下一步。
   将出现一条弹出消息，提示您确认已将所需的策略（根据所选的保护模式）分配给该角色。
   笔记： 确保您的浏览器配置为允许显示弹出窗口。
   C。 单击继续以确认显示所需的策略。
   授权完成后，授权按钮旁边会出现一个绿色复选标记，按钮标签现在显示为重新授权。
   d. 单击“下一步”以显示入职设置的摘要。
   e. 单击保存以完成入职。
   新的云应用程序在应用程序管理页面上显示为一个磁贴。

载入 Azure 应用程序
本部分概述了载入 Azure 云应用程序的过程。 有关 Azure Blob 存储载入说明，请参阅下一节。
配置步骤
若要为 Azure 帐户使用 CSPM 功能，你需要一个有权访问相应订阅的服务主体。
服务主体应具有读取者或监视读取者角色，可以访问 Azure AD 用户、组或服务主体和关联的客户端机密。
在入职之前，您应该拥有帐户的订阅 ID，以及来自服务主体的以下信息：

• 应用程序（客户端）ID
• 客户端机密
• 目录（租户）ID

入职步骤

1. 从管理控制台中，选择管理 > 应用程序管理，然后单击新增。
2. 选择蔚蓝。 然后，输入应用程序的详细信息。
3. 输入名称（必填）和说明（可选）。 该名称必须仅包含字母数字字符，除下划线外没有特殊字符，也没有空格。 然后，单击“下一步”。
4. 为应用程序选择以下一种或多种保护模式，然后单击“下一步”。
   ● 云认证
   ● API 访问
   ● 云安全态势
   如果要实施云安全状态管理 (CSPM) 功能，则需要云安全状态模式。
5. 根据您选择的保护模式，输入所需的配置详细信息。● 如果选择了App Authorization，则无需额外配置。 单击下一步 view 摘要信息。
   ● 如果您选择了API Access，那么除了授权之外不需要额外的配置。 转到授权步骤。
   ● 如果您选择了云安全态势，请输入您之前执行的Azure 配置步骤中的以下信息。
   ● 服务主体的应用程序 ID
   ● 服务主体的客户机密
   ● 服务主体的目录 ID
   ● 订阅号
   ● 同步间隔（1-24 小时）是 CSPM 从云端检索信息并刷新清单的频率（以小时为单位）。 输入一个数字。
6. 单击授权并输入您的 Azure 登录凭据。
7. Review 摘要信息以验证其是否正确。 如果是，请单击“保存”以完成入职。

载入 Azure Blob 应用程序
本部分概述了载入 Azure Blob 存储云应用程序的过程。
笔记

• Juniper Secure Edge 不支持 Azure Data Lake Storage 第 2 代存储帐户。
  Juniper 无法使用此存储类型记录活动或对 blob 执行操作。
• 由于 Azure 实施的保留和合法保留策略，Juniper Secure Edge 不支持对不可变容器执行与内容相关的操作。

配置步骤
在准备载入 Azure Blob 时，请执行以下操作：

• 确保您有一个活动的 Azure 帐户并且您有该帐户的订阅 ID。
• 确保你的 Azure 订阅至少有一个 storageV2 类型的存储帐户。
• 确保您有一个用于隔离操作的存储帐户。 在入职期间，系统将提示您选择存储帐户。 您可以使用现有的存储帐户，或者，如果您愿意，可以创建一个新的专用存储帐户用于隔离。
• 在订阅级别创建新的自定义角色，并将其分配给管理员帐户。 这将用于管理控制台上的授权。 请参阅下面此步骤的详细信息。
• 确保您的 Azure 帐户已注册 EventGrid 资源。 请参阅下面此步骤的详细信息。

创建自定义角色

1. 将以下代码复制到一个新的文本文档中。
   {“properties”：{“roleName”：“lookoutcasbrole”，“description”：“Lookout casb role”，“assignableScopes”：[“/subscriptions/ ”]，”权限”：[{“操作”：[“Microsoft.Storage/storageAccounts/read”，“Microsoft.Storage/storageAccounts/encryptionScopes/read”，”Microsoft.Storage/storageAccounts/blobServices/read”，”Microsoft .Storage/storageAccounts/blobServices/containers/read”,”Microsoft.Storage/storageAccounts/blobServices/containers/write”,”Microsoft.Storage/storageAccounts/blobServices/containers/immutabilityPolicies/read”,”Microsoft.Storage/storageAccounts/queueServices /读取”，”Microsoft.Storage/storageAccounts/queueServices/queues/write”，”Microsoft.EventGrid/eventSubscriptions/delete”，”Microsoft.EventGrid/eventSubscriptions/read”，”Microsoft.EventGrid/eventSubscriptions/write”，”Microsoft .Storage/storageAccounts/write”,”Microsoft.Storage/storageAccounts/listkeys/action”,”Microsoft.EventGrid/systemTopics/read”,”Microsoft.EventGrid/systemTopics/write”,”Microsoft.Insights/eventtypes/values/Read ”,”Microsoft.Storage/storageAccounts/blobServices/providers/Microsoft.Insights/diagnosticSettings/read”],”notActions”:[],”dataActions”: “Microsoft.Storage/storageAccounts/blobServices/containers/blob/read”, ”Microsoft.Storage/storageAccounts/blobServices/containers/blob/write”,”Microsoft.Storage/storageAccounts/blobServices/containers/blob/delete”,”Microsoft.Storage/storageAPost-onboarding tasks 78为用户访问和会话活动配置租户 80Managing用户 82为企业集成配置 CASB 88ccounts/blobServices/containers/blob/add/action”,”Microsoft.Storage/storageAccounts/blobServices/containers/blob/filter/action”,”Microsoft.Storage/storageAccounts/blobServices/containers/blob/移动/操作”，”Microsoft.Storage/storageAccounts/blobServices/containers/blob/permanentDelete/action”，”Microsoft.Storage/storageAccounts/blobServices/containers/blob/deleteBlobVersion/action”，”Microsoft.Storage/storageAccounts/queueServices/队列/消息/读取”，”Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete”]，”notDataActions”:[]}]}}
2. 替换文本“ ” 与您的 Azure 帐户的订阅 ID。 如果需要，您还可以替换 roleName 和 description 值。
3. 保存文本 file 带有 .json 扩展名。
4. 在 Azure 控制台中，导航到 Azure 订阅 > 访问控制 (IAM)。
5. 单击添加并选择添加自定义角色。
6. 对于基线权限，选择从 JSON 开始。
7. 使用 file 浏览器选择并上传 .json file 您在上面的第 2 步中保存的。
8. 如果需要，输入或更新新角色的名称和（可选）描述。
9. 选择重新view + 创建以查看新角色的所有设置。
10. 单击创建完成新角色的创建。
11. 将新角色分配给对您的 Azure 帐户具有管理员权限的用户。

注册 EventGrid 资源

1. 在 Azure 控制台中，导航到 Azure 订阅 > 资源提供商。
2. 使用筛选器字段搜索 Microsoft.EventGrid。 选择它并单击注册。

入职步骤

1. 在管理控制台中，选择“管理”>“应用程序管理”并单击“+新建”。
2. 选择蔚蓝。 输入名称（必填）和说明（可选）。 该名称必须仅包含字母数字字符，除下划线外没有特殊字符，也没有空格。 点击下一步。
3. 选择 Microsoft Azure Blob 存储并单击下一步。
4. 选择 API 访问（必填）。 如果需要，您还可以选择云安全状态（可选）。 点击下一步。
5. 对于 Azure 和 Azure Blob Storage，单击“授权”按钮并输入您在上一节中为其分配新角色的帐户的凭据。 如果出现提示，请单击接受以授予瞻博网络对您的 Azure 帐户的权限。
6. 授权这两个帐户后，将出现订阅 ID 字段。 选择你的 Azure 订阅。
7. 出现目标存储帐户字段。 选择要用作隔离容器的存储帐户。
8. 单击“下一步”。
9. 确保摘要页面上显示的详细信息正确无误。 如果是，请单击“下一步”以完成入职。

载入 Google Workspace 套件和应用
本部分概述了启动 Google Workspace（以前称为 G Suite）和 Google 云端硬盘应用程序的过程。
配置步骤
用于 Google Drive 的企业帐户必须是 Google Workspace 商业计划的一部分。
通过身份验证的用户必须是具有超级管理员权限的管理员。
更新 API 访问设置

1. 登录 Google Workspace 应用程序，然后点击左侧面板中的安全性。
2. 在安全性下，单击 API 控件。
3. 向下滚动并单击管理全域委派。
4. 单击“添加新”。
5. 输入客户编号：
   102415853258596349066
6. 输入以下 OAuth 范围：
   https://www.googleapis.com/auth/activity,
   https://www.googleapis.com/auth/admin.directory.group,
   https://www.googleapis.com/auth/admin.directory.user,
   https://www.googleapis.com/auth/admin.reports.audit.readonly,
   https://www.googleapis.com/auth/drive,
   https://www.googleapis.com/auth/drive.activity.readonly,
   https://www.googleapis.com/auth/admin.directory.user.security,
   https://www.googleapis.com/auth/userinfo.email
7. 单击授权。

更新文件夹访问信息

1. 在左侧面板中，依次点击应用 > Google Workspace > 云端硬盘和文档。
2. 向下滚动并单击功能和应用程序。
3. 确保 Drive SDK 已打开。

CASB 中的入职步骤

1. 在管理控制台中，选择管理 > 应用程序管理并单击新建。
2. 从列表中选择 Google Workspace。
3. 输入名称（必填）和说明（可选）。 该名称必须仅包含字母数字字符，除下划线外没有特殊字符，也没有空格。 然后，单击“下一步”。
4. 选择 Google 云端硬盘应用程序。
5. 单击下一步并选择一个或多个保护模型。
   可用的保护模型取决于您在上一步中选择的应用程序。 下表列出了适用于每个 Google Workspace 应用程序的保护模式。

   Google Workspace 应用程序	提供保护模型
   Google 云端硬盘	API 访问 云数据发现

   笔记
   某些保护模型需要启用一种或其他模型，或者必须为特定功能选择。
   如果要为此云应用程序实施云数据发现 (CDD)，则必须选择云数据发现。 您还必须选择 API 访问保护模式。

6. 单击“下一步”。
7. 输入以下配置信息。 您看到的字段取决于您选择的保护模式。
   ● API 设置（API 访问保护模式需要）● 内部域——输入必要的内部域，以及企业业务域。
   ● Archive Settings (for Google Drive) — 启用存档 file被永久删除或被内容数字权利政策行动取代的 s。 存档 files 被放置在 CASB Compliance Re 下的 Archive 文件夹中view 为云应用程序创建的文件夹。 然后你可以重新view 这 files 并在需要时恢复它们。
   笔记
   当在 CASB 中更改云帐户的授权管理员时，之前在 CASB Compliance Re 中存档的内容view 前任管理员拥有的文件夹应与新的授权管理员共享，以便重新归档存档数据view编和恢复。
   有两个选项可用：
   ● 从回收站中删除
   ● 存档对于永久删除策略操作，默认情况下这两个选项都是禁用的； 对于内容数字权利，它们默认启用。
   单击切换以启用或禁用设置。
   输入保留存档的天数 file秒。 默认值为 30 天。
   ● 授权 — 如果您选择 Google Drive 作为您的 Google Workspace 应用程序之一，请授权 Google Drive 并单击下一步。Review 按照出现的屏幕中的说明进行操作，然后单击继续以授权访问您的 Google 云端硬盘帐户。 输入您的帐户凭据。
   在“摘要”页面中，重新view 摘要信息，以验证所有信息是否正确。 如果是，请单击“保存”以完成入职。

载入谷歌云平台 (GCP)
本部分概述了 Google Cloud Platform 应用程序的配置和启动过程。
配置步骤

1. 在 GCP Org 中创建服务帐号。 如需更多信息，请访问 https://cloud.google.com/docs/authentication/getting-started
2. 创建 OAuth 客户端 ID。
   A。 在 Google Cloud Platform 中，转到“凭据”页面。 b. 从项目列表中，选择包含您的 API 的项目。
   C。 从创建凭证下拉列表中，选择 OAuth 客户端 ID。 d. 从下拉列表中选择 Web 应用程序作为应用程序类型。 e. 在“应用程序”字段中，输入名称。 F。 根据需要填写剩余字段。
   G。 添加重定向 URL, 点击添加 URL. H。 输入重定向 URL 并单击创建。 将出现一条消息，其中包含客户端 ID 和客户端密码。 当您使用 Google Cloud Platform 应用程序时，您将需要这些信息。

入职步骤

1. 在管理控制台中，选择管理 > 应用程序管理，然后单击新建。
2. 从下拉列表中选择 GCP。
   提示
   要查找应用程序，请输入应用程序名称的前几个字符，然后从搜索结果中选择该应用程序。
3. 输入名称（必填）和说明（可选）。 该名称必须仅包含字母数字字符，除下划线外没有特殊字符，也没有空格。 然后，单击“下一步”。
4. 选择一个或多个保护模型，然后单击“下一步”。 选项是
   ● API 访问
   ● 云安全态势
5. 输入以下配置信息。 您看到的字段取决于您在上一步中选择的保护模型。
   ● 如果您选择了 API 访问，请输入：
   ● 客户编号
   ● 客户秘密
   这是在 GCP 预配置步骤中创建的信息。 请务必在此处的客户端 ID 和客户端密码字段中输入完全相同的信息。● 如果您选择了云安全态势，请输入：
   ● 服务帐户凭据 (JSON) – JSON 的服务帐户凭据 file 您在配置步骤中下载。
   ● 同步间隔（1-24 小时）——CSPM 从云端检索信息并刷新库存的频率。 输入一个数字。
6. 单击授权。 ● 如果您只选择了Cloud Security Postes，则会出现Summary 页面。 关于view 它并保存新的 GCP 应用程序以完成入职。
   ● 如果您选择了API 访问或同时选择了API 访问和云安全态势，请在出现提示时输入您的GCP 帐户登录凭据。
   笔记
   ● 如果您在配置页面上输入了无效的客户端密码或客户端ID，则在您单击授权后将出现一条错误消息。 关于view 您的客户端密码和客户端 ID 条目，进行任何更正，然后再次单击授权。 一旦系统将条目识别为有效，请在出现提示时输入您的 GCP 登录凭据。
   在您的 GCP 登录凭据被接受后，保存新的 GCP 云应用程序以完成注册。

载入 Dropbox 应用程序
本部分概述了载入 Dropbox 云应用程序的过程。

1. 在管理控制台中，选择管理 > 应用程序管理，然后单击新建。
2. 从选择应用程序列表中，选择 Dropbox。
3. 输入名称（必填）和说明（可选）。 该名称必须仅包含字母数字字符，除下划线外没有特殊字符，也没有空格。 然后，单击“下一步”。
4. 从“配置”页面中，选择一个或多个保护模型：
   ● API 访问
   ● 云数据发现（CDD）
5. 输入以下配置信息。 您看到的字段取决于您在上一步中选择的保护模型。
   ● 如果您选择了API 访问，请输入一个或多个内部域。
   您还可以配置存档设置。 这些设置启用存档 file被永久删除或被内容数字权利政策行动取代的 s。 存档 files 被放置在 CASB Compliance Re 下的 Archive 文件夹中view 为云应用程序创建的文件夹。 然后你可以重新view 这 files 并在需要时恢复它们。
   笔记
   当云帐户的授权管理员发生变化时，之前在 CASB Compliance Re 中存档的内容view 前任管理员拥有的文件夹应与新的授权管理员共享，以便重新归档存档数据view编和恢复。
   存档设置选项可用于已选择 API 访问和云数据发现保护模式的已载入云应用程序。
   有两个选项可用：
   ● 从回收站中删除
   ● 存档对于永久删除策略操作，默认情况下这两个选项都是禁用的； 对于内容数字权利，它们默认启用。
   单击切换以启用或禁用设置。 如果您选择存档操作，还要选择从废纸篓中删除选项。
   输入保留存档的天数 file秒。 默认值为 30 天。
   然后，单击授权，并输入您的 Dropbox 管理员登录凭据。
6. 单击下一步并重新view 验证所有信息是否正确的摘要。 如果是，请单击“保存”。 新的云应用被添加到应用管理页面。

载入 Atlassian Cloud 套件和应用程序
本节概述了载入 Atlassian Cloud 套件和应用程序的过程。
笔记： 对于 Confluence 应用程序，您必须拥有企业帐户。 CASB 不支持免费的 Confluence 帐户。

1. 在管理控制台中，选择管理 > 应用程序管理并单击新建。
2. 从应用程序列表中选择 Atlassian。
3. 输入名称（必填）和说明（可选）。 该名称必须仅包含字母数字字符，除下划线外没有特殊字符，也没有空格。 然后，单击“下一步”。
4. 选择套件中要包含的应用程序，然后单击下一步。
5. 选择 API 访问保护模型。

输入保护模型​​的配置设置
输入所选保护模型所需的配置信息。
API 访问

1. 输入以下 API 访问信息。 ● API 令牌（仅限 Confluence 应用程序）- 输入 API 令牌。 要从您的 Atlassian 帐户创建 API 令牌，请参阅以下部分生成 API 令牌。
   ● 轮询时区（仅限Confluence 应用程序）——从下拉列表中选择轮询时区。 选择的时区必须与云应用实例的时区相同，而不是用户所在的时区。
   ● 授权——单击套件中包含的每个应用程序旁边的授权按钮。
   出现提示时，单击“接受”以授权每个选定应用程序的域访问权限。 授权按钮标签现在将显示重新授权。
   ● 域——对于套件中包含的每个应用程序，选择适用的域或接受显示的域。 仅选择上一步中访问授权中包含的域。
2. 单击“下一步”。
3. Review 摘要页面上的信息。 单击保存以保存并载入应用程序。

生成 API 令牌（仅限 Confluence 应用程序）
您可以从您的 Atlassian 帐户生成一个 API 令牌。

1. 登录您的 Atlassian 帐户。
2. 从左侧菜单中选择管理。
3. 在 Administration 页面中，从左侧菜单中选择 API Keys。
   列出您之前创建的任何 API 密钥。
4. 单击创建新密钥以生成新密钥。
5. 为新密钥命名并选择到期日期。 然后，单击“创建”。

新的 API 密钥已创建并添加到“管理”页面上的密钥列表中。 对于每个密钥，系统都会生成一个字母数字字符串作为 API 令牌。 在 CASB 管理控制台的 API 令牌字段中输入此字符串。

载入 Egnyte 应用程序
本节概述了载入 Egnyte 云应用程序的过程。

1. 转到管理 > 应用程序管理并单击新建。
2. 从下拉列表中选择 Egnyte，然后单击下一步。
3. 输入名称（必填）和说明（可选）。 该名称必须仅包含字母数字字符，除下划线外没有特殊字符，也没有空格。 然后，单击下一步
4. 选择 API 访问保护模式。
5. 单击下一步并输入以下配置信息，具体取决于您选择的保护模式。
   如果您选择了 API 访问，请单击授权 Egnyte，然后输入您的 Egnyte 登录凭据。
6. 输入与您的 Egnyte 帐户关联的域名，然后单击继续。
7. 授权成功后，保存新的云应用程序。

入职框应用程序
本节概述了 Box 应用程序的先决条件配置和启动步骤。
Box 管理控制台中的配置步骤
为了连接到 Box 云应用程序，需要多个用户帐户设置以启用正确的策略创建和对 Box 用户活动的可见性。
执行以下步骤为 Box 云应用程序配置 ADMIN 帐户。
笔记
Box 云应用程序的授权需要 ADMIN 帐户。 无法使用 CO-ADMIN（共同管理员）帐户凭据完成授权或重新授权。

1. 使用 Box 帐户的 ADMIN 凭据登录到 Box。
2. 单击管理控制台选项卡。
3. 单击用户图标。
4. 从“托管用户”窗口中，选择您要验证并用于连接到您的 Box 云应用程序的管理员帐户。
5. 展开用户帐户信息。
6. 在“编辑用户访问权限”窗口中，确保选中共享联系人/允许此用户查看所有受管用户。
   笔记
   不允许共同管理员监视其他共同管理员活动。 只有管​​理员应该监视其他联合管理员活动。
7. 转到应用程序 > 自定义应用程序。
8. 选择授权新应用程序。
9. 在出现的弹出窗口中，输入以下字符串：xugwcl1uosf15pdz6rdueqo16cwqkdi9
10. 单击授权。
11. 单击继续以确认访问您的 Box 企业帐户。

管理控制台中的入职步骤

1. 转到管理 > 应用程序管理。
2. 在“托管应用程序”选项卡中，单击“新建”。
3. 从列表中选择框。
4. 输入名称（必填）和说明（可选）。
5. 单击下一步并选择一种或多种可用的保护模式：
   ● API 访问
   ● 云数据发现
6. 单击下一步并输入配置信息。 您在配置屏幕上看到的字段取决于您在上一步中选择的部署和保护模式。
7. 输入您选择的每种保护模式所需的信息。
   ● 对于Cloud Data Discovery — 您还必须选择API 访问保护模式。
   ● 对于API 访问——在API 设置部分，为Box 帐户输入一个有效的管理员电子邮件地址。 此地址必须用于管理员帐户，而不是用于共同管理员帐户。 然后，输入内部域的名称。● 对于 API 访问 – 存档设置启用存档 file被永久删除或被内容数字权利政策行动取代的 s。 存档 files 被放置在 CASB Compliance Re 下的 Archive 文件夹中view 为云应用程序创建的文件夹。 然后你可以重新view 这 files 并在需要时恢复它们。
   笔记
   当云帐户的授权管理员发生变化时，之前在 CASB Compliance Re 中存档的内容view 前任管理员拥有的文件夹应与新的授权管理员共享，以便重新归档存档数据view编和恢复。
   存档设置选项可用于已选择 API 访问保护模式的载入云应用程序。
   有两个选项可用：
   ● 从回收站中删除
   ● 存档对于永久删除策略操作，默认情况下这两个选项都是禁用的； 对于内容数字权利，它们默认启用。
   单击两个开关以启用或禁用设置。
   输入保留存档的天数 file秒。 默认值为 30 天。
   笔记
   对于 Box 应用程序，原始 files 不会从垃圾箱中删除。
   对于 API 访问，输入用于授权访问 Box 的企业 ID。
8. 输入所需的配置后，单击“下一步”以授权访问 Box。
9. 在“授予对 Box 的访问权限”屏幕中，输入此 Box 帐户的企业 ID，然后单击“继续”。
10. 在“登录以授予对 Box 的访问权限”屏幕中，输入 Box 帐户的管理员登录凭据，然后单击“授权”。
    如果管理员配置了 SSO 设置，请单击使用单点登录 (SSO) 链接并输入凭据以进行身份​​验证。 提交任何多因素身份验证信息。
    Box 云应用程序已载入并添加到“应用程序管理”页面中的托管应用程序列表中。

入职 Salesforce 应用程序
配置步骤
CASB for Salesforce 扫描标准对象，例如客户、联系人、Campaigns 和 Opportunities，以及自定义对象。
启用 CRM 内容
要使 DLP 扫描与 Salesforce 配合使用，必须在 Salesforce 中为所有用户启用启用 CRM 设置。 要启用 Salesforce CRM 内容，请登录到您的 Salesforce 帐户并执行以下步骤：

1. 使用左上角的“快速查找”框，搜索 Salesforce CRM Content。
2. 在搜索结果中，单击 Salesforce CRM Content 链接。
   出现 Salesforce CRM Content 设置框。
3. 如果未选中启用 Salesforce CRM Content 和将功能许可证自动分配给现有用户和新用户选项，请选中它们。

启用扫描结构化数据
如果您使用的是结构化数据，请确保已启用结构化数据选项。
启用 DLP 扫描权限
系统管理员可以全局访问 Salesforce 标准和自定义对象。 对于非管理员，必须启用 Push Topics 和 API Enabled 权限才能使 DLP 工作，如下所示。
要设置推送主题选项：

1. 从“管理用户”菜单中，选择“用户”。
2. 从“所有用户”页面中，选择一个用户。
3. 在该用户的用户详细信息页面中，单击标准平台用户链接。
4. 滚动到标准对象权限部分。
5. 在基本访问/推送主题下，确保选中读取、创建、编辑和删除。
   要设置 API 启用选项：
6. 在标准平台用户页面上，滚动到管理权限部分。
7. 确保选中 API Enabled。

启用权限 view正在处理事件日志 files
到 view 事件监控数据，必须启用用户权限 View 事件日志 Files 和 API 启用设置。
用户 View 所有数据权限也可以 view 事件监控数据。 有关详细信息，请参阅以下链接： https://developer.salesforce.com/docs/atlas.en-us.api_rest.meta/api_rest/using_resources_event_log_files.htm
启用 Audit Trail 事件的权限
要处理 Audit Trail 事件，必须启用权限 View 设置和配置。

启用登录历史事件的权限
要处理登录历史事件，必须为管理用户启用权限，这也为以下设置启用权限：
需要重置用户密码和解锁用户
View 所有用户
管理专业版files 和权限集
分配权限集
管理角色
管理 IP 地址
管理共享
View 设置和配置
管理内部用户
管理密码策略
管理登录访问策略
在用户界面中管理双因素身份验证

入职步骤

1. 转到管理 > 应用程序管理并单击新建。
2. 从列表中选择 Salesforce
3. 输入名称（必填）和说明（可选），然后单击下一步。
4. 选择一种或多种保护模式：
   ● API 访问
   ● 云安全态势
   ● 云数据发现
5. 单击下一步并输入配置设置。 您看到的字段取决于您在上一步中选择的部署和保护模式。
   ● 对于API 访问– 输入Salesforce 子域。● 对于云安全态势——不需要其他详细信息。
   ● 对于云数据发现——不需要其他详细信息。
6. 单击授权。
7. 从下拉列表中选择 Salesforce 实例。
8. 如果此授权适用于自定义域或沙盒域，请单击该框。 然后，单击继续。
9. 输入此 Salesforce 帐户的管理员登录凭据。 然后，单击“登录”。

载入 ServiceNow 应用程序 
以下部分提供了有关载入 ServiceNow 应用程序的说明。
配置步骤
在加入 ServiceNow 应用程序之前，创建一个 OAuth 应用程序。

1. 以管理员身份登录到 ServiceNow。
2. 要创建 OAuth 应用程序，请转到
   系统 OAuth > 应用程序注册表 > 新建 > 为外部客户端创建 OAuth API 端点。
3. 输入以下信息：
   ● 名称——为此OAuth 应用程序输入一个名称。
   ● 重定向 URL – 输入适当的 URL.
   ● 标志 URL – 输入适当的 URL 为标志。
   ● 需要PKCE — 不选中。
4. 单击“提交”。
5. 打开新创建的应用程序并记下 Client ID 和 Client Secret 值。

入职步骤

1. 在管理控制台中，转至管理 > 应用程序管理。
2. 在“托管应用程序”选项卡中，单击“新建”。
3. 选择 ServiceNow 并单击下一步。
4. 输入名称（必填）和说明（可选）。 然后单击下一步。
5. 选择一种或多种保护模式，然后单击“下一步”。
6. 在配置页面上，输入您在上一步中选择的保护模式的信息。
   ● 对于API 访问，输入：
   ● API 使用类型，它定义了此应用程序将如何与API 保护一起使用。
   检查监控和内容检查、接收通知或选择全部。
   如果您只选择 Receiving Notifications，则此云应用程序不受保护； 它仅用于接收通知。● OAuth 应用程序客户端 ID
   ● OAuth App Client Secret
   ● ServiceNow 实例 ID
   ● 对于云数据发现，输入
   ● OAuth 应用程序客户端 ID
   ● OAuth App Client Secret
   ● ServiceNow 实例 ID
   7. 单击授权。
7. 出现提示时，登录到 ServiceNow 应用程序。
8. 出现提示时，单击“允许”。
   如果授权成功，当您返回到管理控制台时，您应该会看到一个重新授权按钮。 单击“下一步”和“保存”以完成入职。

入职后任务

启用云应用程序后，您可以过滤这些应用程序的事件。
将事件过滤应用于已载入的云应用程序
如果您选择 API 访问作为保护模式，您可以在该云应用程序上线后为其选择事件过滤选项。
使用 API 访问作为保护模式启动云应用程序后，您可以设置默认过滤器以允许或拒绝用户、用户组、域或事件的所有事件。 这些过滤器可以帮助缩小对特定组的关注，并且需要更少的处理时间和对系统资源的需求。

要应用事件过滤：

1. 转到管理 > 应用程序管理。
2. 通过选中铅笔选项来选择要应用事件过滤的云。
3. 选择过滤选项如下：
   ● 默认过滤器——选择一个默认过滤器。
   ● 拒绝所有事件– 不处理任何事件。
   ● 允许所有事件– 处理所有事件。
   ● 例外– 为用户或用户组选择所选过滤器的例外。 对于前amp文件，如果你想为一个组应用例外——工程团队——默认的过滤器操作将应用如下：
   ● 对于“拒绝所有事件”，除工程团队的事件外，不处理任何事件。
   ● 对于Allow All Events，处理除工程团队的所有事件。
   ● Exclusions – 选择不应包含在例外中的任何条件。 对于前amp例如，您可以选择拒绝（不处理）工程人员的事件（经理除外）。 使用这个前ample，默认过滤器排除将应用如下：
   ● 对于拒绝所有事件— 除工程团队外，不处理任何事件。 经理被排除在这个例外之外，这意味着工程团队中经理的事件不会被处理。
   ● 对于允许所有事件— 处理除工程团队之外的事件。 经理被排除在该例外之外，这意味着处理工程团队中经理的事件。
4. 单击“下一步”。

为用户访问和会话活动配置租户

您可以通过以下方式设置租户访问条件：

• 指定用户访问的授权IP地址
• 输入会话超时信息
• 选择登录访问 Juniper 支持的时间范围。

授权IP地址
您可以仅允许您授权的 IP 地址访问租户。 当具有应用程序管理员、密钥管理员或应用程序监视器角色的用户想要登录到管理控制台时，系统会根据这些授权地址检查他们的 IP 地址。

• 如果未找到具有有效 IP 地址的匹配项，则拒绝登录并显示消息无效的 IP 用户范围。
• 如果找到具有有效 IP 地址的匹配项，则用户可以登录。

笔记
此验证过程不适用于：

• 系统管理员、操作管理员或服务管理员登录
• 使用 IdP 登录

要指定访问租户的授权 IP 地址，请单击“授权 IP 地址”字段。

输入您要授权租户访问的一个或多个 IP 地址。 用逗号分隔每个 IP 地址。
单击“保存”关闭输入框并在页面上选择其他配置设置。

会话超时
输入一个时间（以分钟为单位，1 到 120 之间的任何数字），在此之后会话将过期，并且需要再次登录。 默认值为 30 分钟。
登录访问瞻博网络支持
系统管理员和应用程序管理员可以启用或禁用服务管理员和操作管理员对 Juniper 支持的访问。 您可以拒绝访问或选择可用访问的天数。
在 Lookout 支持字段中，选择一个选项。 默认选择是禁止访问。 您还可以选择访问 1 天、3 天或 1 周。
单击保存以保存所有租户配置设置。

管理用户

CASB 提供了三个用于管理用户的选项：

• 管理性，它可以按角色控制管理服务器和混合密钥管理系统的用户访问
• 企业，它提供了一个集成 view 企业中的用户及其帐户信息

行政用户管理
CASB 提供基于角色的访问控制，以明确区分用户访问权限和责任。 您可以根据需要添加新用户。
管理服务器和混合密钥管理系统 (HKMS) 的所有用户信息都是相同的，尽管用户组是分开维护的。

添加新用户
添加用户：

1. 转到 Administration > User Management，然后单击 Administrative User Management 选项卡。
2. 单击新建。
3. 输入以下信息：
   ● 用户名——为用户输入一个有效的电子邮件地址。
   ● 角色——使用复选框为用户选择一个或多个角色。● 系统管理员——可以执行所有系统管理功能，包括载入云应用程序、添加和删除用户、创建和分配密钥以及重新启动管理服务器。
   ● 密钥管理员——可以创建、分配和删除密钥，并监控其他系统功能。
   ● 应用程序管理员——可以创建和管理应用程序并监控其他系统功能。
   ● Application Monitor – 可以通过管理控制台监控系统功能， view 警报和导出报告。 无法创建或修改功能，例如载入云应用程序、添加用户、编辑用户信息或配置系统设置。
   笔记
   托管部署包括两个具有独特角色的额外用户：服务管理员和操作管理员。 这些用户由 Juniper Networks 分配，无法删除。
4. 单击“应用”。
5. 单击保存。 新用户被添加到列表中。 新用户将收到一封包含临时密码的电子邮件通知，并会被要求选择一个永久密码。

设置用户帐户密码策略
CASB 提供默认密码策略。 您可以更改默认设置以满足组织的需要。
要更改用户帐户密码策略：

1. 转到管理 > 用户管理。
2. 单击用户帐户密码策略链接。
   显示密码策略屏幕。 （一旦您开始输入更改，“保存”按钮就会激活。）
3. 根据需要更改策略项：
   

   场地	描述
   最小长度	指定可以构成用户帐户密码的最少字符数。 您可以设置 1 到 13 个字符之间的值。 要指定不需要密码，请将字符数设置为（零）。 建议至少 8 个字符。 这个数字足够长，可以提供足够的安全性，但用户不会太难记住。 此值还有助于提供足够的防御来抵御暴力攻击。
   最大长度	指定可以构成用户帐户密码的最大字符数。 如果您指定 0（零），则允许的长度将不受限制。 建议设置为 0（无限制）或相对较大的数字，例如 100。
   小写字符	指定用户帐户密码中必须包含的最小小写字符数。 如果输入 0（零），则密码中不允许使用小写字符。 建议至少使用 1 个小写字符。
   大写字符	指定用户帐户密码中必须包含的最少大写字符数。 如果输入 0（零），则密码中不允许使用大写字符。 建议至少包含 1 个大写字符。
   特殊字符	规定特殊字符的最小数量（例如ample, @ 或 $) 可以构成用户帐户的密码。 如果输入 0（零），密码中不需要特殊字符。 建议至少使用 1 个特殊字符。
   数字	指定用户帐户密码中必须包含的最少数字字符数。 如果输入 0（零），则密码中不需要数字字符。 建议至少包含 1 个数字字符。

   场地	描述
   执行 密码历史记录	指定在可以重新使用旧密码之前必须与用户帐户关联的唯一新密码的数量。 较小的数字允许用户重复使用相同的少量密码。 对于前ample，如果您选择 0、1 或 2，用户可以更快地重复使用旧密码。 设置更高的数字将使使用旧密码更加困难。
   密码有效期	指定在系统要求用户更改密码之前可以使用密码的时间段（以天为单位）。 您可以将密码设置为在 1 到 99 之间的天数后过期，或者您可以通过将天数设置为 0（零）来指定密码永不过期。
   允许无效登录尝试	指定将导致用户帐户被锁定的失败登录尝试次数。 在管理员重置或锁定有效期策略设置指定的分钟数到期之前，无法使用锁定的帐户。 您可以设置一个从 1 到 999 的值。如果您希望帐户永不被锁定，您可以将该值设置为 0（零）。
   锁定有效期	指定帐户在自动解锁之前保持锁定状态的分钟数。 可用范围为 1 到 99 分钟。 值 0（零）表示帐户将被锁定，直到管理员将其解锁。

4. 单击保存。

系统管理员和非管理员角色的帐户状态
非管理员用户帐户在超过 90 天未使用后将自动禁用。 当帐户被禁用时，用户将在管理控制台登录屏幕上看到一条消息，通知他们其帐户已被禁用。 系统管理员必须重新启用该帐户，用户才能登录管理控制台。
笔记
系统管理员、服务管理员和运营管理员的帐号不能被禁用。 只能禁用和重新启用密钥管理员、应用程序管理员和应用程序监视器角色的帐户。
在“用户管理”页面的“管理用户管理”选项卡上，切换代表以下条件：

• 系统管理员：切换可见，默认启用。 并显示为灰色。
• 服务管理员和运营管理员：切换可见，默认启用，并显示为灰色。
• 系统管理员可以禁用或启用具有密钥管理员、应用程序管理员和应用程序监视器角色的用户的状态。
• 对于尚未完成用户入职流程的现有系统管理员，切换显示禁用状态。
• 对于尚未完成用户入职流程的新创建的系统管理员，切换不可见。
• 对于已完成入职流程但尚未登录应用程序的系统管理员，切换已启用但显示为灰色。
• 对于密钥管理员、应用程序管理员和应用程序监视器角色：这些用户的帐户在 90 天未使用后将被禁用。 当他们尝试登录到管理控制台时，他们将被阻止。

笔记
之前帐户被禁用的系统管理员现在已启用（活动）。
以下部分为系统管理员提供了禁用和重新启用非管理员用户帐户的说明。
禁用非管理员用户帐户

1. 单击已启用的非管理员帐户的亮绿色切换按钮。
2. 出现提示时，确认禁用帐户的操作。

重新启用禁用的非管理员用户帐户

1. 单击已禁用的非管理员帐户的灰色无色切换按钮。
2. 出现提示时，确认重新启用帐户的操作。

重新分配超级管理员角色
一个租户只能拥有一个超级管理员账号。 如果您想将超级管理员角色重新分配给其他用户，您必须在使用当前超级管理员帐户登录时执行此操作。

1. 在管理控制台中，选择管理 > 系统设置 > 租户配置。
2. 如果您以超级管理员身份登录，您将看到重新分配超级管理员选项。
3. 从下拉菜单中选择所需的用户。 此处仅显示当前具有系统管理员角色的用户。
4. 单击发送 OTP 以接收一次性密码。
5. 从您的电子邮件中检索密码并将其输入到输入 OTP 字段中。 单击验证。
6. 单击保存。 超级管理员角色将转移给您选择的用户。

企业用户管理
企业用户管理页面提供了一个集成的 view 企业中的用户及其帐户信息。
搜索用户信息
您可以通过以下方式查询用户信息：

• 帐户名（电子邮件），以查看哪些用户与特定帐户相关联，
• 用户组，查看哪些用户属于特定用户组，或者
• 用户名，查看哪些用户（如果有）与多个帐户相关联。

要执行搜索，请在搜索框中输入全部或部分用户名、群组名称或电子邮件。
搜索区分大小写。 要返回默认列表，请清除搜索框。
过滤用户信息
您可以通过云应用程序过滤信息的显示。 单击右上角的过滤器图标并选择要包含在显示中的云应用程序。

要清除过滤器，请单击列表框外的任意位置。

为企业集成配置 CASB

您可以将 CASB 配置为与外部服务一起使用，以管理用户数据、收集有关未经批准的云应用程序的信息以及其他功能。
提供了以下主题：

• 为系统服务安装本地连接器
• 添加高级威胁防护 (ATP) 服务
• 为企业数据丢失防护 (EDLP) 添加外部服务
• 配置安全信息和事件管理 (SIEM)
• 配置数据分类
• 创建和管理用户目录
• 创建和管理企业网站
• 创建通知渠道

为系统服务安装本地连接器
CASB 提供统一的内部部署连接器，可用于多种服务，包括 SIEM、日志代理和 EDLP。 以下部分提供了安装内部部署连接器的规范和说明。

• 规格
• 下载连接器
• 预安装步骤
• 安装连接器
• 重新启动和卸载连接器
• 其他说明

笔记
只有在 CentOS 上运行的代理才支持远程升级。
如果您使用的是连接器版本 22.03 并计划迁移到版本 22.10.90，则可以使用手动升级程序升级 SIEM、EDLP 和日志代理。 有关详细信息，请参阅手动升级 SIEM、EDLP 和日志代理部分。
规格
安装本地连接器需要以下规范。
操作系统和软件

• 对于 SIEM、EDLP 和日志代理：Red Hat Enterprise、CentOS 8、Ubuntu 20.04.5 LTS (Focal Fossa)
• Java 版本 11
• bzip2 1.0.6
• RPM 版本 4.11.3

防火墙设置

• 允许出站 HTTPS 流量
• 允许以下出站 WSS 连接：
  • nm.ciphercloud.io（适用于 SIEM、LOG 和 EDLP 代理）
  • wsg.ciphercloud.io（适用于 SIEM、LOG 和 EDLP 代理）

VM 配置的最低要求
以下是部署选项和最低硬件要求。 基础包包含 NS-Agent 和升级服务。
日志代理、SIEM 和 EDLP 服务

• 8 GB 内存
• 4 个 vCPU
• 100 GB 磁盘空间

下载连接器

1. 转到管理 > 系统设置 > 下载。
2. 选择内部部署连接器并单击下载图标。
   
3. 保存转速 file 用于安装在适当的 VM 上。

预安装步骤
第 1 步 – 为服务创建代理

1. 转到管理 > 企业集成并选择要配置的代理。
2. 执行以下步骤来配置代理。

第 2 步 – 创建环境
执行这些基本步骤以创建环境。

1. 转到管理 > 环境管理并单击新建。
2. 输入环境的名称和描述。
3. 选择本地连接器作为环境类型。
4. 输入要安装连接器的位置的 IP 地址。
5. 启用代理并选择服务。
6. 保护环境。

第 3 步 – 创建节点
执行这些基本步骤来创建节点。

1. 转到管理 > 节点管理并单击新建。
2. 输入节点的名称和描述。
3. 选择连接器作为节点类型。
4. 选择您在上一步中创建的环境。
5. 选择服务。
6. 保存节点。
   执行以下部分中的步骤以安装内部部署连接器。

安装连接器（SIEM、EDLP 和 Log Agent）
执行以下步骤来安装本地连接器。 在脚本中，术语节点服务器指的是连接器。 在接下来的部分中，术语节点服务器指的是连接器。
运行以下命令开始安装：
[root@localhost home]# rpm -ivh enterprise-connector-21.01.0105.x86_64.rpm
准备…… #################################
[100%] /usr/sbin/useradd -r -g ccns -c ${USER_DESCRIPTION} -s /bin/nologin ccns
更新/安装...
1:企业连接器-0:21.01.0-10##################################[100%] CipherCloud节点服务器已成功安装在
/opt/ciphercloud/节点服务器。
添加 [Systemd] 服务支持
重新加载 Systemd 守护进程
已安装 Systemd 服务节点服务器
请使用'sudo systemctl start node-server'手动启动服务
==========================重要================
请在第一次启动之前运行'sudo /opt/ciphercloud/node-server/install.sh'来配置节点服务器。
=================================================== =
运行以下命令以更改到安装连接器的目录。
[root@localhost ~]# cd /opt/ciphercloud/node-server/
运行以下命令以执行安装。
[root@localhost 节点服务器]# ./install.sh
初始化节点服务器安装脚本。 请稍等..
请输入管理服务器端点 [wss://nm:443/nodeManagement]：
根据您租户的位置，提供节点管理 URL:
对于 Europe Central-1 [euc1]：
wss://nm.euc1.lkt.cloud:443/nodeManagement
对于美国西部 2 [usw2]：
wss://nm.usw2.lkt.cloud:443/nodeManagement
注意：您可以识别节点管理 URL 从您的管理控制台 URL 如下：
如果您的管理控制台 URL is https://maxonzms.euc1.lkt.cloud/account/index.html#login
然后你的节点管理 URL is
euc1.lkt.cloud
输入显示的默认选项或输入 URL 对于这个安装。
管理服务器端点： URL>
输入此租户的 ID。
输入租户 ID：
输入节点服务器的唯一名称。
输入节点服务器唯一名称：
输入 API 令牌（单击配置选项卡中的 API 令牌按钮）。
输入节点服务器令牌：
有 3 个 NICS 分配给该主机。
1）网卡_n
2）网卡_n
3)
请从上面的列表中选择一个选项
选择一个 NIC 选项。
NIC 选项（1 到 3）：
所选网卡是
添加新属性 ms.endpoint。
添加新属性 node.name。
添加新属性 node.token.plain。
添加新属性 node.nic。
更新属性 logging.config
更新属性 logging.config
更新属性 logging.config
更新属性 logging.config
节点服务器安装完成。 使用“sudo service nodeserver start”启动节点服务器。
=================================
启动连接器
运行以下命令：
sudo 服务节点服务器启动
重新启动和卸载连接器
重启
运行以下命令：
[root@localhost 节点服务器]#sudo systemctl 重启节点服务器
卸载
运行以下命令：
rpm -ev 企业连接器
SIEM 的附加配置说明

• WSG 配置基于安装区域。
• 对于 SIEM，假脱机目录路径应位于 /opt/ciphercloud/node-server 下。 该目录不需要手动创建。 在 SIEM 配置中，提供目录路径和名称——例如amp文件，/opt/ciphercloud/node-server/siempooldir。

日志代理的附加配置说明
连接到不同的服务器
默认提供 KACS 和 WSG 配置。 如果您需要连接到不同的服务器，请使用以下命令覆盖服务器和端口信息。
[root@localhost log-agent]# cat /opt/ciphercloud/node-server/config/logagent/log-agent.conf
JAVA_OPTS=-Xms7682m -Xmx7682m -Dkacs.host=kacs.devqa.ciphercloud.in Dkacs.port=8987-Dwsg.host=wsg.devqa.ciphercloud.in -Dwsg.port=8980
写入权限
如果需要，为 ccns 用户提供假脱机目录的写入权限。
帕洛阿尔托网络日志的 Redis 命令
对于帕洛阿尔托网络日志，请对本地 Redis 使用以下设置命令。
设置
为 ciphercloud-node-logagent-redis 运行 systemctl setup 命令
[root@localhost ~]# cd /opt/ciphercloud/node-server/bin/log-agent
[root@localhost log-agent]# ./logagent-redis-systemctl-setup.sh
运行以下命令以启动、重启、停止和显示 ciphercloud-node-logagent-redis 的状态。
开始
[root@localhost 日志代理]#
systemctl 启动 ciphercloud-node-logagent-redis
重启
[root@localhost 日志代理]#
systemctl 重启 ciphercloud-node-logagent-redis
停止
[root@localhost 日志代理]#
systemctl 停止 ciphercloud-node-logagent-redis
显示状态
[root@localhost 日志代理]#
systemctl状态ciphercloud-node-logagent-redis
EDLP 的附加配置说明
KACS 和 WSG 配置基于安装区域。

添加高级威胁防护 (ATP) 服务
在此页面中，您可以创建和管理配置以与供应商集成以实现高级威胁防护。 CASB 支持 Juniper ATP Cloud 和 FireEye ATP 服务。

1. 从企业集成页面中，选择威胁管理。
2. 要显示配置的详细信息，请单击该配置左侧的 > 箭头。

为威胁管理添加新配置：

1. 单击新建。
2. 输入以下信息。 左侧带有彩色边框的字段需要一个值。
   ● 名称— 服务的名称。 当您创建扫描恶意软件的策略时，您在此处输入的名称将出现在可用外部服务的下拉列表中。
   ● 描述（可选）— 输入服务的描述。
   ● 供应商— 从列表中选择供应商，FireEye 或Juniper Networks (Juniper ATP Cloud)。● 服务 URL - 输入 URL 此配置的服务。
   ● API 密钥— 输入服务提供的API 密钥。 您可以选择显示或隐藏此键。 当密钥被隐藏时，Xs 出现在条目中。
3. 如果你想排除 file 通过此服务扫描的大小和扩展名，请单击 File 类型排除和 File 大小排除切换以启用这些设置。 然后，输入以下信息。
   ●对于 File 类型排除，输入类型 files 被排除在扫描之外。 用逗号分隔每种类型。 ●对于 File 尺寸排除，输入一个大于零的数字代表上限 file 扫描的大小阈值。 File大于此尺寸的将不会被扫描。
4. 单击保存。
   新配置已添加到列表中。 连接成功由绿色连接器图标指示。

为企业数据丢失防护 (EDLP) 添加外部服务
您可以将 CASB 配置为与外部服务一起使用，以管理用户数据、收集有关未经批准的云应用程序的信息以及其他功能。
许多组织已对企业 DLP (EDLP) 解决方案进行了大量投资。 这项投资不仅包括软件和支持方面的资本支出，还包括用于制定满足组织需求的政策的工时和智力资本。 通过向组织添加 CASB，您可以将访问边界从传统企业 DLP 所在的端点扩展到云和 SaaS。
当 CASB 与 EDLP 解决方案集成时，可以配置策略对 CASB DLP 进行初始检查，然后通过 file/数据到 EDLP。 或者它可以将所有内容传递给 EDLP 或两者的组合。
之后 file/数据检查完成，采取政策行动。 前任amp政策行动的内容包括：

• 加密
• 拒绝上传
• 水印
• 隔离
• 允许并记录
• 用户修复
• 代替 file 用记号笔 file

以下主题提供了配置外部服务以防止数据丢失的说明。

• 为 EDLP 创建新配置
• 下载和安装 EDLP 代理
• 停止和启动 EDLP 代理
• Vontu 服务的 Symantec DLP 响应规则配置

为 EDLP 创建新配置

1. 在管理控制台中，转至管理 > 企业集成 > 数据丢失防护。
2. 单击新建。
3. 输入以下配置详细信息。 （显示的值是前amp莱斯。）● 名称— 输入此EDLP 服务的名称。
   ● 说明（可选）— 输入简短说明。
   ● 供应商– 选择外部DLP 供应商。 选项是 Symantec 或 Forcepoint。
   ● DLP 服务器主机名— 输入要用于外部DLP 的服务器的主机名或IP 地址。
   ● 服务名称— 输入适用于此配置的服务的名称或IP 地址。
   ● ICAP 端口— 输入相关互联网内容管理协议(ICAP) 服务器的编号。 ICAP 服务器专注于特定问题，例如病毒扫描或内容过滤。
4. 排除任何 file 来自 EDLP 扫描的类型或大小，单击切换以启用排除。 然后输入相应的 file 信息。●对于 file 类型，输入扩展名 file 要排除的类型，用逗号分隔每个扩展名。
   ●对于 file 尺寸，输入最大值 file 要排除的大小（以兆字节为单位）。
5. 单击保存。
   新配置已添加到列表中。 下载并安装代理后，即可建立连接。 连接成功在“数据丢失防护”页面上由绿色连接器图标表示。

下载和安装 EDLP 代理
创建至少一个 EDLP 代理后，您可以下载 EDLP 代理并将其安装在机器或服务器上。 您选择用于安装 EDLP 代理的机器应包含 RedHat Enterprise / CentOS 7.x 和 Java 1.8。
安装 EDLP 代理的先决条件
您的环境必须包括以下用于安装和运行 EDLP 代理的组件和设置：

• Oracle 服务器 Java 11 或更高版本
• JAVA_HOME 环境变量设置
• root 或 sudo 权限
• 硬件 – 4 核、8 GB RAM、100 GB 存储空间

执行以下部分中概述的步骤以下载、安装和启动 EDLP 代理。
下载 EDLP 代理

1. 在管理控制台中，转至管理 > 系统设置 > 下载。
2. 从列表中选择 EDLP 代理，然后单击操作下的下载图标。
   到 view 关于 file，包括版本、大小和校验和值，单击信息图标。
   EDLP 代理下载为 ciphercloud-edlpagent-20.07.0.22.centos7.x86_64.rpm。
3. 将 EDLP 代理移动到其预期的机器上。

安装 EDLP 代理

1. 从命令行运行以下命令：
   转数-ivh
   例如amp乐：
   rpm -ivh ciphercloud-edlpagent-20.07.0.22.centos7.x86_64.rpm
   正在准备... ################################### [100%] 正在准备/安装...
   1:ciphercloud-edlpagent-20.07.0.22.centos7.x86_64########################
   ## [100%] 执行“EDLP-setup”来设置您的 EDLP Agent
   RPM 客户端将安装在以下位置：
   /opt/ciphercloud/edlp
2. 转到 /opt/ciphercloud/edlp/bin 目录。
3. 运行设置 file 使用以下命令：
   ./edlp_setup.sh
4. 出现提示时，输入授权令牌以完成安装过程。
   要获取授权令牌，请转至管理 > 企业集成 > 数据丢失防护（授权令牌列）。隐藏身份验证令牌 view，单击右上角的列过滤器图标，然后取消选中 Auth Token。

笔记
您可以从 /opt/ciphercloud/edlp/logs 目录访问日志。
停止和启动 EDLP 代理服务

• 要停止 EDLP 代理服务，请输入以下命令：systemctl stop ciphercloud-edlp
• 要启动 EDLP 代理服务，请输入以下命令：systemctl start ciphercloud-edlp

检查 EDLP 代理状态

• 要检查 EDLP 代理服务的状态，请输入以下命令：systemctl status ciphercloud-edlp

Symantec DLP 响应规则配置（Vontu 服务）
在 Symantec DLP 配置（管理选项卡/配置响应规则）中，您需要输入有关违规和违规策略的信息，如图所示，以违规作为关键字。 将每个违反政策的名称括在美元符号之间，以逗号分隔。 策略名称或名称应与在 CASB 中输入的名称完全相同。 格式化策略条目如下：
$策略名称A、策略名称B、策略名称C$

配置 Forcepoint 安全管理器和保护器
执行以下步骤来配置 Forcepoint 安全管理器和保护器：

1. 在常规选项卡中，启用默认端口为 1344 的 ICAP 系统模块。
2. 在 HTTP/HTTPS 选项卡中，将 ICAP 服务器的模式设置为阻塞。
3. 在策略管理下，从预定义策略列表中添加新策略或创建自定义策略。 然后，部署新策略。

手动升级 SIEM、EDLP 和日志代理
根据您的操作系统和要安装的包类型，执行以下部分中的步骤以手动升级本地连接器。 此手动升级过程适用于 EDLP、SIEM 和 Log Agent。
对于 CentOS 和 RHEL
如果您在以前的版本中安装了 rpm 包，请使用 RPM 包升级连接器。
有关说明，请参阅使用 RPM 包升级连接器部分。
使用 RPM 包升级连接器

1. 从管理控制台，转至管理 > 系统设置 > 下载。
2. 点击下载图标 对于本地连接器 rpm 包。
3. 将下载的 RPM 包复制到您要安装的节点服务器上。
4. 登录到节点服务器。
5. 停止节点服务器服务：sudo service node-server stop
6. 运行以下命令：sudo yum install epel-release
7. 运行以下命令升级连接器：sudo yum upgrade ./enterprise-connector*.rpm
8. 启动节点服务器服务： sudo service node-server start

对于 Ubuntu
如果您以前的连接器是使用 Tar 包安装的，要获得最新的连接器版本，您可以使用 Debian 包执行全新安装（方法 1）或使用 Tar 包升级连接器（方法 2）。
如果您以前的连接器是使用 Debian 软件包安装的，您可以使用 Debian 软件包升级连接器（方法 3）。
方法 1（推荐）：使用 Debian 软件包安装最新版本的连接器
如果您以前的连接器是使用 Tar 包安装的，要获取最新的连接器版本，您可以使用 Debian 包执行最新连接器版本的全新安装。 下面提供了此过程的详细步骤。
优点：

• 您可以使用 service/systemctl 命令来启动/停止服务。
• 其他功能所需的附加依赖项由 apt 命令自动安装。

缺点： 

• 由于这是全新安装，您需要运行 install.sh 脚本。
• 在安装过程中提供节点名称、authToken 等详细信息。

方法 2：使用 Tar 包升级连接器
优点：

• 无需再次运行 install.sh 脚本。

缺点：

• 你需要使用 sudo bash command for any start/stop operations.
• 在解压 opt/ciphercloud 目录下的 TAR 包之前，您需要删除旧的 bo​​ot-ec-*.jar file.

方法 3：使用 Debian 软件包升级连接器
如果您以前的连接器是使用 Debian 软件包安装的，请使用此过程。
方法 1：使用 Debian 软件包安装最新版本的连接器
笔记： 如果您已经使用 Tar 包在计算机上安装了任何连接器，请停止节点服务器服务并删除位于 opt 目录下的 ciphercloud 目录，然后再开始此过程。

1. 从管理控制台，转至管理 > 系统设置 > 下载。
2. 单击 On-premise Connector – Debian 软件包的下载图标。
3. 将下载的 Debian 包复制到您要安装的节点服务器上。
4. 登录到节点服务器。
5. 运行以下命令在 Linux 实例中开始安装：
   [ubuntu@localhost home]# sudo apt install ./enterpriseconnector_ _amd64.deb
   在哪里是当前的 DEB file 管理控制台中的版本。
   笔记： 确保您在执行此安装时已连接到 Internet。
6. 当提示保存 IPv4 和 IPv6 规则时，单击是。
7. 运行以下命令以更改到安装连接器的目录。 cd /opt/ciphercloud/节点服务器
8. 运行以下命令以配置安装选项。 ./install.sh 系统响应：正在初始化节点服务器安装脚本。 请稍等..
9. 响应系统提示如下：
   请输入管理服务器端点
   [wss://纳米。 :443/节点管理]:
   A。 输入显示的默认选项或输入 URL 对于这个安装。
   b. 管理服务器端点： URL>
   C。 输入此租户的唯一 ID。 输入租户 ID：
   C。 输入节点服务器的唯一名称。
   输入节点服务器唯一名称：
   d. 输入 API 令牌（单击配置选项卡中的 API 令牌按钮）
   输入节点服务器令牌： 一旦节点服务器安装完成。 使用“sudo service node-server start”启动节点服务器。
   e. 选择 Y 使用上游代理安装并输入上游代理详细信息。
   笔记 如果您不想使用上游代理，请指定 N 并按 Enter。
   是否存在上游代理？ [是/否]：是的
   输入上游代理服务器主机名：192.168.222.147
   输入上游代理服务器端口号：3128
   F。 如果要授权启用上游代理，请输入用户名和密码。
   否则，按 Enter。
   输入上游代理授权-用户名（不需要授权按回车键）：test 输入上游代理授权-密码：test@12763
10. 运行以下命令启动节点服务器： sudo service node-server start

方法 2：使用 Tar 包升级连接器
笔记： 如果您使用的是 Ubuntu 操作系统，我们建议您安装最新的 Debian 软件包。 有关说明，请参阅使用 Debian 软件包安装新的连接器。

1. 从管理控制台，转至管理 > 系统设置 > 下载。
2. 点击下载图标 对于本地连接器 Tar 包。
3. 将下载的 Tar 包复制到要升级的节点服务器上。
4. 登录到节点服务器。
5. 使用以下命令停止节点服务器服务：sudo bash /opt/ciphercloud/node-server/bin/agent/agent stop
6. 制作 boot-ec-*.jar 的备份副本 file 并将其保存到不同的位置。
7. 删除 boot-ec-verion.jar file 来自 /opt/ciphercloud/node-server/lib 目录。
8. 将本地连接器 Tar 包解压到 /opt/ciphercloud：sudo tar -xvf enterprise-connector- .tar.gz –目录/opt/ciphercloud sudo chown -R ccns:ccns /opt/ciphercloud/node-server
   此操作将内容提取到节点服务器目录。
9. 启动节点服务器服务： sudo bash /opt/ciphercloud/node-server/bin/agent/agent start

方法 3：使用 Debian 软件包升级连接器
如果您之前在 Ubuntu 操作系统上的连接器是使用 Debian 软件包安装的，请使用此过程升级您的连接器。

1. 从管理控制台，转至管理 > 系统设置 > 下载。
2. 点击下载图标 对于 On-premise Connector – Debian 软件包。
3. 将下载的 Debian 包复制到您要安装的节点服务器上。
4. 登录到节点服务器。
5. 停止节点服务器服务：sudo service node-server stop
6. 运行以下命令升级连接器：sudo apt upgrade ./enterprise-connector*.deb
7. 当提示保存 IPv4 和 IPv6 规则时，单击是。
8. 启动节点服务器服务： sudo service node-server start

配置安全信息和事件管理 (SIEM)
在企业集成页面中，单击 SIEM。
到 view 有关现有 SIEM 配置的详细信息，请单击左侧的 > 图标。
下载、安装和连接 SIEM 代理
创建至少一个 SIEM 代理后，您可以下载 SIEM 代理并将其安装在计算机或服务器上。 您选择用于安装 SIEM 代理的机器应包含 RedHat Enterprise / CentOS 7.x，以及 Java 1.8。
如果您打算使用 SIEM 代理运行的数据是目录或 file，必须将 SIEM 代理下载到 files 位于。
安装 SIEM 代理的先决条件
您的环境必须包含以下用于安装和运行 SIEM 代理的组件和设置：

• Oracle 服务器 Java 11 或更高版本
• JAVA_HOME 环境变量设置
• root 或 sudo 权限

执行以下步骤以下载、安装和启动 SIEM 代理。
下载

1. 在管理控制台中，选择管理 > 企业集成。
2. 单击您正在下载的 SIEM 代理行中的下载图标。
   SIEM 代理下载为 ciphercloud-siemagent-1709_rc2-1.x86_64.rpm。
3. 将 SIEM 代理移动到其预期的机器（或根据需要移动到多台机器）。

安装
从命令行运行以下命令：rpm -ivh
例如amp乐：
rpm -ivh ciphercloud-siemagent-1709_rc2-1.x86_64.rpm
准备…… #################################
[100%] 准备/安装...
1:ciphercloud-siemagent-1709_rc2-1.x86_64################
[100%] 执行“siemagent-setup”来设置您的 siem 代理

配置
运行 siemagent setup 命令以配置 SIEM 代理并粘贴身份验证令牌，如以下说明中所述。
siemagent 设置
例如amp乐：
siemagent 设置
输入授权令牌：
启动 CipherCloud siem 代理配置
Java 已经配置
使用授权令牌更新 CipherCloud siem 代理
启动 CipherCloud siem 代理服务…
已经停止/未运行（未找到 pid）
使用 PID 23121 启动日志代理
完毕

View获取身份验证令牌

1. 转到管理 > 企业集成 > SIEM。
2. 选择您创建的 SIEM 代理。
3. 在 Display Auth Token 列中，单击 Show 以显示令牌。

卸载 SIEM 代理
要卸载 SIEM 代理，请运行以下命令：rpm -e
例如amp乐：
rpm -e ciphercloud-siemagent-1709_rc2-1.x86_64
已停止 [12972] 版本 1709 的软件包 ciphercloud-logagent 已成功卸载

启动、停止和检查 SIEM 代理的状态
要启动 SIEM 代理，请输入以下命令：systemctl start ciphercloud-siemagent
要停止 SIEM 代理，请输入以下命令：systemctl stop ciphercloud-siemagent
要检查 SIEM 代理的状态，请输入以下命令：systemctl status ciphercloud-siemagent

View正在处理 SIEM 代理日志
转到 /opt/ciphercloud/siemagent/logs/
创建新的 SIEM 配置
要创建新的 SIEM 配置，请执行以下步骤。

1. 单击新建。
2. 输入以下信息。 （显示的值是前amp莱斯。）
   ● 名称（必填）– 输入此配置的名称。
   ● 说明（可选）— 输入简短说明。
   ● Cloud – 为此配置选择一个或多个云应用程序。● Event Type – 为此配置选择一种或多种事件类型。● 供应商— 选择供应商。 选项是
   ● HP ArcSight
   ● IBM QRadar
   ● 英特尔安全
   ● 日志节奏
   ● 其他
   ● Splunk
   ● 转发类型— 选择假脱机目录、系统日志TCP 或系统日志UDP。
   ● 对于假脱机目录，输入日志的目录路径 file生成。● 对于Syslog TCP 或Syslog UDP，输入远程主机名、端口号和日志格式（JSON 或CEF）。
3. 单击保存。

新配置已添加到列表中。 默认情况下，身份验证令牌是隐藏的。 要显示它，请单击“显示”。
下载并安装代理后，即可建立连接。 SIEM 页面上的绿色连接器图标表示连接成功。

附加操作
Action栏除了下载动作外，还提供了以下两个选项：

• 暂停 – 暂停将事件传输到 SIEM。 单击此按钮且代理暂停时，工具提示会将按钮标签更改为恢复。 要恢复传输，请再次单击该按钮。
• 删除 – 删除代理。

配置数据分类
CASB 支持与 Azure 信息保护 (AIP) 和 Titus 集成以进行数据分类。 以下部分概述了如何配置这些集成。
与 Azure 信息保护 (AIP) 集成
CASB 支持与 Microsoft Azure 信息保护 (AIP) 集成，后者提供了用于保护数据的其他选项。 如果您有 Microsoft Office 帐户，则可以使用您的 Microsoft 365 凭据添加 AIP 集成连接，并将其作为一项操作应用于您为任何云应用程序创建的任何策略。
AIP 支持使用 Active Directory 权限管理服务（AD RMS，也称为 RMS），它是解决信息权限管理的服务器软件。 RMS 对各种类型的文档应用加密和其他功能限制（例如ample，Microsoft Word 文档），以限制用户可以对文档执行的操作。 您可以使用 RMS 模板保护加密文档不被特定用户或组解密 RMS 模板将这些权限组合在一起。
当您创建 AIP 集成连接时，您创建的内容策略会提供一个 RMS 保护操作，该操作应用您为策略选择的 RMS 模板中指定的保护。
您可以使用标签来识别云中文档的特定保护类型。 您可以在现有文档中添加标签，或者在创建文档时分配或修改标签。 标签包含在您创建的策略的信息中。 当您创建新标签时，您可以单击 AIP 配置页面中的同步标签图标来同步您的标签并启用最新标签的分配。

检索 AIP RMS 连接所需的参数
要启用对所需参数的访问：

1. 在管理员模式下打开 Windows PowerShell。
2. 运行以下命令以安装 AIP cmdlet。 （此操作需要几分钟才能完成。）
   安装模块名称 AADRM
3.  输入以下 cmdlet 以连接到该服务：Connect-AadrmService
4. 响应身份验证提示，输入您的 Microsoft Azure AIP 登录凭据。
5. 通过身份验证后，输入以下 cmdlet：Get-AadrmConfiguration
   显示以下配置详细信息 BPOSId：9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a
   RightsManagementServiceId : 5c6bb73b-1038-4eec-863d-49bded473437
   许可 Intranet 分发点 Url : https://5c6bb73b-1038-4eec-863d49bded473437.rms.na.aadrm.com/_wmcs/licensing
   许可外联网分发点 Url: https://5c6bb73b-1038-4eec-863d49bded473437.rms.na.aadrm.com/_wmcs/licensing
   认证内网分发点 Url : https://5c6bb73b-1038-4eec-863d49bded473437.rms.na.aadrm.com/_wmcs/certification
   认证外网分发点 Url: https://5c6bb73b-1038-4eec-863d49bded473437.rms.na.aadrm.com/_wmcs/certification 
   管理员连接 Url : https://admin.na.aadrm.com/admin/admin.svc/Tenants/5c6bb73b-1038-4eec863d-49bded473437
   AdminV2 连接 Url : https://admin.na.aadrm.com/adminV2/admin.svc/Tenants/5c6bb73b-1038-4eec863d-49bded473437
   On Premise DomainName: Keys : {c46b5d49-1c4c-4a79-83d1-ec12a25f3134}
   当前许可证或证书指南：c46b5d49-1c4c-4a79-83d1-ec12a25f3134
   Templates : { c46b5d49-1c4c-4a79-83d1-ec12a25f3134, 5c6d36g9-c24e-4222-7786e-b1a8a1ecab60}
   功能状态：启用
   启用超级用户：禁用
   超级用户：{admin3@contoso.com、admin4@contoso.com}
   管理员角色成员：{全局管理员 -> 5834f4d6-35d2-455b-a134-75d4cdc82172，连接器管理员 -> 5834f4d6-35d2-455b-a134-75d4cdc82172}
   密钥翻转计数：0
   供应日期：1/30/2014 9:01:31 PM
   IPCv3 服务功能状态：启用
   设备平台状态：{Windows -> True，WindowsStore -> True，WindowsPhone -> True，Mac ->
   FciEnabled 用于连接器授权：True
   文档跟踪功能状态：已启用
   从此输出中，您将需要 AIP 集成连接的突出显示项。
6. 运行以下命令获取base 64密钥信息： install-module MSOnline
7. 运行以下命令以连接到该服务：Connect-MsolService
8. 响应身份验证提示，再次输入您的 Azure AIP 登录凭据。
9. 运行以下命令：Import-Module MSOnline
10. 运行以下命令获取AIP集成连接所需的关键信息：New-MsolServicePrincipal
    显示以下信息，其中包括密钥类型（对称）和密钥 ID。
    命令管道位置 1 处的 cmdlet New-MsolServicePrincipal
    提供以下参数的值：
11. 输入您选择的显示名称。
    显示名称：Sainath-temp
12. 显示以下信息。 创建 AIP 集成连接时，您将需要突出显示的信息。
    以下对称密钥是在未提供的情况下创建的
    qWQikkTF0D/pbTFleTDBQesDhfvRGJhX+S1TTzzUZTM=

显示名称：Sainath-temp
ServicePrincipalNames : {06a86d39-b561-4c69-8849-353f02d85e66}
ObjectId : edbad2f2-1c72-4553-9687-8a6988af450f
AppPrincipalId : 06a86d39-b561-4c69-8849-353f02d85e66
TrustedForDelegation：假
账户启用：真
地址：{}
密钥类型：对称
KeyId : 298390e9-902a-49f1-b239-f00688aa89d6
开始日期：7/3/2018 8:34:49 AM
结束日期：7/3/2019 上午 8:34:49
用法：验证

配置 AIP 保护
检索到连接所需的参数后，即可在 Azure AIP 页面中创建连接。

要启用 AIP 配置：

1. 转到管理 > 企业集成。
2. 选择数据分类。
3. 如果未显示“Azure 信息保护”选项卡，请单击它。
4. 单击切换按钮以启用 Azure 信息保护配置。
5. 启用 AIP 配置后，将出现“授权”按钮，供您访问 Azure 信息。 （如果您之前已授权，该按钮将标记为重新授权。）
6. 出现 Microsoft 登录页面时，按照提示输入您的 Microsoft 登录凭据。

同步标签
在 CASB 中载入云应用程序时，您可以在 Azure 中创建新策略或分配策略。 您可以从 AIP 配置页面立即同步 Azure 标签。 这些标签将与管理控制台中的策略信息一起列出。
要同步标签：

1. 转到管理 > 企业集成 > 数据分类 > Azure 信息保护。
2. 单击标签列表右上方的“同步”图标可获取最新的 Azure 标签。
   同步完成后，将显示新添加的标签，并准备好分配。
   上次同步操作的日期显示在“同步”图标旁边。

标签信息
标签列在 AIP 配置页面下部的表格中。 对于每个标签，该列表包括标签名称、描述和活动状态（true=活动；false=不活动）。 根据标签的配置方式，该表可能包含其他详细信息（AIP 工具提示）、敏感度级别和标签的父名称。
要在列表中搜索标签，请在列表上方的搜索框中输入全部或部分标签名称，然后单击搜索图标。

创建具有 RMS 保护的策略
创建 AIP 连接后，您可以创建或更新策略以包括对文档的 RMS 保护。 执行以下步骤以创建 RMS 保护策略。 有关策略类型、内容规则和上下文规则的选项的更多信息，请参阅配置 Juniper Secure Edge CASB 以进行策略管理。

1. 创建策略。
2. 输入策略的名称和描述。
3. 选择策略的内容和上下文规则。
4. 在操作下，选择 RMS 保护。
5. 选择通知类型和模板。
6. 为策略选择一个 RMS 模板。 您选择的模板对文档应用特定的保护。 前任amp预定义模板的文件包括此处列出的那些。 您可以根据需要创建其他模板。
   ● Confidential\All Employees — 需要保护的机密数据，允许所有员工完全权限。 数据所有者可以跟踪和撤销内容。
   ● Highly Confidential \ All Employees — 高度机密的数据，允许员工 view、编辑和回复权限。 数据所有者可以跟踪和撤销内容。
   ● 常规— 不供公众使用但可根据需要与外部合作伙伴共享的业务数据。 前任amp文件包括公司内部电话簿、组织结构图、内部标准和大多数内部通信。
   ● 机密— 敏感的业务数据，如果与未经授权的人共享可能会对业务造成损害。 前任amp文件包括合同、安全报告、预测摘要和销售账户数据。
7. 确认策略信息并保存策略。
   当用户打开受保护的文档时，该策略将应用 RMS 保护操作中指定的保护。

创建其他 RMS 策略模板

1. 登录到 Azure 门户。
2. 转到 Azure 信息保护。
3. 通过重新验证服务是否处于活动状态view荷兰国际集团的保护激活状态。
4. 如果服务未激活，请选择激活。
5. 输入要创建的模板的名称（标签）。
6. 选择保护。
7. 选择保护。
8. 选择 Azure（云密钥）以使用 Azure 权限管理服务来保护文档。
9. 选择添加权限以指定用户权限。
10. 从“从列表中选择”选项卡中，选择
    ● – 所有成员，包括您组织中的所有用户，或
    ● 浏览目录以搜索特定组。
    要搜索单个电子邮件地址，请单击“输入详细信息”选项卡。
11. 在“从预设或自定义中选择权限”下，选择一种权限级别，然后使用复选框指定权限类型。
12. 完成添加权限后单击确定。
13. 要应用权限，请单击“发布”，然后单击“是”进行确认。

该模板已添加到 RMS Protect 操作的下拉列表中。
与 Titus 整合

1. 转到管理 > 企业集成 > 数据分类。
2. 单击 Titus 选项卡。
3. 单击 Titus 开关以启用集成。
4. 单击上传架构并选择 file 包含数据分类配置。

创建和管理用户目录
用户目录页面（管理 > 企业集成 > 用户目录）显示有关您可以创建和管理的用户目录的信息。

对于每个目录，页面显示以下信息：

• Cloud Name – 使用该目录的云应用程序。
• 云类型——目录类型：
  • 手动上传 - 手动上传目录包含您的云应用程序用户及其所属用户组的详细信息。 这些详细信息存储在 CSV 中 file. 通过识别用户组及其用户，管理员可以更轻松地控制或监控他们对数据的访问。 您可以创建和配置多个手动上传用户目录。
  • Azure AD — 云目录使用 Azure Active Directory 功能来监控用户信息和访问。 为每个云应用程序显示 Azure AD 目录信息。 此外，您还可以创建和配置一个 Azure AD 目录。
• 用户 – 目录中的当前用户数。
• 用户组 – 目录中用户组的当前数量。
• 创建日期 – 创建目录的日期和时间（本地）。
• 上传的 CSV（仅限手动上传目录）——上传的 CSV 的名称 file 其中包含用户和用户组信息。
• 上次同步（仅限云和管理员创建的 Azure AD 目录）– 上次成功目录同步发生的日期和时间（本地）。
• 上次同步状态（仅限云和管理员创建的 Azure AD 目录）- 上次同步操作的状态，成功、失败或进行中。 如果状态为失败，请稍后重试同步。 如果同步仍然失败，请联系您的管理员。
• 操作 – 您可以对目录执行的操作。

仅限云和管理员创建的 Azure AD 目录 - 同步目录内容以检索最新信息。
仅手动上传目录 — 导出 CSV files 为目录。
仅限管理员创建的 Azure AD 和手动上传目录 - 删除目录。
以下部分提供了有关创建和管理手动上传和 Azure AD 用户目录的信息。
手动上传用户目录
执行以下部分中的步骤来创建和管理手动上传目录。
创建一个新的手动上传目录

1. 转到管理 > 企业集成 > 用户目录并单击新建。
2. 从选择源下拉列表中选择手动上传。
3. 输入目录的名称和说明。精选 File 按钮变为活动状态并且下载为的选项amp文件格式 file 将显示。
   你可以下载sample file 创建目录或使用空白 CSV file 你自己的。
   CSV file 必须使用以下格式：
   ● 第一列——云用户的名字
   ● 第二列——云用户的姓氏
   ● 第三列——云用户的Email ID
   ● 第四列——云用户所属的用户组。 如果用户属于多个组，则用分号分隔每个组的名称。
   在Sample file 可供下载的文件已使用这些列进行了预格式化。
4. 一旦你完成了 file 与所需的用户信息，单击选择 File 上传它。
   这 file 名称出现在“保存”按钮上方，并且“保存”按钮变为活动状态。
5. 单击保存。 上传的 CSV file 被添加到用户目录列表中。

导出手动上传的 CSV file

• 在操作列中，单击 CSV 文件的导出图标 file 你想导出，并保存 file 到您的计算机。

删除手动上传的 CSV file

• 在“操作”列中，单击垃圾桶图标 file 您要删除，然后单击是确认删除。

Azure AD 用户目录

• 执行以下部分中的步骤来创建和管理 Azure AD 目录。

创建新的 Azure AD 用户目录
如果不存在管理员创建的 Azure AD 用户目录，您可以创建一个。 如果管理员创建的 AD 用户目录已经存在，您必须先将其删除，然后才能创建另一个目录。

1. 在“用户目录”页面中，单击“新建”。
2. 从选择源列表中选择 Azure AD。
3. 输入目录的名称（必填）和说明（可选）。
4. 单击授权。
   出现 Azure AD 创建成功消息。

创建目录后，您可以执行同步以检索最新信息。
同步 Azure AD 用户目录

• 在操作列中，单击要同步的 Azure AD 目录的同步图标。
   页面右下角会显示一条同步计划消息。
  如果同步成功，上次同步列中的日期将更新，同步状态显示成功状态。

配置日志

您可以配置每个日志的信息级别以及日志 file 规模和组织。
您可以为每个项目选择不同的设置，并根据您的系统活动以及您需要跟踪和分析的信息类型随时更改它们。 由于大部分系统活动都发生在节点内，因此您可能需要提供更多详细信息和更大的日志 file 节点服务器的容量。
笔记
日志级别仅适用于 Juniper 类，不适用于第三方库。
执行以下步骤以配置日志设置。

1. 转到管理 > 环境管理。
2. 选择要为其应用日志配置设置的本地连接器环境。
3. 单击日志配置图标。
4. 单击 Log Configuration Override 开关以显示日志设置。
5. 输入或选择以下设置。
   

   场地	描述
   日志级别	日志级别 指的是日志中包含的内容类型和详细程度。 选项（增加详细程度）是： ▪ 警告 — 仅包括实际或可能出现的问题的错误或警告。 ▪ 信息 — 包括有关系统进程和状态的信息文本，以及警告和错误。 ▪ 调试 — 包括所有信息文本、警告和错误，以及有关系统状况的更多详细信息。 此信息有助于诊断和排除系统问题。 ▪ 痕迹 — 最详细的信息级别。 开发人员可以使用此信息来专注于系统的精确区域。 选择日志级别。
   数字 日志的 Files	最大数量 file这是可以维护的。 当达到这个数字时，最旧的日志 file 已被删除。
   日志 File 最大尺寸	单个日志允许的最大大小 file. 当最大 file 尺寸达到时， file 被存档，信息被存储在一个新的 file. 剩余的每个日志都被重命名为下一个更大的编号。 当前日志随后被压缩并重命名为 log-name.1.gz。 新日志以日志名称开始。 因此，如果最大值为 10，则 log-name.9.gz 是最旧的 file, 并且 log-name.1.gz 是最新的非活动 file.

6. 单击保存。

创建和管理通知和警报

CASB 提供了一套灵活而全面的工具，用于创建策略执行通知和有关数据保护的关键消息的通信。 您可以为各种数据安全需求以及云应用程序、设备和网络环境创建通知。 然后，您可以将这些预配置的通知应用于多个内联和 API 访问策略。 由于通知是与策略分开创建的，因此您可以跨策略一致地应用通知并根据需要方便地自定义它们。
您还可以 view 过去通知的审计跟踪并导出此信息以供历史使用。
通知是从管理控制台中的这些区域创建和管理的：

• Administration > Enterprise Integration > Notification Channels 用于创建云应用程序使用的通道
• Administration > Notification Management 用于使用适当的模板和渠道创建模板和构建通知
• Administration > System Settings > Alert Configuration 用于设置接收电子邮件通知的阈值

创建通知的工作流程包括以下步骤：

1. 创建通道以定义用于发出通知的通信方法。
2. 创建模板以指定通知的文本和格式。
3. 创建通知本身，其中包括通知所需的通道和模板。
   创建通知后，您可以将其应用于适当的策略。

创建通知渠道
通知渠道定义通知将如何传达。 CASB 为各种通知类型提供了多种类型的渠道。 渠道可用于电子邮件通知、Slack 云应用程序上的消息和标记 files.
通知渠道页面（管理 > 企业集成 > 通知渠道）列出了已创建的通知渠道。
到 view 有关频道的详细信息，请单击频道名称左侧的眼睛图标。 关闭详细信息 view, 单击取消。
要过滤显示的列，请单击右上角的过滤器图标，然后选中要隐藏或显示的列。
下载 CSV file 在频道列表中，单击右上角的下载图标。
要创建新的通知渠道：

1. 转到管理 > 企业集成 > 通知渠道并单击新建。
2. 为新频道输入名称（必填）和说明（可选但推荐）。
3. 选择通知类型。 选项是：
   ● 电子邮件（对于电子邮件通知）
   ● 代理（用于代理相关通知）
   ● Slack（用于与 Slack 应用程序有关的通知）
   ● ServiceNow 事件（有关 ServiceNow 的通知）
   ● 标记（通知作为标记 files)
4. 选择 Slack Incident 或 ServiceNow 类型，会出现 Cloud Name 字段。 选择通道将应用到的云应用程序。
5. 保存频道。

创建通知模板
模板定义通知的文本和格式。 大多数模板都提供 HTML 或纯文本格式选项，并提供您可以自定义的基本文本。
通知页面（管理 > 通知管理）上的模板选项卡列出了预定义的模板并使您能够创建其他模板。
您可以为每个模板定义以下属性：

• 名称 — 引用模板的名称。
• 类型 – 使用模板的操作或事件。 对于前amp文件中，您可以创建模板来通知用户有关 Slack 消息或发送有关警报或已完成作业的电子邮件通知。
• 主题 — 模板功能的简要说明。
• 格式 — 应用程序、连接器或函数的模板格式。 选项包括电子邮件、Slack（格式和渠道）、ServiceNow、SMS、代理、报告和配置更改。
• 更新时间 — 创建或最后更新模板的日期和时间。
• 更新的用户 – 应用模板的用户的电子邮件地址。
• 操作——修改或删除模板的选项。

要创建新的通知模板：

1. 转到管理 > 通知管理。
2. 单击模板选项卡并单击新建。
3. 输入名称（必填）和说明（可选）。
4. 选择模板类别。 这是将使用模板的操作、事件或策略的类型。
5. 选择模板的格式。 可用格式取决于您在上一步中选择的类别。 在这个前amp文件中列出的格式适用于云访问策略类别。
6. 选择通知类型。 列出的选项取决于您在上一步中选择的格式。
7. 在右侧的文本区域中输入模板的内容。 向下滚动到您要输入内容的区域。
8. 从左侧列表中选择要使用的任何变量。 将光标置于应插入变量的位置并单击变量名称。 可用变量列表将根据您创建的模板的格式和类型而有所不同。
9. 如果您正在创建电子邮件模板，请选择 HTML 或文本作为传递格式，然后输入主题。
10. 点击前view 在右上角查看您的模板内容将如何显示。
11. 保存模板。

创建通知
创建通知渠道和模板后，您可以创建可应用于策略的实际通知。 每个通知都使用选定的渠道和模板，并根据您指定的频率进行分发。
要创建新通知：

1. 单击通知选项卡并单击新建。
2. 输入名称（必填）和说明（可选）。
3. 选择通知类别。
4. 选择通知渠道。
5. 选择通知模板。 下拉列表中的模板取决于您在上一步中选择的频道。
6. 根据您选择的通知渠道，系统将提示您输入其他信息。 这里有两个前任amp莱斯：
   ● 对于电子邮件渠道：
   ● 选择一个电子邮件模板，然后检查收件人的类型。 如果您选中了其他，请输入以逗号分隔的收件人姓名。
   ● 选择通知频率——立即或批量。 对于 Batched，选择批处理频率和时间间隔（分钟或天）。
   ● 对于 Slack 频道：
   ● 选择通知模板。
   ● 选择一个或多个Slack 频道。
7. 保存通知。
   新通知被添加到列表中。

创建活动警报
您可以为载入（托管）云应用程序和云发现创建活动警报。
对于托管云应用程序

对于每个托管云警报，“活动警报”页面显示：

• 名称 — 警报的名称。
• 活动 – 警报适用的活动类型。
• 通知 — 此警报的关联通知的名称。
• 更新于 — 警报更新的日期和时间。 该时间基于系统设置页面中配置的时区设置。
• 更新者——上次更新警报或系统更新的用户的有效用户名。
• 状态 – 指示警报状态（活动或非活动）的切换。
• 操作 – 一个图标，单击该图标可让您编辑有关警报的信息。

到 view 有关警报的详细信息，请单击警报名称左侧的图标。
单击取消返回列表 view.
用于云发现

对于每个云发现警报，“活动警报”页面显示以下信息：

• 名称 – 警报的名称。
• 更新于 – 上次更新警报的日期和时间。 该时间基于系统设置页面中配置的时区设置。
• 更新者——上次更新警报或系统更新的用户的有效用户名。
• 通知——相关通知的名称。
• 状态 – 指示警报状态（活动或非活动）的切换。
• 操作 – 一个图标，单击该图标可让您编辑有关警报的信息。

到 view 有关警报的详细信息，请单击警报名称左侧的图标。
单击取消返回列表 view.

警报类型
对于载入的云应用程序，可以创建三种类型的警报：

• 云活动，其中包括有关您指定的云应用程序上的内容活动的警报
• 外部系统连接，包括涉及外部连接配置（企业 DLP、日志代理或 SIEM）的警报。
• 租户活动，它提供异常警报（地理位置、身份验证、内容删除、按大小和计数下载）并将云更改为风险评分。

为托管云应用程序创建警报

1. 转到监视器 > 活动警报。
2. 在托管云选项卡中，单击新建。
3. 输入警报名称。
4. 选择警报类型。
   A。 对于云活动警报，输入或选择以下信息：● 云帐户— 警报的云应用程序。
   ● 活动— 勾选一项或多项活动的复选框。 ● 过滤器— 选择此警报活动类型的过滤器。 o 对于时间窗口，选择活动发生的日期和时间范围。
   o 对于阈值，输入此活动的事件数、持续时间和时间增量（分钟或小时）（例如ample，每 1 小时 4 个事件）。o 默认情况下启用聚合警报计数切换，这表明阈值聚合发生在云应用程序级别。 要在单个用户级别启用活动计数聚合，请单击切换开关将其禁用。
   o 对于用户组：
   o 单击右侧的框。
   o 双击目录名称。
   o 从出现的列表中选择一个组，然后单击箭头将其移至“选定组”列。
   o 单击保存。
   o 要指定多个过滤器，请单击 + 按钮并选择另一个过滤器。
   ● 通知— 选择与此警报一起发送的通知。 这些选项基于您创建的通知。
   b. 对于外部系统连接警报，选择以下信息：● 服务 – 选中一项或多项服务的复选框，包括企业 DLP、日志代理和 SIEM。
   ● 频率——选择一次或发送提醒。 对于发送提醒，输入提醒数量和时间增量（天或小时）。 对于前ample，每天 2 次提醒。● 通知– 从列表中选择一个通知。
   C。 对于租户活动警报，选择以下信息：
   ● 活动类型——选择一个活动，异常或风险评分变化。
   对于异常，选择一种或多种异常类型以包含在通知中。● 过滤器——选择时间窗口。 然后选择活动发生的日期和时间范围。● 通知– 选择要用于警报的通知。

为 Cloud Discovery 创建警报

1. 单击 Cloud Discovery 选项卡并单击新建。
2. 输入以下信息：
3. 输入警报的名称。
4. 选择内容类型。
   ● 用户— 输入一个或多个有效的用户电子邮件地址，以便将用户包含在警报中。 用逗号分隔每个电子邮件地址。 单击保存。
   ● 用户组 — 勾选一个或多个用户组，或勾选全选。 单击保存。
   ● 云风险— 检查一个或多个云风险级别。
   ● Cloud Category — 检查一个或多个云应用程序类别，例如amp文件、云存储或协作。
   ● Total Bytes Threshold — 输入一个数字（以千字节为单位），表示触发警报的大小阈值。 然后，输入持续时间数量和间隔。
   ● 要指定多种内容类型，请在第二个下拉列表中输入信息。 要指定其他内容类型，请单击右侧的 + 图标，然后在其他下拉列表中输入信息。
5. 为发送警报时要使用的类型选择通知。
6. 保存警报。

在系统设置中配置通知和警报选项
您可以从系统设置中为电子邮件通知配置阈值，并为模板配置徽标。
选择警报配置

1. 转到管理 > 系统设置 > 警报配置。
2. 单击创建警报。
3. 在警报配置窗口中，输入以下信息：
   

   场地	描述
   事件名称	生成警报的事件类型。 选项是： ▪ 中央处理器 ▪ 内存 ▪ 磁盘 ▪ 线程 ▪ 服务中断 ▪ 登录失败 ▪ 证书活动 ▪ 服务上线 ▪ 密钥创建 ▪ 节点管理 ▪ 节点状态改变 ▪ 用户管理 ▪ 连接器管理 ▪ 节点通讯动作 ▪ 环境管理
   触发值/大于或小于注 警报分为两类： ▪ 那些被越过阈值所驱动的，以及 ▪ 那些由发生的事件驱动的。 此设置与阈值警报有关。 它不适用于严格发生的事件，例如登录失败或创建密钥。	事件的限制，如果大于或小于指定值，则触发警报。 对于前amp乐： ▪ 如果CPU 的值大于90，并且系统CPU 使用率上升到91%，将触发警报。 ▪ 如果CPU 的值小于10%，并且系统CPU 使用率下降到9%，则会触发警报。 警报通知被发送到指定的收件人。 如果您选择 展示 在 家 页面上，警报列在管理控制台仪表板上。 虽然管理员通常最常对指示大于状态的事件感兴趣，但有时您可能想知道事件何时低于触发器以指示可能的问题（例如ample，似乎没有任何活动发生）。
   环境	警报适用的环境。 您可以选择特定环境或所有环境。
   连接器	如果连接器可用，则只会显示与这些连接器及其相关应用程序相关的警报。

   场地	描述
   电子邮件列表	应接收警报通知的人员的电子邮件地址。 最常见的收件人是系统管理员，但您可以添加其他地址。 输入每个收件人的电子邮件地址，地址之间用逗号分隔。 系统管理员和密钥管理员将包括具有匹配角色的所有用户。 如果您只希望它显示在 警报消息 管理控制台的部分。
   警报间隔	应多久发送一次警报。 选择间隔的数字和类型（小时、分钟或天）。 选择 0 获取事件类型的所有实例，例如 密钥创建.
   显示警报	单击切换按钮使警报能够列在 警报消息 管理控制台仪表板的部分。 您可能希望将此选项用于与更严重情况相关的警报。 每当 家 页面显示。
   描述	输入警报的描述。

4. 保存配置。

编辑警报配置
如果与警报相关的条件发生变化，您可以编辑有关警报的信息——例如amp如果警报的严重性增加或减少，则该条件适用于更多或更少的环境，或者您需要修改收件人电子邮件地址或警报说明。

1. 从“系统设置”页面中，选择“警报配置”。
2. 选择要编辑的警报配置。
3. 单击铅笔图标。
4. 在“告警配置”对话框中，根据需要修改告警信息。
5. 单击保存。

删除警报配置
如果相关事件不再适用，或者如果您不需要监视事件，您可以删除警报配置。

1. 从“系统设置”页面中，选择“警报配置”。
2. 选择要删除的警报。
3. 单击垃圾桶图标。
4. 出现提示时，确认删除警报。
5. 单击保存。

配置 Juniper Secure Edge CASB 以进行策略管理

Juniper Secure Edge 提供的策略管理选项使您能够保护存储在您组织的经批准和未经批准的云应用程序中的敏感数据。 此外，Juniper Secure Edge 的 Secure Web 网关使您能够设置策略以监控 web 组织中的流量并限制对特定网站或网站类别的访问。
通过 Juniper Secure Edge 中的 CASB 策略引擎，您可以通过指定用户可以访问、创建、共享和操作数据的条件以及处理违反这些策略的操作来控制对信息的访问。 您设置的策略决定了受保护的内容和方式。 CASB 使您能够配置安全设置以创建策略来保护存储在多个云应用程序和设备中的数据。 这些配置简化了创建和更新策略的过程。
除了保护数据，CASB 还支持光学字符识别 (OCR)，可以检测图像中的敏感信息 file已使用光学字符识别 (OCR) 上传到云端的 s。 对于前amp例如，用户可能上传了照片、屏幕截图或其他图像 file （.png、.jpg、.gif 等）显示信用卡号、社会保障号、员工 ID 或其他敏感信息。 创建策略时，您可以启用 OCR 选项（一个复选框），这将对图像应用保护操作 file秒。 可以在具有 API 保护模式的云应用程序的策略中启用 OCR。
OCR 保护也可以应用于策略 file包含图片的； 对于前amp文件、PDF 或 Microsoft Word file 其中包含一个或多个图像 file.

策略配置和创建工作流程
Juniper Secure Edge 中的策略管理包括多个配置步骤，可实现高效且一致的策略创建。 您可以应用这些配置来保护存储在多个云应用程序和各种设备上的数据并监控 web 交通。
Juniper Secure Edge 中的策略管理包括多个配置步骤，可实现高效且一致的策略创建。 您可以应用这些配置来保护存储在多个云应用程序中的数据并监控 web 交通。

1. 创建内容规则模板
2. 创建内容数字版权模板
3. 配置 file 类型、MIME 类型和 file 排除扫描的大小
4. 配置文件夹共享
5. 设置 DLP 扫描的文件夹子级别数
6. 配置默认策略违规操作
7. 配置租户级默认 TLS 拦截设置
8. 启用用户指导作为策略中的辅助操作
9. 启用连续（升级）身份验证作为策略中的辅助操作
10. 创建策略：API 访问

以下部分概述了这些步骤。
创建内容规则模板
内容规则标识要应用于策略的内容。 内容可以包含敏感信息 file，例如用户名、信用卡号、社会保险号和 file 类型。
对于 DLP 规则，您可以创建包含内容规则集的模板，并将其中一个模板应用于一个或多个策略。 使用内容规则模板，您可以根据多个上下文对内容进行分类。 由于内容规则被配置为与策略创建分开的过程，因此您可以节省时间并在您创建的所有策略中启用一致的内容信息。
随产品提供的内容规则模板以及您创建的内容规则模板列在“内容规则管理”页面中。
内容规则管理页面包含三个选项卡：

• 文档规则模板 - 指定要应用于文档的总体规则。
• DLP 规则模板 — 指定 DLP 规则。 当客户创建文档规则模板时，如果文档模板应用于 DLP 策略，他们会选择 DLP 规则。 您可以使用产品随附的任何模板或创建其他模板。
• 数据类型 - 指定要应用于此规则的数据类型。 您可以使用随产品提供的任何数据类型或创建其他数据类型。

执行以下过程中的步骤以创建用于配置内容规则管理的其他数据类型和模板。
创建新的数据类型

1. 单击数据类型选项卡并单击新建。
2. 为数据类型输入数据类型名称（必填）和说明（可选）。
3. 选择要应用的数据类型。 选项包括字典、正则表达式模式、 File 类型， File 扩大， File 名称和组合。
4. 单击“下一步”。
5. 输入所选数据类型的附加信息。
   ● 字典
   ● 正则表达式模式
   ● File 类型
   ● File 扩大
   ● File 姓名
   ● 复合材料
   ● 精确数据匹配
6. 点击下一步重新view 新数据类型的摘要。
7. 单击“确认”以保存新数据类型，或单击“上一步”以进行任何更正或更新。

您可以按如下方式配置数据类型。
字典
将 Dictionary 数据类型用于纯文本字符串。
选择创建关键字或上传 File.

• 对于创建关键字——输入一个或多个关键字的列表； 对于前ample, 帐号, 帐户 ps, 美国运通, 美国运通, amex, 银行卡, bankcard
• 上传 File – 单击上传 File 并选择一个 file 上传。

正则表达式模式
输入正则表达式。 对于前ample: \b\(?([0-9]{3})\)?[-.\t ]?([0-9]{3})[-.\t ]?([0-9]{4})\b
File 类型
选中复选框以选择一个或多个 file 类型或勾选全选。 然后单击保存。

File 扩大
输入一个或多个 file 扩展名（例如ample、.docx、.pdf、.png）单击保存。
File 姓名
输入一个或多个 file 名字（例如amp文件、PII、机密）单击保存。
合成的
您可以选择两种字典数据类型，或一种字典类型和一种正则表达式模式类型。

• 如果您选择两个词典类型，则会为第二个词典类型显示邻近度选项。 此选项启用最多 50 个单词的匹配计数。 没有可用的异常选项。 为第二个词典类型输入匹配计数和接近度值。
  • 如果您选择一种词典类型和一种正则表达式模式类型，请输入最多 50 个单词的匹配计数和接近度值。

（可选）要输入任何例外，请单击令牌白名单文本框并输入一个或多个令牌关键字。 用逗号分隔每个项目。 单击保存关闭文本框。
精确数据匹配
精确数据匹配 (EDM) 允许 CASB 识别记录中与您指定的条件匹配的数据。
作为管理数据类型的一部分，您可以使用 CSV 创建 EDM 模板 file 您可以为其定义匹配条件的敏感数据。 然后，您可以将此模板应用为 API 策略中 DLP 规则的一部分。
执行以下步骤以创建精确数据匹配类型并应用 DLP 规则信息。

第 1 步 — 创建或获取 CSV file 与用于匹配的数据。
在第二排 file, 将列标题与 CASB 中的数据类型进行映射。 此信息将用于识别将匹配的数据类型。 在这个前amp文件中，全名列映射到数据类型字典，其余列标题映射到数据类型正则表达式。

第 2 步 – 创建新的数据类型——精确数据匹配。

1. 单击数据类型选项卡并单击新建。
2. 输入名称（必填）和说明。
3. 选择精确数据匹配作为类型。
4. 单击“下一步”。
5. 如果 CSV 中有敏感数据，请单击预索引切换 file 您正在上传的内容之前已经过哈希处理。 为了 files 没有先前的散列，数据将被散列时 file 已上传。如果你想对一个 file 在上传之前，请使用 CASB 提供的数据散列工具。 转到管理 > 系统设置 > 下载并选择 EDM 散列工具。 下载该工具，安装它，并将数据散列应用于 file.
6. 单击上传并选择 CSV file 用于数据匹配。 看成ample file, 点击下载 Samp勒。已上传 file 显示名称。 删除它（例如ample，如果你上传了一个不正确的 file 或想取消程序），单击垃圾桶图标。
   笔记
   您可以替换上传的 file 以后只要在字段中 file 没有改变。
7. 单击“下一步”。
   显示一个表格，显示来源 file 名称，它包含的记录数，以及它包含的数据类型数。
8. 点击下一步，重新view 概要信息，保存数据类型。 您将在下一步中使用此数据类型。

第 3 步 – 创建新的 DLP 规则模板以配置数据匹配属性。

1. 在 DLP 规则选项卡中，单击新建。
2. 输入规则名称（必填）和说明（可选）。
3. 选择精确数据匹配作为规则类型，然后单击下一步。
4. 选择自定义内容规则作为规则模板。
5. 对于精确数据匹配，选择您之前创建的 EDM 数据类型。 CSV 中的字段和映射数据类型 file 您之前上传的已列出重量tag每个字段的选项。
6. 选择称重tage 对于每个字段。 重量tag您选择的 es 与要匹配的字段数一起使用，以确定记录是否被视为匹配项。 选项是：
   ● Mandatory – 字段必须与记录匹配才能被视为匹配。
   ● 可选 – 该字段在确定记录是否匹配时用作“填充”。
   ● Exclude – 该字段在匹配时被忽略。
   ● 白名单 – 如果一个或多个字段被列入白名单，则记录被列入白名单并且不被视为匹配，即使它满足所有其他匹配条件。
7. 选择字段匹配、记录匹配和邻近度的匹配条件。● 对于要匹配的最小字段数，输入一个等于或超过具有强制权重的字段数的值tage 等于或小于具有可选权重的字段数tage. 这是此规则必须匹配的字段数。 对于前ample，如果你有四个强制称重的字段tage 和三个带有可选重量的字段tage, 输入 4 到 7 之间的数字。
   ● 对于要匹配的最小记录数，输入一个至少为1 的值。此数字表示必须匹配的最小记录数才能将内容视为违规。
   ● 对于Proximity，输入代表字段之间距离的字符数。 任何两个匹配字段之间的距离必须小于此数字才能匹配。 对于前ample，如果 Proximity 是 500 个字符：
   ● 以下内容将匹配，因为接近度小于 500 个字符：Field1value + 50 个字符+Field3value + 300 个字符 + Field2value ● 以下内容不匹配，因为接近度大于 500 个字符：
   Field1value + 50 个字符+Field3value +600 个字符 + Field2value
8. 单击“下一步”。
9. Review 摘要并保存新的 DLP 规则。

您现在可以将此 DLP 规则应用于内联或 API 访问策略。
创建新的 DLP 规则模板

1. 单击 DLP 规则模板选项卡并单击新建。
2. 输入规则名称（必填）和说明（可选）。
3. 选择 DLP 规则作为规则类型，然后单击下一步。
4. 从下拉列表中选择规则模板。 然后，执行以下任一步骤。
   A。 如果您选择了自定义内容规则模板，请选择规则类型和该类型的伴随值。 选项是：
   ● Composite — 选择一个唯一的名称（例如ample、VIN、SSN 或电话）。
   ● 字典 – 选择关键字列表（例如ample, US: SSN) 和匹配计数。
   ● Regex Pattern – 选择一个正则表达式（regex pattern）和一个匹配计数。
   匹配计数可以是 1 到 50 之间的任何值。匹配计数指示要被视为违规的违规令牌的最小数量。
   无论您指定什么匹配计数，DLP 引擎都会检测到多达 50 个违规令牌并采取您配置的操作（例如ample、突出显示、屏蔽、编辑等）。
   笔记： 如果您选择字典，对于 XML file您选择的属性必须有一个值，DLP 引擎才能将其识别为匹配项。 如果指定了属性但没有值（例如ample: ScanComments=””), 不匹配。
   b. 如果您选择预定义的规则模板，则会填写规则类型和值。
5. 单击下一步并重新view DLP 规则模板的摘要信息。
6. 单击“确认”创建并保存新模板，或单击“上一步”进行所需的任何更正。

如果模板被删除，则将不再允许指定的操作，除非关联的策略被禁用或替换为不同的模板。
创建新的文档规则模板

1. 单击文档规则模板选项卡并单击新建。
2. 输入规则名称（必填）和说明（可选）。
3. 要为 API 访问策略包含光学字符识别 (OCR)，请单击光学字符识别开关。
4. 单击“下一步”。
5. 根据需要为您的模板输入或选择以下信息。 对于要包含的每种信息类型，单击切换按钮以启用它。
   ● File 元数据——输入一系列 file 要包括的尺寸。 然后选择 file 来自产品提供的默认数据类型或您在“数据类型”选项卡中创建的任何数据类型的信息。● File 尺码范围——输入一个范围 file 要包含在扫描中的尺寸。
   笔记： 不对 DLP 和恶意软件扫描执行 file大于 50 MB。 为确保 DLP 和恶意软件扫描可用，请在两个字段中输入 49 MB 或更小的范围大小。
   ● File 类型——选择一个 file 类型（例如amp文件、XML）。 此选项在最小值和最大值时禁用 file 大小为 50 MB 或更大。
   ● File 分机 – 选择一个 file 扩展名（例如amp乐，.png）。
   ● File 名称 – 选择 File 要指定确切的名称 file 名称或选择正则表达式模式以选择正则表达式。 在任一情况下，使用下拉菜单选择要查找和扫描的策略的值。 这可能是一种预定义的数据类型，或者是您在“数据类型”选项卡上创建的数据类型。
   ● 数据分类● 选择分类标签——Microsoft AIP 或Titus。 然后，输入标签名称。● （可选）单击右侧的+ 号以包含两个分类标签。
   ● 水印 ● 输入水印文本。
   笔记
   对于 OneDrive 和 SharePoint 应用程序，水印不会被锁定，用户可以将其删除。
   ● 内容匹配规则 ● 从列表中选择DLP 规则类型。
6. 单击下一步并重新view 摘要信息。
7. 单击“保存”确认模板，或单击“上一步”进行任何更正。
   该模板现在可以应用于您创建的策略。

创建内容数字版权模板
内容数字版权配置提供简化的模板管理，以高效一致地应用内容分类、定制和保护选项。 可以创建内容数字权利的模板并将设置应用于多个策略。 可以通过管理控制台中“保护”菜单下的“内容数字版权”页面访问和管理这些模板。
内容数字版权在这些组件中捕获内容分类和保护的所有方面。
在应用加密的情况下，将通过用于加密的 CDR ID 跟踪文档，而不是为加密触发的策略 ID。
话单模板创建后，可以根据需要进行修改，但在使用过程中不能删除。

创建 CDR 模板的步骤
创建 CDR 模板后，可以根据需要将它们应用于多个策略。

1. 转到“保护”>“内容数字权利”并单击“新建”。
2. 输入 CDR 模板的名称（必填）和说明（可选）。
3. 选择将应用此模板的文档类型：
   ● 结构化— 策略适用于结构化对象。
   ● Documents with Encryption — 策略适用于要加密的文档。
   ● 未加密的文档— 策略适用于不加密的文档。
4. 单击下一步添加 CDR 元素。
5. 对于要包含的每个组件，单击切换按钮以启用它。
   ● 水印文字
   输入水印的文本。 然后，选择水印的格式选项。
   ● 令牌模糊
   选择屏蔽、编辑或文档突出显示。
   重要的
   Mask 和 Redact 操作会永久删除所选字符，以防止未经授权的数据泄露。 保存策略后，无法撤消屏蔽和编辑。
   有关 Redact、Mask、Watermark/Encrypt 操作的 API 策略实施的说明
   在 Salesforce 报表（Classic 和 Lightning 版本）中，屏蔽操作不适用于报表名称、筛选条件和关键字搜索。 因此，这些项目不会在报表对象中被屏蔽。
   当使用 Redact/Mask/Watermark/Encrypt 作为操作创建 API Protect 策略时，如果 file 在 Google 云端硬盘中创建的文件会被重命名，然后使用 DLP 内容进行更新。
   ● 加密
   如果策略将提供加密操作，请选择这些项目以应用特定的加密说明：
   ● 加密密钥。
   ● 内容过期——按日期、按时间或无过期。
   ● 如果您选择了按日期，请从日历中选择一个日期。
   ● 如果您选择按时间，请选择分钟、小时或天，以及一个数量（例如ample、20 分钟、12 小时或 30 天）。
   ● 离线访问选项。
   ● 始终（默认）
   ●从不
   ● 按时间。 如果您选择按时间，请选择小时、分钟或天以及数量。
6. 添加权限对象，定义范围（内部或外部）、用户和组以及权限级别。
   A。 单击新建并选择权限选项。b. 范围 - 选择内部或外部。
   C。 类型 -
   ● 对于内部范围，选择用户、组或收件人。
   ● 对于外部范围，选择用户、域或收件人。
   笔记
   收件人类型仅适用于在加入云时选择了电子邮件保护模式的云应用程序。
   根据您选择的类型，下一个字段将标记如下。
   ● 对于内部范围，用户（对于用户）或源（对于组）。 如果您选择
   收件人，下一个字段不会出现。 如果您选择了来源，请检查要包含的组的名称。
   ● 对于外部范围，用户（对于用户）或域。 如果您选择了收件人，则不会出现下一个字段。
   输入或选择用户、来源或域信息。
   ● 对于用户（内部或外部范围）– 单击钢笔图标，选择全部或选定。 对于 Selected，输入一个或多个有效的用户电子邮件地址，每个地址以逗号分隔。 单击保存。
   ● For Source（内部范围）——为一个或多个组选择一个来源。 从出现的“组列表”框中，选中一个或多个组或所有组。 单击保存。
   ● For Domains (External scope) – 输入一个或多个域名。
   权限 – 选择允许（完全权限）或拒绝（无权限）。
7. 单击保存。 权限对象被添加到列表中。
8. 点击下一步 view CDR 模板的摘要，然后单击“确认”以保存它。 该模板列在内容数字版权页面上。 当您将此模板分配给您创建的策略时，这些策略名称将出现在“分配的策略”列中。

配置 file 类型、MIME 类型和 file 排除扫描的大小
在托管部署中，您可以指定 file 的类型、MIME 类型和大小 files 被排除在数据扫描之外。 您可以为 DLP 策略类型指定扫描排除项，并在恶意软件扫描期间指定 CASB 扫描引擎的排除项。
要配置排除项，请转至管理 > 系统设置 > 高级配置并单击内容设置选项卡。 然后，对 CASB DLP 排除项、CASB 扫描引擎排除项或两者执行以下步骤。

从 Juniper DLP 引擎扫描中排除
单击要设置的每个排除项的切换开关。
File 类型
Review 默认值 file 显示的类型并删除要排除的类型。 因为排除在外 file不扫描 s，加载它们的响应时间更快。 对于前amp乐，富媒体 file如果将 .mov、.mp3 或 .mp4 等文件排除在外，它们的加载速度会更快。

MIME 类型
输入要排除的任何 MIME 类型（例如ample, text/css, application/pdf, video/.*.，其中 * 作为通配符来指示任何格式）。 用逗号分隔每个 MIME 类型。

File 尺寸
输入 file 将作为阈值的大小（以兆字节为单位） files 被排除在外。 或者接受默认值 200 MB。 任何 file不会扫描大于此尺寸的商品。 需要一个大于零的值。 允许的最大值为 250 MB。

从 CASB 扫描引擎扫描中排除
单击要设置的每个排除项的切换开关。
File 类型
输入 file 要排除的类型。 因为排除在外 file不扫描 s，加载它们的响应时间更快。 对于前amp乐，富媒体 file如果将 .mov、.mp3 或 .mp4 等文件排除在外，它们的加载速度会更快。

File 尺寸
输入 file 将作为阈值的大小（以兆字节为单位） files 被排除在外。 任何 file不会扫描大于此尺寸的商品。 需要一个大于零的值。 允许的最大值为 250 MB。

完成后单击重置。
为 DLP 扫描配置文件夹共享
您可以选择让 DLP 扫描自动执行 files 在共享文件夹中。

1. 转到管理 > 系统设置 > 高级配置，然后单击内容设置选项卡。
2. 在文件夹共享配置下，单击切换以启用自动下载 files 在共享文件夹中。

设置要扫描的文件夹子级别数

1. 转到管理 > 系统设置 > 高级配置并选择内容设置选项卡。
2. 在默认子文件夹数下，从下拉列表中选择一个数字。 该数字代表将被扫描的子文件夹的级别。 对于前ample，如果选择 2，将扫描父文件夹和两个子文件夹级别中的数据。

配置默认策略违规操作
您可以设置默认违规操作 – 拒绝或允许并记录。 发生的操作取决于是否找到与现有策略的匹配项。

• 如果未找到策略匹配项，CASB 会使用名为 TenantDefaultAction 的策略应用默认违规操作。 对于前amp文件中，如果默认违规操作设置为拒绝，并且未找到策略匹配项，CASB 将应用拒绝操作。
• 如果找到策略匹配项，CASB 会应用该策略中的操作，而不管设置了哪种默认违规操作。 对于前amp文件中，如果默认违规操作设置为“拒绝”，并且 CASB 找到具有针对特定用户的“允许并记录”操作的匹配策略，CASB 会对该用户应用“允许并记录”操作。

要设置默认策略违规操作：

1. 转到管理 > 系统设置 > 高级配置，然后单击代理设置选项卡。
2. 从 Default Violation Action 下拉列表中，选择 Deny 或 Allow & Log，然后单击 Save。

制定数据保护和应用程序安全策略

对于 SWG 和 CASB，您可以创建适用于企业中一个、部分或所有云应用程序的策略。 对于每个策略，您可以指定：

• 政策应适用的信息类型——例如amp文件，包括信用卡或社会安全号码的内容， file超过特定尺寸的 s，或 file特定类型的 s。
• 应应用策略的用户或用户组、文件夹或站点，或者是否 files 可以在内部、外部或与公众共享。
• 您可以为您装载的每个云应用程序分配一种或多种保护模式。 这些保护模式使您能够应用存储在这些云应用程序上的数据最需要的保护类型。

您还可以创建策略来控制对保护加密数据的密钥的访问。 如果策略阻止对密钥的访问，则用户无法访问受该密钥保护的数据。
对于 SWG，您可以创建策略并应用它们来控制对类别的访问 web站点和特定站点。
策略的创建通常涉及以下步骤：

• 步骤 1. 输入策略名称和说明。
• 步骤 2. 选择策略的内容规则。 内容规则是策略的“内容”——它们指定规则应适用的内容类型，以及适用于策略的规则类型。 CASB 使您能够创建可应用于多个策略的内容规则模板。
• 步骤 3. 选择策略应适用的云应用程序。
• 第 4 步。为策略定义上下文规则、操作和通知。 上下文规则是策略的“谁”——它们指定规则适用于谁以及何时适用。 行动是政策的“方式”和“原因”——它们指定必须采取什么行动来解决违反政策的问题。
• 步骤 5. 确认策略。 保存策略设置并使策略生效。

关于 Slack 云应用程序的注意事项
在为 Slack 云应用程序创建策略时，请牢记以下几点：

• Remove Collaborator 仅适用于以下内容和上下文定义：
• 内容：无
• 上下文：成员类型
• 数据类型：结构化
• 添加成员到频道是一个独立的事件，与消息无关， files，或频道中的任何其他事件。 （group_add_user 是事件类型。）
• group_add_user 不包含任何内容。 没有结构化或非结构化数据。
• 因为 files 是 Slack 中的组织级属性，它们不属于任何特定的频道或工作区。 因此，您必须选择结构化数据作为事件类型。
• Member Type context：默认情况下，Slack 是共享云，上传一个 file 或者向频道发送消息本身就是一个分享事件。 因此，一个新的上下文（除了现有的共享类型）可用于帮助管理 Slack 云应用程序的事件。

Microsoft 365 云应用（OneDrive）注意事项

• 什么时候 files 上传到 OneDrive，OneDrive 中的“修改者”字段显示名称 SharePoint App 而不是上传用户的名称 file.

注意策略中的连续身份验证
连续身份验证必须先在管理控制台中启用，然后才能在策略中使用。
例如amp文件中，如果您希望将连续身份验证作为策略中的辅助操作，请确保在管理控制台中启用连续身份验证。
如果在策略中选择了持续身份验证，则无法在管理控制台中将其禁用。
关于在 Slack thick app 中捕获事件的注意事项
要在正向代理模式下捕获 Slack 厚应用程序中的事件，您必须同时退出应用程序和浏览器并重新登录以进行身份​​验证。

• 注销桌面 Slack 应用程序中的所有工作区。 您可以从应用程序网格注销。
• 从浏览器注销。
• 再次登录 Slack 应用程序以进行身份​​验证。

以下部分提供了创建策略以满足您的数据保护需求的分步说明。

• View阅读政策清单
• API 访问策略

View阅读政策清单
从管理控制台的“保护”页面，您可以创建和更新策略、设置它们的优先级并更新适用于它们的规则。
根据策略类型，策略列表页面包含显示为特定安全和数据保护需求创建的策略的选项卡。
API 访问策略
API 访问策略有两个选项可用：

• 实时选项卡列出了为实时扫描创建的策略。 您创建的大多数策略都是实时策略。
• Cloud Data Discovery 选项卡列出了为与 Cloud Data Discovery 一起使用而创建的策略，这使 CASB 能够发现敏感数据（例如ample，社会安全号码）通过云应用程序中的计划扫描并应用补救措施来保护该数据。 Cloud Data Discovery 可用于对 Box 自动化云执行扫描。
  有关详细信息，请参阅云数据发现。

创建 API 访问策略

1. 转到保护 > API 访问策略。
2. 确保实时选项卡位于 view. 然后，单击新建。

笔记
要使 DLP 与 Salesforce 配合使用，您必须在 Salesforce 中启用以下设置：

• 必须为所有用户启用启用 CRM。
• 共享设置必须不是私人的。
• 对于非管理员，必须启用推送主题和 API 启用权限。

1. 输入名称（必填）和说明（可选）。
2. 选择内容检查类型 – 无、DLP 扫描或恶意软件扫描。 然后，为策略类型配置上下文和操作。

• 内容检查类型为 DLP 扫描或无的 API 策略
• 将恶意软件扫描作为内容检查类型的 API 策略

内容检查类型为 DLP 扫描或无的 API 策略
如果您选择 DLP 扫描作为内容检查类型，您可以选择选项来保护银行和医疗保健等行业的多种类型的敏感数据。 然后您必须选择一个策略模板。 对于前amp例如，如果您要创建一个策略来加密所有包含美国社会安全号码的文档，请选择个人 ID – 美国 SSN 作为策略模板。 如果您正在创建加密策略 files 的特定类型，选择 file 类型作为策略模板。
如果您选择无作为内容检查类型，则 DLP 选项不可用。

1. 单击下一步以选择云应用程序、上下文和操作。
2. 选择策略的云应用程序。
   您可以应用特定于您选择的云应用程序的其他上下文选项，具体取决于每个应用程序可用的选项。 对于前amp乐：
   ● 如果您正在为 OneDrive 帐户创建策略，您将看不到网站的上下文选项，因为该选项是 SharePoint Online 独有的。
   ● 如果您正在为SharePoint Online 创建策略，您可以选择站点作为上下文。
   ● 如果您正在为Salesforce (SFDC) 创建策略，则用户是唯一可用的上下文类型选项。
   要选择所有云应用程序，请选中 File分享。 此选项允许您仅选择在企业中的云应用程序中通用的上下文定义。
3. 在内容扫描下，检查结构化数据、非结构化数据或两者，具体取决于您在策略中包含的云应用程序。
   ● 结构化数据 – 包括对象（例如ampSalesforce 使用的 le、contact 或 lead 表）。
   结构化数据对象无法隔离或加密，也无法对其执行补救措施。 您不能删除公共链接或删除协作者。 如果您没有为此策略选择 Salesforce 云，则此选项将被禁用。
   ● 非结构化数据——包括 file和文件夹。
   注意 对于 Dropbox 应用程序，协作者不能在 file 等级; 它们只能在父级别上添加或删除。 因此，共享上下文将与子文件夹不匹配。
4. 执行以下任一操作：
   ● 如果内容检查类型是 DLP 扫描 —
   ● 从列表中选择一个规则模板。 这些是您之前创建的模板（保护 > 内容规则管理）。 如果扫描类型是结构化数据，则会列出 DLP 规则模板。 如果扫描类型是非结构化数据，则会列出文档规则模板。
   ● 要通过外部DLP 服务启用扫描，请单击外部DLP 开关。 要执行 EDLP 扫描，您必须从企业集成页面配置外部 DLP。
   ● 如果内容检查类型为无 —
   ● 进入下一步。
5. 在上下文规则下，选择上下文类型。 上下文规则确定策略适用于谁——例如amp文件，哪些云应用程序、用户和用户组、设备、位置或 file和文件夹。 您在列表中看到的项目取决于您为策略选择的云应用程序。● 用户——输入策略适用的用户的电子邮件ID，或选择所有用户。
   ● 用户组——如果您有用户组，它们将被填充在一个列表中。 您可以选择一个、一些或所有用户组。 要将策略应用于多个用户，请创建一个用户组并添加用户组名称。
   用户组被组织到目录中。 当您选择用户组作为上下文类型时，包含这些组的可用目录将列在左列中。
   用户组有助于定义访问特定类型敏感数据的规则。 通过创建用户组，您可以将对该数据的访问限制为该组中的用户。 用户组也有助于管理加密内容——例如amp例如，财务部门可能需要对其部分数据进行加密并仅供一小部分用户访问的额外安全性。 您可以在用户组中识别这些用户。
   选择一个目录到 view 它包含的用户组。 显示该目录的用户组。
   从列表中选择组并单击右箭头图标将它们移动到“选定的用户组”列，然后单击“保存”。 这些是策略将适用的组。

要搜索目录或组，请单击顶部的搜索图标。
要刷新列表，请单击顶部的刷新图标。
笔记

• 如果您选择所有用户组，您正在创建的策略将应用于您将来创建的所有新用户组。
• 对于 Dropbox，仅支持用户和用户组选项。
• 为 Salesforce 选择用户时，提供用户的电子邮件地址，而不是 Salesforce 用户名。 确保此电子邮件地址是给用户的，而不是管理员的。 用户和管理员电子邮件地址不应相同。
• 文件夹（仅限 Box、OneDrive for Business、Google Drive 和 Dropbox 云应用程序）–
  对于与 OneDrive for Business 相关的策略，请选择该策略适用的文件夹（如果有）。 对于与 Box 相关的策略，输入策略适用的文件夹的文件夹 ID。

笔记
在 OneDrive 应用程序中，只有管理员用户拥有的文件夹才会显示在文件夹上下文类型的策略中。
创建安全文件夹策略（仅限 Box 云应用程序）— 当文件夹中存储的文档被加密时，文件夹将被视为安全文件夹。 您可以通过创建安全文件夹策略来指定安全文件夹。 如果文件夹被移动或复制并且您希望确保其所有文本中的文本，您可能希望创建这样的策略 files 已加密，或者如果发生任何网络或服务中断可能会导致 files 在纯文本中。
要创建安全文件夹，请将上下文设置为文件夹，将 DLP 规则设置为无，并将操作设置为加密。
安全文件夹审核 — CASB 每两小时审核一次安全文件夹，检查每个文件夹是否 file有纯文本的。 如果在任何文件中发现纯文本内容 file，它是加密的。 File已经加密的文件 (.ccsecure files) 在审核期间被忽略。 要更改审计计划，请联系瞻博网络支持。

• 文件夹名称 – 输入一个或多个文件夹名称。
• 协作 (Slack Enterprise) – 对于与 Slack Enterprise 相关的策略，选择策略适用的 Slack Enterprise 云应用程序。 以下上下文规则特定于 Slack Enterprise 云应用程序：
• 用户 - 全部或选定
• Channels——在组织级别共享的群聊和频道
• Workspaces——工作区（列出所有工作区，包括非授权工作区）
• 共享类型
• 成员类型 - 内部/外部
• 网站（仅限 SharePoint Online 云应用程序）- 对于与 SharePoint Online 相关的策略，选择策略适用的网站、子网站和文件夹。

笔记
当您选择站点作为 SharePoint 云应用程序的上下文类型时，您必须输入完整的站点名称以允许 CASB 执行成功的搜索。

• 共享类型 – 标识可以与谁共享内容。
• 外部 – 可以与组织防火墙外的用户共享内容（例如ample、业务合作伙伴或顾问）。 这些外部用户被称为外部合作者。 由于在组织之间共享内容变得更加容易，此策略控制可以帮助您更好地控制与外部协作者共享的内容类型。
  如果您选择外部共享类型，则可以使用阻止的域选项。 您可以指定要阻止访问的域（例如流行的电子邮件地址域）。
• 内部 – 内容可以与您指定的内部群组共享。 此策略控制可帮助您更好地控制组织内的哪些人可以查看特定类型的内容。 对于前amp例如，许多法律和财务文件都是机密文件，只能与特定员工或部门共享。 如果您正在创建的策略是针对单个云应用程序的，您可以通过从“共享组”字段的下拉列表中选择组来将一个、一些或所有组指定为共享组。 如果该策略适用于多个云应用程序，则共享组选项默认为全部。 您还可以将任何共享组指定为例外。
• 私有——内容不与任何人共享； 它仅供其所有者使用。
• 公开 – 公司内部或外部有权访问公共链接的任何人都可以访问内容。 当公共链接处于活动状态时，任何人无需登录即可访问内容。
• File 共享 – 选择外部、内部、公共或私人。 如果有任何被阻止的域用于外部共享，请输入域名。
• 文件夹共享 — 选择外部、内部、公共或私人。 如果有任何被阻止的域用于外部共享，请输入域名。

6. （可选）选择任何上下文例外（要从策略中排除的项目）。 如果您选择了上下文类型共享类型， File 共享或文件夹共享，您可以启用附加选项“应用到内容操作”来配置域的白名单。 单击开关以启用此选项。 然后，选择白名单域，输入适用的域，然后单击保存。

7. 单击“下一步”。
8. 选择动作。 操作定义了如何处理和解决违反策略的行为。 您可以根据数据的敏感性和违规的严重性来选择操作。 对于前ample，如果违规情况严重，您可以选择删除内容； 或者您可能会删除某些合作者对内容的访问权限。
有两种类型的操作可用：

• 内容动作
• 协作行动

内容操作包括：

• 允许和记录——记录 file 信息 view荷兰国际集团的目的。 选择此选项以查看上传了哪些内容以及需要哪些补救步骤（如果有）。
• 内容数字版权——定义内容分类、定制和保护选项。 选择要用于策略的 CDR 模板。

关于包含水印的内容操作的注意事项：
对于 OneDrive 和 SharePoint 应用程序，水印不会被锁定，用户可以将其删除。

• 永久删除——删除一个 file 永久地从用户的帐户。 之后 file 被删除，无法恢复。 在生产环境中启用此操作之前，请确保正确检测到策略条件。 通常，仅对避免访问至关重要的严重违规行为使用永久删除选项。
• 用户补救——如果用户上传 file 违反政策的内容，用户有指定的时间删除或编辑导致违规的内容。 对于前ample，如果用户上传了一个 file 超过最大值 file 大小，可以给用户三天时间来编辑 file 在它被永久删除之前。 输入或选择以下信息。
• 补救持续时间——必须完成补救的时间（最多 30 天），之后 file 被重新扫描。 输入补救时间限额的数字和频率。
• 用户补救措施和通知 –
  • 为内容选择补救措施。 选项是永久删除（永久删除内容）、内容数字权利（符合您选择的内容数字权利模板中包含的条件）或隔离（将内容置于隔离区以进行管理view).
  • 选择通知类型以通知用户对 file 补救时间到期后。

有关通知的更多信息，请参阅创建和管理通知和警报。
笔记
修复不适用于存储对象和记录（结构化数据）的云应用程序。

• 隔离 - 隔离不会删除 file. 它限制用户访问 file 通过将其移动到只有管理员才能访问的特殊区域。 管理员可以重新view 被隔离的 file 并确定（根据违规情况）是对其进行加密、永久删除还是恢复。 隔离选项可用于 file您不想永久删除，但这可能需要在采取进一步行动之前进行评估。 隔离不适用于存储结构化数据的云应用程序。
• AIP 保护——将 Azure 信息保护 (Azure IP) 操作应用于 file. 有关应用 Azure IP 的信息，请参阅 Azure IP。
• 解密 - 对于文件夹的上下文类型，解密内容 file当那些 files 被移动到特定文件夹或当 file的内容被下载到受管设备、指定的用户、组和位置，或下载到授权网络。 解密操作仅适用于内容检查方法为无的策略。

您可以指定要从策略实施中排除的用户或组。 在右侧的字段中，选择要排除的用户名或组名。
笔记

• 在例外列表中，被阻止的域称为白名单域。 如果您指定了阻止的域，则可以列出要从阻止中排除的域。
• 对于策略中包含非结构化数据的云应用程序，可以使用多种操作，包括允许和记录、内容数字权限、永久删除、用户补救、隔离和 AIP 保护。
• 对于仅包含结构化数据的云应用程序，只有日志和永久删除操作可用。
  如果策略将应用于 Salesforce 云应用程序：
• 并非所有可用的上下文和操作选项都适用。 对于前amp乐， file可以加密，但不能隔离。
• 您可以对两者都应用保护 files 和文件夹（非结构化数据）和结构化数据对象。
  可以为内部、外部和公共用户选择协作操作。 要选择多种用户类型，请单击右侧的 + 图标。为用户类型选择一个选项。
• 删除共享链接 – 共享链接使内容无需登录即可使用。 如果一个 file 或文件夹包含共享链接，此选项将删除对 file 或文件夹。 此操作不影响的内容 file - 只有它的访问权限。
• 删除协作者 - 删除文件夹的内部或外部用户的名称或 file. 例如amp例如，您可能需要删除已离开公司的员工的姓名，或不再参与内容的外部合作伙伴的姓名。 这些用户将无法再访问该文件夹或 file.
  注意 对于 Dropbox 应用程序，协作者不能在 file 等级; 它们只能在父级别上添加或删除。 因此，共享上下文将与子文件夹不匹配。
• 限制权限 – 将用户操作限制为两种类型之一： View错误或预view呃。
• View呃使用户能够预view 浏览器中的内容、下载并创建共享链接。
• 预viewer 只允许用户预先view 浏览器中的内容。
  限制权限操作应用于 file 仅当策略内容为 DLP 时才为级别。 如果策略内容为 NONE，它将应用于文件夹级别。

9. （可选）选择次要操作。 然后，从列表中选择一个通知。
笔记 如果选择删除收件人作为对外部域的辅助操作，则在未输入域值的情况下，该策略将作用于所有外部域。 不支持 All 的值。
10. 单击下一步并重新view 政策摘要。 如果策略包括 Salesforce 云，CRM 列将出现在 File分享专栏。
11. 然后，执行以下任一操作：

• 单击“确认”以保存并激活该策略。 政策生效后，您可以 view 通过监控页面上的仪表板查看策略活动。
• 单击 Previous 返回到先前的屏幕并根据需要编辑信息。 如果需要更改策略类型，请在保存之前执行，因为保存后无法更改策略类型。
• 单击取消以取消策略。

笔记 
创建策略并检测到违规行为后，违规行为最多可能需要两分钟才能反映在仪表板报告中。

将恶意软件扫描作为策略类型的 API 策略

1. 在基本详细信息页面中，选择恶意软件扫描。
2. 选择扫描选项。有两个选项可用：
   ● Lookout Scan Engine 使用Lookout 扫描引擎。
   ● 外部ATP 服务使用您从ATP 服务下拉列表中选择的外部服务。
3. 单击“下一步”选择上下文选项。
4. 选择上下文类型。 选项包括用户、用户组、文件夹（对于某些云应用程序）、文件夹名称、共享类型、 File 共享和文件夹共享。
   要在策略中包含多个上下文类型，请单击上下文类型字段右侧的 + 号。
5. 输入或选择您选择的上下文类型的上下文详细信息。
   

   上下文类型	上下文详细信息
   用户	输入有效的用户名或选择 所有用户.
   用户组	用户组被组织到目录中。 当您选择用户组作为上下文类型时，包含这些组的可用目录将列在左列中。 选择一个目录到 view 它包含的用户组。 显示该目录的用户组。 从列表中选择组并单击右箭头图标将它们移动到 选定的用户组 列并单击 节省. 这些是策略将适用的组。要搜索目录或组，请单击 搜索 顶部的图标。 要刷新列表，请单击 刷新 顶部的图标。
   文件夹	选择要包含在策略操作中的文件夹。

   上下文类型	上下文详细信息
   文件夹名称	输入要包含在策略操作中的文件夹的名称。
   共享类型	选择共享范围： ▪ 外部的 – 输入被阻止的域并单击 节省. ▪ 内部的 ▪ 民众 ▪ 私人的
   File 分享	选择范围 file 分享： ▪ 外部的 – 输入被阻止的域并单击 节省. ▪ 内部的 ▪ 民众 ▪ 私人的
   文件夹共享	选择文件夹共享的范围： ▪ 外部的 – 输入被阻止的域并单击 节省. ▪ 内部的 ▪ 民众 ▪ 私人的

6. （可选）选择任何上下文例外（将从策略操作中排除的项目）。
7. 选择内容操作。 选项包括允许和记录、永久删除和隔离。
   如果您选择允许并记录或永久删除，请选择通知类型作为辅助操作（可选）。 然后，从列表中选择电子邮件或频道通知。 如果您选择隔离，请从隔离操作和通知列表中选择通知。 然后，选择一个隔离通知。
8. 单击下一步并重新view 政策摘要。 如果策略包括 Salesforce 云，CRM 列将出现在 File分享专栏。
9. 然后，执行以下任一操作：
   ● 点击确认保存并激活策略。 政策生效后，您可以 view 通过监控页面上的仪表板查看策略活动。
   ● 单击上一步返回上一屏幕并根据需要编辑信息。 如果需要更改策略类型，请在保存之前执行，因为保存后无法更改策略类型。
   ● 单击“取消”取消该策略。

管理连接的应用程序

CASB 在管理控制台上提供了一个位置，您可以在其中 view 有关连接到您组织中的云应用程序的第三方应用程序的信息，根据需要安装其他应用程序，并撤销对任何被认为不安全或可能使数据安全面临风险的应用程序的访问权限。
Google Workspace、Microsoft 365 套件、Salesforce (SFDC)、AWS 和 Slack 云应用程序支持连接应用程序的管理，可用于具有 API 保护模式的云应用程序。 对于 Microsoft 365 云应用程序，管理控制台上列出的应用程序是那些已被管理员链接到 Microsoft 365 的应用程序。
到 view 连接的应用程序列表，请转到保护 > 连接的应用程序。
连接的应用程序页面 view 在两个选项卡中提供信息：

• 连接的应用程序——显示有关安装在您组织中的云应用程序中的应用程序的信息； 还提供用于显示其他详细信息和删除（撤销访问）应用程序的选项。
• AWS Keys Usage – 对于您已启用的任何 AWS 云应用程序，显示有关管理员为这些云应用程序使用的访问密钥的信息。

从连接的应用程序选项卡管理应用程序
连接的应用程序选项卡显示有关每个应用程序的以下信息。

• 帐户名称 — 应用程序连接到的云的名称。
• 应用程序信息——已连接应用程序的名称，以及应用程序的标识号。
• 创建日期——应用在云端安装的日期。
• 所有者信息——安装应用程序的人员或管理员的姓名或头衔，以及他们的联系信息。
• Cloud Certified——应用程序是否已被其供应商批准在云上发布。
• 行动——通过点击 View （双目）图标，你可以 view 有关连接的应用程序的详细信息。
  显示的详细信息因应用程序而异，但通常包括帐户 ID、帐户名称、应用程序名称、应用程序 ID、云认证状态、云名称、创建日期和用户电子邮件等项目。

管理 AWS 密钥使用
AWS Keys Usage 选项卡列出了用于 AWS 账户的访问密钥。
对于每个键，该选项卡显示以下信息：

• 帐户名称 - 云的帐户名称。
• 用户名 — 管理员用户的用户 ID。
• 权限 — 授予帐户管理员用户的权限类型。 如果该帐户具有多个权限，请单击 View 更多查看更多列表。
• 访问密钥 — 分配给管理员用户的密钥。 访问密钥为 IAM 用户或 AWS 账户根用户提供凭证。 这些密钥可用于签署对 AWS CLI 或 AWS API 的编程请求。 每个访问密钥都包含密钥 ID（在此处列出）和一个秘密密钥。 访问密钥和秘密密钥都必须用于对请求进行身份验证。
• 行动——可以对每个列出的账户采取的行动：
• 回收图标 - 转到“活动审核日志”页面以 view 此云的活动。
• 禁用图标 — 如果确定访问密钥在数据安全方面不安全或不再需要，则禁用该访问密钥。

过滤和同步连接的应用程序和 AWS 信息
在这两个选项卡上，您都可以过滤和刷新显示的信息。
要按云应用程序过滤信息，请选中或取消选中要包含或排除的云应用程序的名称。
每两分钟自动同步一次，但您可以随时使用最新信息刷新显示。 为此，请单击左上角的同步。

云安全态势管理 (CSPM) 和 SaaS 安全态势管理 (SSPM)

云安全态势管理 (CSPM) 为组织提供了一套全面的工具来监控其组织中使用的资源，根据安全最佳实践评估安全风险因素，执行必要的操作以防止错误配置将其数据置于更高的风险中，并持续监控风险。 CSPM 使用安全基准，例如适用于 AWS 和 Azure 的 CIS，适用于 Salesforce 的瞻博网络 SaaS 安全态势管理 (SSPM) 最佳实践和适用于 Microsoft 365 的 Microsoft 365 安全最佳实践。

支持云应用
CSPM 支持以下云类型：

• 对于 IaaS（基础设施即服务）——
• 亚马逊 Web 服务 (AWS)
• Azure
• 对于 SaaS（软件即服务）安全态势管理 (SSPM) —
• Microsoft 365
• Salesforce

CSPM/SSPM 包括两个主要组件：

• Infrastructure Discovery（发现用于客户账户的资源）（库存）
• 评估配置和执行

基础设施发现
基础设施发现（发现 > 基础设施发现）涉及识别组织中资源的存在和使用。 该组件仅适用于 IaaS 云应用程序。 每个应用程序都包含自己的可提取和显示的资源列表。
Infrastructure Discovery 页面显示每个 IaaS 云可用的资源（每个云一个选项卡）。

每个选项卡的左侧是帐户、区域和资源组的列表。 您可以从每个列表中选择和取消选择项目以过滤显示。
页面上部的资源图标代表资源类型和每种类型的资源数量。 单击资源图标时，系统会提取该资源类型的筛选列表。 您可以选择多种资源类型。
页面下方的表格列出了每个资源，显示了资源名称、资源 ID、资源类型、帐户名称、关联区域以及资源首次和最后一次观察的日期。

第一个观察到和最后一个观察时间amp这有助于识别首次添加资源的时间，以及最后一次看到它的日期。 如果资源时间amp 显示长时间未被观察到，这可能表明该资源已被删除。 当资源被拉取时，Last Observed timestamp 已更新——或者，如果资源是新的，则将新行添加到表中，并具有第一个观察到的时间amp.
要显示资源的其他详细信息，请单击左侧的双筒望远镜图标。
要搜索资源，请在资源表上方的搜索字段中输入搜索字符。

评估配置
评估配置（保护 > 云安全态势）涉及创建和管理信息，这些信息根据组织安全基础设施中的选定规则评估和报告风险因素。 该组件支持这些云应用程序和行业基准：

• AWS——独联体
• 蔚蓝——独联体
• Salesforce — 瞻博网络 Salesforce 安全最佳实践
• Microsoft 365 — Microsoft 365 安全最佳实践

管理控制台中的云安全态势页面列出了当前的评估。 此列表显示以下信息。

• 评估名称——评估的名称。
• 云应用程序——评估适用的云。
•  评估模板——用于执行评估的模板。
• 规则——当前为评估启用的规则数。
• 频率——评估运行的频率（每天、每周、每月或按需）。
• 上次运行时间——上次运行评估的时间。
• 已启用——指示评估当前是否已启用的开关（请参阅“问题”部分）。
• 评估状态 – 上次运行此评估时触发并通过的规则数。
• 未运行 – 上次运行此评估时未触发的规则数。
• 称重tage 分数 — 显示评估风险分数的颜色条。
• 行动 – 使您能够为评估采取以下行动：
• 铅笔图标 – 编辑评估的属性。
• 箭头图标 – 按需运行评估。

通过单击左侧的眼睛图标，您可以 view 最新评估的更多详细信息。
这些详细信息显示在两个选项卡中：

• 评估结果
• 过去的评估报告

评估结果选项卡
评估结果选项卡列出了与评估关联的合规性规则。 对于评估中包含的每条规则，显示屏会显示以下信息：

• 合规性规则 – 包含的规则的标题和 ID。
• 已启用 - 指示是否为此评估启用规则的切换。 您可以根据您对云的安全评估，根据需要启用或禁用合规性规则。
• 资源通过/资源失败 – 通过或未通过评估的资源数量。
• 上次运行状态 – 上次评估运行的总体状态，成功或失败。
• 上次运行时间——上次运行评估的日期和时间。

过去的评估报告选项卡
过去的评估报告选项卡列出了为评估运行的报告。 运行评估时会生成一份报告，并将其添加到报告列表中。 要下载 PDF 报告，请单击该报告的下载图标，并将其保存到您的计算机。
该报告提供有关云活动的详细信息，包括：

• 包含通过和失败的规则和资源计数的执行摘要
• 有关已测试和失败资源的计数和详细信息，以及失败资源的补救建议

如果删除评估，其报告也将被删除。 仅保留 Splunk 审计日志。
关闭评估详细信息 view，单击屏幕底部的关闭链接。
添加新评估

1. 从管理控制台，转到保护 > 云安全状态管理。
2. 在“云安全状态管理”页面中，单击“新建”。
   您最初会看到这些字段。 根据您为评估选择的云帐户，您将看到其他字段。
3. 根据要用于评估的云帐户类型的指示，为新评估输入此信息。
   

   场地	IaaS 云应用程序（AWS、Azure）	SaaS 云应用程序（Salesforce、Microsoft 365）
   评估名称 输入评估的名称。 名称只能包含数字和字母，不能包含空格或特殊字符。	必需的	必需的
   描述 输入评估的描述。	选修的	选修的

   场地	IaaS 云应用程序（AWS、Azure）	SaaS 云应用程序（Salesforce、Microsoft 365）
   云账号 选择用于评估的云帐户。 评估的所有信息都将与此云有关。 笔记 云应用程序列表仅包括您指定的那些 云安全态势 作为您加入云时的保护模式。	必需的	必需的
   评估模板 选择评估模板。 显示的模板选项与您选择的云帐户有关。	必需的	必需的
   按地区过滤 选择要包含在评估中的一个或多个区域。	选修的	不适用
   筛选条件 Tag 要提供额外的过滤级别，请选择一个资源 tag.	选修的	不适用
   频率 选择运行评估的频率 - 每天、每周、每月、每季度或按需.	必需的	必需的
   通知模板 选择有关评估结果的电子邮件通知模板.	选修的	选修的
   资源 Tag 您可以创建 tags 识别和跟踪失败的资源。 输入文本 tag.	选修的	不适用

4. 单击“下一步”以显示“合规性规则”页面，您可以在其中选择规则启用、规则权重和评估操作。
   此页面列出了可用于此评估的合规性规则。 该列表按类型分组（例如ample，关于监控的规则）。 要显示类型列表，请单击规则类型左侧的箭头图标。 要隐藏该类型的列表，请再次单击箭头图标。
   要显示规则的详细信息，请单击其名称的任意位置。
5. 配置规则如下：
   ● 已启用— 单击指示是否为评估启用规则的开关。 如果未启用，则在运行评估时将不会包括在内。
   ● 权重 – 权重是一个从 0 到 5 的数字，表示规则的相对重要性。 数字越大，权重越大。 从下拉列表中选择一个数字或接受显示的默认权重。
   ● Comments – 输入与规则相关的任何注释。 如果（例如ample) 规则权重或动作改变。
   ● 行动——三个选项可用，具体取决于您为此评估选择的云。
   ● 审核— 默认操作。
   ● Tag （AWS 和 Azure 云应用程序）— 如果您选择了资源 Tags 创建评估时，您可以选择 Tag 从下拉列表中。 此操作将应用 tag 如果评估发现失败的资源，则遵循规则。
   ● 补救（Salesforce 云应用程序）— 当您选择此操作时，CASB 将在评估运行时尝试解决失败资源的问题。
6. 点击下一步重新view 评估信息的摘要。
   然后，单击“上一步”进行任何更正，或单击“保存”以保存评估。
   新评估被添加到列表中。 它将按照您选择的时间表运行。 您还可以随时通过单击“操作”列中的箭头图标来运行评估。

修改评估详情
您可以修改已有的测评，更新其基本信息和规则配置。 为此，请单击您要修改的评估的“操作”列下的铅笔图标。
信息显示在两个选项卡中：

• 基本详细信息
• 合规规则

基本细节选项卡
在此选项卡中，您可以编辑名称、描述、云帐户、过滤和 tagging 信息、使用的模板和频率。
单击更新以保存更改。

合规性规则选项卡
在合规性规则选项卡中，您可以 view 规则详细信息、添加或删除注释以及更改启用状态、权重和操作。 下次运行评估时，这些更改将反映在更新的评估中。 对于前amp例如，如果一个或多个规则的权重发生变化，则通过或失败资源的计数可能会发生变化。 如果禁用规则，它将不会包含在更新的评估中。
单击更新以保存更改。

云数据发现

Cloud Data Discovery 支持通过云扫描发现数据。 使用 API，CASB 可以对 ServiceNow、Box、Microsoft 365（包括 SharePoint）、Google Drive、Salesforce、Dropbox 和 Slack 云应用程序的数据执行合规性扫描。
借助 Cloud Data Discovery，您可以执行以下操作：

• 扫描信用卡号、社会保险号、自定义关键字和 RegEx 字符串等数据。
• 在对象和记录中识别此数据。
• 启用检查公共链接文件夹和外部协作文件夹是否存在协作违规。
• Appy 修复操作，包括永久删除和加密。

您可以通过多种方式配置扫描：

• 选择扫描计划 - 一次、每周、每月或每季度。
• 执行完整或增量扫描。 对于完整扫描，您可以选择一个时间段（包括自定义日期范围），这使您能够以更短的数据集运行更短持续时间的扫描。
• 推迟扫描和重新策略操作view 他们以后。

你可以 view 并为过去的扫描运行报告。
云数据发现的工作流程包括以下步骤：

1. 载入要为其应用 Cloud Data Discovery 的云
2. 创建 Cloud Data Discovery 政策
3. 创建扫描
4. 将扫描与 Cloud Data Discovery 策略相关联
5. View 扫描详细信息（包括过去的扫描）
6. 生成扫描报告

以下部分详细介绍了这些步骤。
加载要为其应用 Cloud Data Discovery 的云应用程序

1. 转到管理 > 应用程序管理。
2. 选择 ServiceNow、Slack、Box 或 Office 365 作为云类型。
3. 选择 API 访问和云数据发现保护模式以启用 CDD 扫描。

创建 Cloud Data Discovery 政策
笔记
云扫描策略是一种特殊的API访问策略，只能应用于一个云应用。

1. 转到保护 > API 访问策略并单击云数据发现选项卡。
2. 单击新建。
3. 输入策略名称和说明。
4. 选择内容检查类型 - 无、DLP 扫描或恶意软件扫描。
   如果您选择恶意软件扫描，如果您想使用外部服务进行扫描，请单击切换开关。
5. 在内容扫描下，选择一种数据类型。
   ● 如果您选择恶意软件扫描作为内容检查类型，则数据类型字段不会出现。 跳过此步骤。
   ● 对于ServiceNow 云应用程序，如果要扫描字段和记录，请选择结构化数据。
6. 根据您选择的内容检查类型，执行以下任一步骤：
   ● 如果您选择了DLP 扫描，请选择一个内容规则模板。
   ● 如果您选择了无或恶意软件扫描，请转到下一步以选择上下文类型。
7. 在上下文规则下，选择上下文类型和上下文详细信息。
8. 选择例外情况（如果有）。
9. 选择动作。
10. View 新政策的细节和确认。

创建 Cloud Data Discovery 扫描

1. 转到保护 > 云数据发现并单击新建。
2. 输入以下扫描信息。
   ● 扫描名称和描述— 输入名称（必填）和描述（可选）。
   ● 云— 选择要应用扫描的云应用程序。
   如果选择 Box，请参阅 Box 云应用程序的选项。
   ● Start Date – 选择扫描开始的日期。 使用日历选择日期或以 mm/dd/yy 格式输入日期。
   ● 频率— 选择扫描运行的频率：一次、每周、每月或每季度。
   ● 扫描类型 – 选择：
   ● 增量– 自上次扫描以来生成的所有数据。
   ● Full – 指定时间段内的所有数据，包括之前扫描的数据。 选择时间段：30 天（默认）、60 天、90 天、全部或自定义。 如果选择自定义，请输入开始和结束日期范围，然后单击确定。● 延迟策略操作– 启用此开关后，CDD 策略操作将被延迟，违规项目将列在违规管理页面（保护> 违规管理> CDD 违规管理选项卡）。 在那里，你可以重新view 列出的项目并选择要对所有项目或选定项目采取的行动 files.
3. 保存扫描。 扫描将添加到云数据发现页面上的列表中。

Box 云应用程序的选项
如果您选择 Box 作为扫描的云应用程序：

1. 选择扫描源，自动或基于报告。
   对于基于报告的：—
   A。 从小部件中选择一个扫描报告文件夹，然后单击保存。
   b. 从日历中选择开始日期。
   默认情况下，频率选项为一次，扫描类型为完整。 这些选项无法更改。对于自动化 —
   A。 如前面的步骤所述，选择时间段、开始日期、频率和扫描类型。 b. 如前面的步骤所述启用延迟策略操作。
2. 保存扫描。
   有关在 Box 应用程序中生成报告的信息，请参阅生成 Box 活动报告。

将扫描与 Cloud Data Discovery 策略相关联

1. 从 Cloud Data Discovery 页面中，选择您创建的扫描。
2. 单击策略选项卡。 这 view 此选项卡中列出了您创建的 Cloud Data Discovery 策略。
3. 单击“添加”。
4. 从下拉列表中选择一个策略。 该列表仅包括具有 Cloud Data Discovery 保护模式的云应用程序。
5. 单击保存。

笔记
列表中仅包含与云关联的策略。
您可以按优先级对 Cloud Data Discovery 策略列表重新排序。 为此：

• 转到云数据发现页面。
• 通过单击扫描名称左侧的 > 箭头来选择扫描名称。
• 在策略列表中，将策略拖放到您需要的优先级顺序。 发布后，优先级列中的值将更新。 单击保存后更改将生效。

笔记

• 您可以在策略选项卡中按扫描优先级重新排序云数据发现策略列表，但不能在 API 访问策略页面（保护 > API 访问策略 > 云数据发现）的云数据发现选项卡上重新排序。
• 在开始运行扫描之前，您必须将扫描状态更改为活动。

View 扫描详情
你可以 view 与扫描信息相关的详细值和图表。

1. 在 Cloud Data Discovery 页面上，单击要查看其详细信息的扫描旁边的 > 箭头。
2. 单击您要查看的详细信息类型的选项卡。

超过view 标签
结束view 选项卡提供找到的项目和策略违规的图形详细信息。
该部分顶部的值显示当前总计，包括：

• 找到文件夹
• Files 和数据找到
• 发现违规行为

笔记
对于 ServiceNow 云类型，还显示结构化数据项的总计。折线图显示随时间变化的活动，包括：

• 找到并扫描的项目
• 违反政策
  您可以为项目选择一个时间范围 view – 过去一小时、过去 4 小时或过去 24 小时。
  当扫描成功完成时，开始将出现在显示范围列表中。

基本选项卡
基本选项卡显示您在创建扫描时输入的信息。 您可以编辑此信息。

政策标签
Policy 选项卡列出了与扫描关联的 Cloud Data Discovery 策略。 您可以将多个策略与扫描相关联。
每个列表显示策略名称和优先级。 此外，您可以通过单击操作列中的删除图标来删除关联的策略。

要将 Cloud Data Discovery 策略添加到扫描，请参阅将扫描与 Cloud Data Discovery 策略相关联。
过去的扫描选项卡
过去的扫描选项卡列出了以前扫描的详细信息。

每次扫描都会显示以下信息：

• 扫描作业 ID – 为扫描分配的标识号。
• 扫描作业 UUID – 扫描的通用唯一标识符（128 位数字）。
• 开始于 — 扫描开始的日期。
• 完成于 — 扫描完成的日期。 如果扫描正在进行中，则此字段为空白。
• 已扫描的文件夹 - 已扫描的文件夹数。
• Files 已扫描 – 的数量 file已扫描。
• 违规 – 扫描中发现的违规数。
• 策略数量 – 与扫描关联的策略数量。
• 状态 – 自扫描开始以来的扫描状态。
• 合规性状态——检测到多少违反政策的百分比tage 扫描的项目总数。
• 报告 - 用于下载扫描报告的图标。

要刷新列表，请单击列表上方的刷新图标。
要过滤信息，请单击“列过滤器”图标，然后选中或取消选中要过滤的列 view.
要下载过去扫描的列表，请单击列表上方的下载图标。
要生成扫描报告，请参阅下一节生成扫描报告。

生成扫描报告
您可以下载 PDF 格式的过去扫描报告。 该报告提供了以下信息。
要生成 Box 活动报告，请参阅为 Box 云应用程序生成活动报告。

• 执行摘要显示：
• 执行的政策总数， files 扫描、违规和补救措施。
• Scope——云应用名称，项目总数（例如amp文件、邮件或文件夹）扫描、执行的策略数量以及扫描的时间范围。
• 结果——扫描消息的数量， file违规的 s、文件夹、用户和用户组。
• 建议的补救措施 - 管理和保护敏感内容的技巧。
• 报告详细信息，包括：
• 基于违规次数的前 10 项政策
• 前 10 名 file有违规行为
• Top 10 违规用户
• 违规前10组

要下载关于过去扫描的报告：

1. 在 Cloud Data Discovery 页面中，显示您想要报告的扫描的详细信息。
2. 单击过去的扫描选项卡。
3. 单击右侧的报告下载图标。
4. 保存 file 报告（PDF 格式）。

为 Box 云应用程序生成活动报告。
本节提供了在 Box 中生成 CSV 格式活动报告的说明。

1. 使用您的管理员凭据登录到 Box 应用程序。
2. 在 Box 管理控制台页面上，单击报告。
3. 单击创建报告，然后选择用户活动。
4. 在“报告”页面上，选择要包含在报告中的列。
5. 选择报告的开始日期和结束日期。
6. 在 Action Types 下，选择 Collaboration 并选择 COLLABORATION 下的所有操作类型。
7. 选择 File 管理并选择下的所有操作类型 FILE 管理。
8. 选择共享链接并选择共享链接下的所有操作类型。
9. 点击右上角的运行提交报告请求。将出现一条确认请求的弹出消息。
   报表运行完毕后，您可以 view 它位于 Box Reports 下的文件夹中。

违规管理与检疫

违反政策的内容可以被隔离以重新处理view 和进一步的行动。 你可以 view 已被隔离的文件清单。 此外，您还可以 view 已重新审理的文件清单view由管理员编辑以及为这些文档选择了哪些操作。
到 view 关于的信息 file如果有违规内容，请转到“保护”>“违规管理”。
笔记
隔离措施不适用于 fileSalesforce 中的 s 和文件夹。
检疫管理
置于隔离区的文档列在隔离区管理页面中，并被标记为待处理
Review 采取行动前的评估状态。 一旦重新viewed，他们的状态变为 Reviewed，执行选定的操作。
选择信息以 view
到 view 处于任一状态的文档，请从下拉列表中选择一个状态。

待回复view
对于待重新处理的每个隔离文档view，列表显示以下项目：

• 策略类型 - 适用于文档的策略的保护类型。
• File 名称 – 文档的名称。
• 时间amp – 违规的日期和时间。
• 用户 – 与违规内容关联的用户的名称。
• 电子邮件 – 与违规内容关联的用户的电子邮件地址。
• 云 - 隔离文档源自的云应用程序的名称。
• 违反的政策 – 违反的政策的名称。
• 操作状态 – 可以对隔离文档执行的操作。

当文档被放入隔离文件夹时，管理员和用户会收到通知。
Reviewed
对于每个已被重新隔离的文档viewed，列表显示以下项目：

• 策略类型——处理违规的策略类型。
• File 名称 - 的名称 file 含有违规内容。
• 用户 – 与违规内容关联的用户的名称。
• 电子邮件 – 与违规内容关联的用户的电子邮件地址。
• 云 - 发生违规的云应用程序。
• 违反的政策 – 违反的政策的名称。
• 操作 – 为违规内容选择的操作。
• 动作状态——动作的结果。

对被隔离者采取行动 file
选择对隔离的操作 file处于待定状态：
通过单击左侧导航栏和时间下拉列表中的框，根据需要过滤列表。
单击复选框 file 对其采取行动的名称。

从右上角的“选择操作”下拉列表中选择一个操作。

• 永久删除——删除 file 从用户的帐户。 请谨慎选择此选项，因为一旦 file 被删除，无法恢复。 将此选项应用于严重违反公司政策的用户无法再上传敏感内容的情况。
• 内容数字权利——应用政策中为内容数字权利指定的任何行动——例如amp文件、添加水印、编辑违规内容或加密文档。
  笔记
  当您选择要对其应用操作的多个隔离记录时，内容数字权限选项在“选择操作”列表中不可用。 这是因为在您选择的记录中，可能只有其中一些记录已针对内容数字权利策略操作进行了配置。 内容数字权利操作只能应用于单个隔离记录。
• 恢复——隔离 file 再次提供给用户。 应用此选项，如果重新view 确定未发生策略违规。

对所选操作单击“应用”。

View查看和搜索隔离文件
你可以过滤 view 使用这些选项的现有隔离操作：

• 在左侧的设置中，选中或取消选中您希望如何组织隔离操作列表。 单击清除以清除所有过滤器。
• 在屏幕顶部，从下拉列表中选择一个时间段。

要搜索隔离的文档，请仅使用前缀匹配查询来搜索结果。 对于前amp乐，找到 file 盒子-CCSecure_File29.txt，在单词搜索拆分特殊字符时按前缀搜索。 这意味着您可以通过前缀词“BOX”、“CC”和“File” 显示相关记录。

CDD违规管理
CDD 违规管理列表显示云数据发现 (CDD) 策略的内容违规。
对于每个 file，列表显示以下信息：

• 时间amp – 违规的日期和时间。
• 云应用程序 – 发生违规的云应用程序的名称。
• 电子邮件 – 与违规相关的用户的有效电子邮件地址。
• 操作状态 – 策略操作的完成状态。
• 策略操作 – 违反策略中指定的操作。
• 策略名称 – 违反的策略的名称。
• File 名称——对象的名称 file 与违规内容。
• URL - 这 URL 的违规内容。

选择信息以 view
从左侧面板中选择项目 view – 用户组、违规、用户和状态。

对隔离的 CDD 项目采取措施

1. 单击应用操作。
2. 在操作范围下，选择一个操作 — 策略操作或自定义操作。
   ● Policy Action 应用策略中指定的操作。 选择全部 Files 将策略操作应用于所有 file已列出，或已选择 Files 仅将策略操作应用于 file你指定。
   ● 自定义操作允许您选择内容和协作操作以应用到 files.
   ● 内容操作——选择永久删除或内容数字版权。 对于内容数字版权，选择操作的 CDR 模板。
   ● 协作操作– 选择内部、外部或公共。
   o 对于内部，选择删除协作者并选择要包含在操作中的用户组。
   o 对于外部，选择删除协作者并输入要阻止的域。
   o 对于公共，选择删除公共链接。
   o 要添加另一个协作操作，请单击右侧的 + 图标并选择适当的操作。
3. 点击采取行动。

监控和管理系统活动

以下主题概述了如何通过仪表板、图表和活动审核日志监控云活动、监控用户风险信息、管理设备以及使用 file在隔离区。

• View从主页仪表板开始活动
• 从图表监控云活动
• 使用活动审核日志
• 从审计日志中监控用户活动
• View获取和更新用户风险信息
• 管理设备

View从 Home Dashboard 查看用户和系统活动
从托管部署中的主页仪表板，您可以 view 组织中云和用户活动的图形表示。
Home Dashboard 将数据组织成以下主要组件：

• 显示事件总数和趋势图的数据卡
• 可能对您的数据安全构成威胁的事件总数（按云和类型）
• 更详细的事件列表。 威胁包括违规和异常活动。
  以下部分描述了这些组件。

资料卡
数据卡包含管理员可以使用的重要信息片段 view 在现有基础上。 数据卡中的数字和趋势图表基于您选择的时间过滤器。 当您修改时间过滤器时，数据卡中显示的总计和趋势增量会相应更改。
数据卡显示您指定的云应用程序和时间范围的这些类型的信息。 您可以通过将鼠标悬停在数据卡底部的日期范围上来查看特定时间范围内的活动计数。
以下部分描述了每个数据卡。

内容扫描
内容扫描数据卡显示以下信息。

• Files 和对象 - 的数量 file已扫描以检测策略违规的 s（非结构化数据）和对象（结构化数据）。 对于 Salesforce (SFDC)，此数字包括客户关系管理 (CRM) 对象。 当客户使用云应用程序时，CASB 会扫描云应用程序上的内容和用户活动。 根据执行的活动和为您的企业设置的策略，CASB 生成分析并将其显示在数据卡上。
• 违规 — 策略引擎检测到的违规次数。
• 受保护的——数量 file通过隔离、永久删除或加密操作保护的 s 或对象。 这些补救措施从用户中删除内容（通过删除永久删除；通过隔离暂时删除）或限制未经授权的用户读取内容的能力（加密）。 这些分析提供了 view （随着时间的推移）针对策略引擎检测到的违规行为执行了多少保护措施。

内容共享
内容共享数据卡显示以下信息。

• 公共链接——跨平台找到的公共链接总数 file 存储云应用。 公共链接是公众无需登录即可访问的任何链接。 公共链接易于共享且不安全。 如果他们链接到包含敏感信息的内容（例如ample，对信用卡号码的引用），该信息可能会暴露给未经授权的用户，并可能危及该数据的隐私和安全。
• 删除公共链接选项为您提供了启用信息共享的灵活性，但也允许您保护特定类型的内容。 创建策略时，如果公共链接包含在 file 带有敏感内容。 您还可以指定从包含敏感信息的文件夹中删除公共链接。
• 外部共享——与组织防火墙外的一个或多个用户（外部合作者）共享内容的活动数量。 如果策略允许外部共享，则用户可以共享内容（例如amp乐，一个 file) 与另一个外部用户。 共享内容后，共享内容的用户可以继续访问该内容，直到该用户的访问权限被删除。
• 受保护——公共链接或外部合作者被删除的事件总数。 外部协作者是组织防火墙之外的用户，可以与之共享内容。 删除外部协作者后，该用户将无法再访问共享的内容。

命中率最高的安全策略
Most Hit Security Policies 卡显示一个表格，其中列出了每个策略的前 10 个策略命中。 该表列出了策略名称和类型以及数量和百分比tag政策的命中率。
政策
策略卡在圆图中显示了活动策略的总数以及活动策略和所有策略的数量（按策略类型）。
活动详情
活动详情提供表格 view 您指定的时间过滤器的所有威胁。 列出的事件总数与右侧图表中显示的总数相匹配。

您可以使用以下选项过滤数据。
按时间范围

从下拉列表中选择要包含在主页上的时间范围 view. 默认时间范围是月。 当您选择一个时间范围时，总计和趋势增量会发生变化。
您还可以指定自定义日期。 为此，选择自定义，单击自定义顶部的第一个框 view，然后从日历中单击首选的开始和结束日期。

View正在查看更多详细信息
您可以显示数据卡、威胁图或表格中的其他详细信息 view.
从数据卡
对于特定日期：将鼠标悬停在您想要详细信息的卡片底部的日期上。
对于卡片中的数据计数：单击您需要更多详细信息的数据计数。
详细信息显示在表中 view.
从表格中
单击详细分析链接。 主页仪表板页面中的所有活动都列在“活动审核日志”页面上的表格中。 从这里，您可以通过单击条形进一步向下钻取。
要在表格中显示更多或更少的列，请单击右侧的框图标，然后选择或取消选择列表中的列。 可供选择的字段名称取决于您选择的过滤选项。 您可以在表中显示不超过 20 列。

刷新所有数据
单击主页仪表板右上角的刷新图标以更新页面上所有项目的数据。

导出数据
您可以保存主页仪表板上信息的打印输出。

1. 单击页面右上角的“全部导出”图标。
2. 选择打印机。
3. 打印页面。

从图表监控云活动
管理控制台“监控”选项卡中的“活动仪表板”页面是您可以从中 view 您企业中特定类型的活动。 此活动反映了实时和历史数据扫描的结果。
从监控页面，您可以 view 以下仪表板：

• 申请活动
• 异常活动
• 办公室 365
• IaaS 监控仪表板
• 活动提醒
• 零信任企业访问

您可以显示仪表板 view以多种方式。 您可以选择更高级别的所有云应用程序view您的云数据活动的详细信息，或者您可以选择特定的云应用程序或仅选择一个云以获取更详细的信息。 到 view 特定时间的活动，您可以选择一个时间范围。
您可以通过单击菜单项转到以下页面。
以下部分介绍了这些仪表板。

申请活动
应用程序活动仪表板提供以下内容 views.
政策分析
策略分析提供有关组织中策略触发器的类型、数量和来源的观点。 对于前amp文件中，您可以查看特定时间（例如一个月）的策略违规总数，以及按云、用户或策略类型（例如外部合作者违规）的违规细目。
有关说明，请参阅策略分析。

活动监控
活动监测显示量化 view您组织中的活动数量——例如amp文件、按活动类型（例如登录和下载）、按时间或按用户。
有关说明，请参阅活动监控。

加密统计
加密统计显示加密的方式 file正在您的组织中访问和使用。 对于前amp乐，你可以 view 加密或解密的最大用户数 files，随着时间的推移发生了多少次加密和解密活动，或者类型 files 已被加密。
有关说明，请参阅加密统计信息。

特权用户活动
特权用户活动显示组织中具有更高级别访问权限的用户执行的活动。 这些用户通常是管理员，有时被称为“超级用户”。 这个级别的用户可以 view 管理员创建或冻结的帐户数量，或者更改了多少会话设置或密码策略。 了解特权用户的活动很重要，因为这些用户拥有权限，在这些权限下他们可以修改可能危及云安全的设置。 来自这些仪表板的信息使安全团队能够监控这些用户的行为，并迅速采取行动应对威胁。
有关说明，请参阅特权用户活动。

异常活动
异常活动检测引擎持续提供file的数据属性和用户行为来检测您企业的异常活动。 监控包括登录发生的位置（地理登录）、源 IP 地址和使用的设备。 用户行为包括内容上传和下载、编辑、删除、登录和注销等活动。
异常不是实际的策略违规，但可以作为可能的数据安全威胁和恶意数据访问的警报。 前任amp异常情况可能是来自单个用户的异常大量下载、来自同一用户的登录次数高于正常值，或者未经授权的用户持续尝试登录。
用户亲file 包括尺寸 file 跨云应用程序的下载量，以及用户活跃的一天中的时间和星期几。 当引擎在此期间检测到与观察到的行为有偏差时，会将活动标记为异常。
异常分为两种类型：确定性和统计性。

• 确定性检测实时工作并在用户活动发生时检测异常，具有标称延迟（例如ample，10 到 30 秒）。 算法亲files实体（如用户、设备、应用程序、内容、用户位置、数据目的位置）、属性（如访问位置、源IP地址、使用的设备），以及它们之间的关系。
• 当遇到未知或意外的新关系时，会评估它是否存在可疑活动。
  在Samp用户活动专业版file这种方法中的 d 相对较小，并且会随着时间的推移而增长。 尽管规则数量或搜索空间有限，但使用此方法检测到的异常的准确性很高。
• 统计检测创建具有较大活动 s 的用户基线ample，通常跨越 30 天，以减少误报。 用户活跃度高filed 使用三维模型：观察到的指标（位置、访问计数、 file 大小）、一天中的时间和星期几。 指标按时间和日期分组。 活动亲filed 包括：
  • 内容下载
  • 内容访问——上传、编辑、删除
  • 网络访问——登录和注销

当引擎在此期间检测到与观察到的行为有偏差时，基于聚类技术，它会将活动标记为异常。 它以非实时方式检测异常，通常延迟一小时。
确定性算法用于地理异常检测。 统计算法用于异常下载以及内容和网络访问。
到 view 异常活动，请转到监控 > 异常活动。
有关更多详细信息 viewing 异常报告，请参阅：

• 地理位置异常活动
• 从“活动审核日志”页面显示地理异常详细信息
• 异常下载、内容访问和身份验证
• 立体活动 views

地理位置异常活动
按地理位置显示的异常活动仪表板是一张地图 view 显示可能发生异常活动的地理指针。 这种类型的异常称为地理异常。 如果检测到地理异常，地图会显示一个或多个地理指针，用于标识相关活动发生的地点。

单击指针时，可以显示有关用户当前和以前活动的详细信息，包括他们的电子邮件地址、他们访问的云、他们的位置和活动时间。 使用当前和以前的活动详细信息，您可以进行比较以深入了解异常情况。 对于前amp例如，用户可能使用相同的登录凭据从两个不同的位置登录到两个不同的云应用程序。 蓝色指针代表当前焦点所在的位置。
要聚焦于其他位置，请单击其指针。
如果一个地理区域有多个异常活动实例，则会出现多个指针，稍微重叠。 要显示其中一个指针的信息，请将鼠标悬停在具有重叠指针的区域上。 在出现的小方框中，单击您要为其创建的指针 view 细节。
从“活动审核日志”页面显示地理异常详细信息
从活动审计日志页面（监控 > 活动审计日志），您可以选择地理异常 views 通过单击出现在活动列表左侧的双筒望远镜图标。

异常下载、内容访问和身份验证
以下仪表板图表提供有关跨云应用程序的异常活动的信息。

• 按大小划分的异常下载图表显示了一段时间内按下载大小划分的下载摘要计数 files.
• 企业中的数据劫持通常表现为异常大量的业务关键数据下载。 对于前amp例如，当员工离开组织时，他们的活动可能表明他们在离职前下载了大量公司数据。 此图表告诉您在用户下载中发现异常模式的次数、执行下载的用户以及下载发生的时间。
• 异常内容删除图表显示异常活动的删除事件数。
• 异常身份验证图表显示在用户的网络访问事件中发现异常模式的次数，包括登录、失败或暴力登录尝试以及注销。 重复登录失败可能表示有人恶意尝试访问网络。
• 按计数统计的异常下载图表显示您的企业的异常下载数量。

立体活动 views
您还可以 view 一个三维图表，您可以从中观察与正常活动相关的异常活动。 在这个 view，活动表示为三个轴上的数据点（也称为桶）：

• X=一天中的小时数
• Y=聚合活动计数或聚合下载大小
• Z=星期几

该图表使用聚类机制来说明活动模式并揭示异常情况。 这些活动集群可以让您更好地了解在特定日期和时间发生最频繁的事件类型。 这些集群还使异常现象在视觉上脱颖而出。
随着活动按小时进行跟踪，数据点会添加到图表中。 当相关活动总计至少 15 个数据点时，就会创建集群。 每个聚类由其数据点的不同颜色表示。 如果一个集群的数据点（桶）少于三个，则这些点代表的事件被认为是异常的，它们以红色显示。
图表上的每个数据点代表一天中特定时间发生的事件。 您可以通过单击任何数据点来获取有关日期、时间和事件计数的详细信息。
在此例中ample，右下方的簇有 15 个数据点。 它表明在整个星期的下午晚些时候和晚上发生了几件事。 所有活动的访问计数都相似。 有一天，访问次数高了很多，该点显示为红色，表示异常。
图表下方的表格列出了图表中表示的事件。 这个例子中的列表amp文件概述了访问的日期和时间， file 访问的内容、进行访问的云以及访问内容的用户的电子邮件地址。

配置异常信息的设置
在“系统设置”页面中，您可以配置如何跟踪、监控和传达有关异常活动的信息。 对于 Box 云应用程序，您可以抑制（白名单）包含在云帐户中的连接应用程序以防止地理异常。

允许的用户活动率的自适应阈值（预view 特征）
自适应阈值定义了允许的用户活动速率。 可以根据用户活动率调整配置的阈值。 能够配置阈值使您能够根据需要调整用户活动的速率。 如果条件允许，例如amp例如，可以修改阈值以允许更高的活动率。
自适应阈值配置评估阈值合规性，并允许事件达到定义的阈值。 CASB 还检查固定阈值后事件发生的概率。 如果概率在允许范围内，则允许事件发生。 方差百分比的默认值tage 来自峰值的概率为 50%。
您还可以设置连续失败计数（例如ample，连续三个失败）。 当连续失败的次数超过指定计数时，事件将被视为不合规。 默认计数为三 (3) 次连续失败。 最高可调整为 20 或最低为 1。
您可以选择自适应阈值作为策略中的上下文类型，这些设置将应用到其中。 此上下文类型可用于上传、下载和删除活动的内联策略。 有关使用自适应阈值作为策略上下文类型的说明，请参阅创建云访问控制 (CAC) 策略。

异常信息追踪

1. 转到管理 > 系统设置 > 异常配置。
2. 选择设置如下：
   

   科/领域	描述
   通过以下方式抑制地理异常	A。 单击 Cloud Account 字段右侧的字段。 湾 选择 连接的应用程序. C。 来自 目录 列表中，单击要抑制的应用程序的文件夹。 d. 单击右箭头将它们移动到 连接的应用程序 柱子。 e. 输入要抑制异常信息的 IP 地址和电子邮件地址。 在每个字段中，用逗号分隔多个 IP 和电子邮件地址。
   Geoanomaly 活动	搜索 要跟踪地理异常的活动，选择活动，然后单击 申请. 笔记 对于要为 Microsoft 365 和 AWS 触发的异常，您必须检查 O365审计 和 AWS审计 从列表中。
   地理异常	为了 最小地理异常距离，输入要跟踪地理异常的最小英里数，或接受默认值 300 英里。

   科/领域	描述
   自适应速率限制  （预view)	输入或选择以下将应用于租户的选项： ▪ 峰值的概率变化, 作为百分比tage（默认为 50%） ▪ 不合规的连续失败率 （默认计数为 3）
   清除地理异常	点击 清除 清除以前报告的地理异常信息。 点击后 清除，最后一次清除地异常的日期和时间出现在 清除 按钮。

3. 单击保存。

异常专业版的设置files（动态异常配置）
动态异常配置包括profiles 用于定义被视为异常的行为。 这些亲files 基于活动类别和活动类型。 每个亲file 是预定义的（为所有租户提供；不能由管理员修改或删除）或用户定义的（可以由管理员创建、修改或删除）。
您最多可以创建四个用户定义的异常 profiles。 每个专业人士file 定义活动类别的异常行为（例如amp文件、身份验证或内容更新），以及与该类别相关的活动（例如amp文件、登录、内容下载或内容删除）。

异常临files页面显示：

• 专业人士file 名称和描述
• 活动类别（例如ample, 内容更新)
• 类型 – 预定义（系统生成，无法编辑或删除）或用户定义（可由管理员创建、编辑和删除）。
• 创建日期 – pro 的日期file 已创建。
• Last Modified By – 最后修改 pro 的人的用户名file （对于用户定义的亲files) 或系统（对于预定义的 profiles)。
• Last Modified Time – pro 的日期和时间file 上次修改时间。
• Actions – 用于显示 pro 的编辑图标file 详细信息和修改用户定义的专业files.

您可以过滤列显示或下载专业列表files 到 CSV file 使用列表右上角的图标。
要显示或隐藏列，请单击“列过滤器”图标，然后选中或取消选中列标题。
下载列出的专业版files，单击下载图标并保存 CSV file 到您的计算机。
以下过程概述了添加、修改和删除用户定义异常的步骤files.

笔记
您最多可以拥有四个用户定义的 profile秒。 如果您目前有四个或更多用户定义的 profiles，新建按钮显示为灰色。 你必须删除亲file在您添加新的专业人士之前，请将人数减少到少于四人files.
添加新的用户定义的异常 profile:

1. 转到管理 > 系统设置，选择 Anomaly Profiles，然后单击新建。
2. 专业版file 详细信息，输入以下信息：
   ● 名称（必填）和说明（可选）。
   ● Activity Category – 选择用于在 Pro 中定义活动的类别file.● 活动——勾选所选类别的一项或多项活动。 您在列表中看到的活动基于您选择的活动类别。 以下活动类型可用。

   活动类别	活动
   内容上传	内容上传内容创建
   内容更新	内容编辑内容重命名内容还原内容移动内容复制
   内容共享	协作添加协作邀请内容共享协作更新

3. 单击保存。

修改用户定义的 profile:

1. 选择一个用户定义的专业file 然后单击右侧的铅笔图标。
2. 进行所需的修改并单击保存。

删除用户定义的 profile:

1. 选择一个用户定义的专业file 然后单击列表右上角的垃圾桶图标。
2. 出现提示时，确认删除。

办公室 365 

Office 365 仪表板提供有关 Microsoft 365 套件中应用程序活动的信息。 图表仅针对您加入的应用程序显示。
结束view 图表总结了您的入职应用程序的用户活动信息。 应用程序图表显示该应用程序的用户活动。
有关图表的详细信息，请参阅 Office 365 仪表板。

AWS 监控
AWS Monitoring 仪表板按位置、时间和用户数量提供有关用户活动的信息。
有关图表的详细信息，请参阅 AWS 监控图表。

自定义和刷新仪表板显示
您可以在仪表板上四处移动图表，选择显示哪些图表，并刷新一个或所有图表的显示。

要在仪表板中移动图表：

• 将鼠标悬停在要移动的图表的标题上。 单击并将其拖动到所需位置。

要刷新图表的显示：

• 将鼠标悬停在图表的右上角，然后单击刷新图标。

要刷新页面上所有图表的显示：

• 单击刷新图标 在页面的右上角。

要选择显示在仪表板中的数据：

• 在页面左上角，选择要包含的云应用和时间范围。

导出数据以进行报告
您可以从任何图表中导出您需要的信息。

1. 选择包含要导出其数据的图表的选项卡（例如amp文件，监控 > 活动仪表板 > 策略分析）。
2. 选择您想要其数据的图表。
3. 从导出中排除任何项目（例如ample, users)，单击图例中的项目以隐藏它们。 （要再次显示它们，请再次单击这些项目。）
4. 将鼠标悬停在图表顶部，单击“导出”图标 在右上角。
   然后，从列表中选择一种导出格式。
5. 保存 file.

打印报告或图表

1. 单击要打印数据的图表右上角的“导出”图标，然后选择“打印”。
2. 选择打印机并打印报告。

使用活动审核日志
活动审核日志页面（监控 > 活动审核日志）显示详细信息 view您从图表中选择的数据，或您搜索的项目。 通过此页面，您可以使用导航栏中的过滤选项来关注特定用户和活动，以提供审计跟踪或检测使用模式。
该页面显示这些项目。

搜索选项： ▪ 云应用程序 （托管、企业和未经批准的）和 web 类别 ▪ 事件类型 （例如ample，活动，违反政策） ▪ 事件 来源 （例如amp乐，API） ▪ 时间范围选项 （例如ample，过去 34 小时，上周，上个月）
搜索查询字符串。
从搜索中找到的事件总数。

您可以通过选择要搜索的用户、用户组、活动类型、内容类型和策略名称来进一步过滤搜索的导航栏。 当您需要对特定用户或活动进行审计跟踪时，这些过滤器会很有帮助。 搜索结果显示所选筛选项中最近的 10,000 条记录。
事件数据的条形图显示，显示找到的所有事件的计数（除了最近的 10,00 条记录）。

事件数据表，显示最新的 500 条记录。 数据按时间降序排列。 对于其他数据，您可以将内容导出到 CSV file. 导出包括当前选定过滤器的结果。 笔记 对于 ServiceNow 云应用程序， 活动审计日志 页面不显示内容下载活动的源详细信息（IP、城市、国家、国家代码、IP、来源、来源状态或用户类型）。

过滤数据
要关注特定数据，您可以使用下拉列表为以下类型的信息设置过滤器：

• 云应用程序（托管和非托管）
• 事件类型，包括活动、违规、异常、云数据发现 (CDD) 活动、CDD 违规和云安全态势事件
• 事件源，包括 API、IaaS 审计、Office 365 审计和其他事件类型
• 时间范围，包括最近一小时、最近 4 小时、最近 24 小时、今天、上周、上个月、去年，以及按您选择的月份和日期自定义

从列表中选择项目后，单击搜索。

在左侧的垂直导航栏中，您可以进一步过滤数据：

所有可用项目都列在每个类别下。

单击 > 图标展开每个类别的列表。 如果某个类别的可用项目超过 10 个，请单击列表末尾的更多以查看其他项目。
要过滤和搜索数据：

1. 从每个下拉列表中选择搜索项，然后单击搜索。
   符合搜索条件的项目数显示在下拉列表下方。搜索结果显示事件总数。
2. 在左侧菜单中，选择要包含在过滤器中的项目。
   ● 要包括类别中的所有项目，请单击类别名称旁边的框（例如ample，活动类型）。
   ● 要选择特定项目，请单击它们旁边的框。
   ● 要搜索用户，请在用户类别下的搜索框中输入用户名的几个字符。 从搜索结果中选择用户名。
   单击重置以清除导航栏中的过滤器。 您从搜索下拉列表中选择的搜索项不受影响。
   要在选择过滤器后隐藏导航栏并留出更多空间来查看数据，请单击“重置”链接旁边的左箭头图标。

选择要包含在表中的字段 view
选择要出现在表中的字段 view, 单击屏幕右侧的图标以显示可用字段列表。 列表的内容取决于您选择的过滤选项。

检查要包含在日志中的字段； 取消选中要排除的任何字段。 您最多可以包含 20 个字段。
如果您有任何包含外部服务扫描的恶意软件扫描策略，请选择适用于该服务的字段以包含在这些策略的表中。 对于前amp文件，对于使用 FireEye ATP 进行恶意软件扫描的策略，您可以包括 ReportId（FireEye 作为响应提供的 UUID）、MD5（可用于与类似的 MD5 信息进行比较）和签名名称（逗号分隔值）作为字段FireEye 扫描信息。

View从表条目中获取更多详细信息
到 view 有关所列违规的更多详细信息，请单击条目左侧的双筒望远镜图标。 弹出窗口显示详细信息。 以下前amp文件显示来自 FireEye 和 Juniper ATP 云服务的详细信息。
火眼 

要显示包含更多详细信息的 FireEye 报告，请单击报告 ID 链接。

瞻博网络 ATP 云 

View从“活动审核日志”页面获取异常详细信息
在“活动审核日志”页面中，您可以显示用户异常活动的三维图表。 到 view 图表，单击任何表格行中的双筒望远镜图标。
三维异常 view 在新窗口中打开。

有关异常的更多信息，请参阅异常活动。
执行高级搜索
“活动审核日志”页面顶部的“搜索查询”字段显示当您从“管理”菜单中选择“管理审核日志”时当前显示的项目，或适用于您从主页仪表板之一选择的详细信息的项目。

笔记
要执行高级搜索，请确保您了解编写 Splunk 查询的格式。 对于大多数搜索，您可以使用过滤选项找到所需的信息，而无需执行高级搜索。
要执行高级搜索：

1. 单击“搜索查询”字段。 领域扩大。
2. 输入搜索条件的名称/值对。 您可以输入多行名称-值对。
   最多显示五行。 如果您的搜索超过五行，则“搜索查询”字段右侧会出现一个滚动条。
3. 单击搜索图标。 显示搜索结果。
4. 要将查询字符串字段恢复为原始大小，请单击右侧的 > 图标。 要将搜索条件重置为搜索前的原始值，请单击右侧的 x。

View正在处理额外的日志详细信息
执行以下任一操作：

• 将鼠标悬停在您需要更多详细信息的日期栏上。 弹出窗口显示该日期的详细信息。 在这个前ample，弹出窗口显示 24 月 10 日 XNUMX 小时内的事件数。 ▪ 或单击您需要更多详细信息的日期栏，将显示一个包含事件细分的新条形图。 在这个前ample，条形图显示了 23 月 XNUMX 日事件的每小时计数。

隐藏图表 view
隐藏图表 view 在屏幕顶部并仅显示事件列表，单击显示/隐藏图表图标 图表右侧的链接 view. 显示图表 view 再次单击链接。

导出数据
您可以将数据导出为逗号分隔值 (.csv) file，基于您选择的字段和导航栏过滤器。
要从“活动审核日志”页面导出数据：

1. 选择屏幕右侧的导出图标。
2. 选择一个 file 名称和位置。
3. 保存 file.

通过管理员审计日志监控用户活动
管理审计日志（管理 > 管理审计日志）收集与安全相关的系统事件，例如系统配置更改、用户登录和注销、系统服务状态更改或节点的停止/启动。 当发生此类更改时，将生成一个事件并将其保存在数据库中。
审计日志信息
管理员审核日志页面提供以下信息。

场地	描述
时间	事件的记录时间。
用户	如果用户生成了事件，则为该用户的姓名（电子邮件地址）。 如果它是节点上的事件，则使用节点名称。 如果既不涉及用户也不涉及节点，则此处显示 N/A。
IP 地址	用户浏览器的 IP 地址（如果用户执行了操作）。 如果某个事件发生在某个节点上，则会显示该节点的 IP 地址。 如果在没有用户交互的情况下生成操作，则此处会显示 N/A。

场地	描述
子系统	事件发生的一般区域（例如ample，登录活动的身份验证）。
事件类型	事件类型； 对于前amp文件、登录、证书上传或密钥请求。
目标类型	作用的区域。
目标名称	活动的具体地点。
描述	有关事件的其他可用详细信息（以 JSON 格式显示）。 点击 View 细节. 如果没有其他详细信息可用，则仅 curly 大括号 {} 出现。

过滤和搜索管理员审核日志信息
您可以通过缩小时间范围或搜索特定类型的信息来定位管理审核日志中的信息类型。
要按时间范围过滤，请从左上角的下拉列表中选择时间范围。

要搜索特定信息：
单击右上角的过滤器图标。 然后单击框以选择要查找的信息，然后单击“搜索”。

见解调查
Insights Investigate 为您的组织提供事件管理工具。 你可以 view 组织中发生的涉及违反策略的事件，为事件分配严重级别，并指定适当的操作。 此外，您还可以 view 从多个角度详细了解事件及其来源，并获取有关每个事件及其来源的更多信息。
要使用 Insights Investigate 功能，请转到 Administration > Insights Investigate。
Insights Investigate 页面在三个选项卡中提供信息：

• 事件管理
• 事件洞察
• 实体见解

事件管理选项卡
事件管理选项卡列出了组织中发生的事件。
此页面列出找到的事件记录总数，每页最多显示 50 条记录。 到 view 其他记录，请使用屏幕底部的分页按钮。
提供了四个下拉列表，您可以从中过滤信息以显示事件

• 时间段（今天、过去 24 小时、周、月或年，或您指定的日期段）
• 云（托管或非托管）
• 严重性（低、中或高）
• 状态（开放、正在调查或已解决）

事件管理列表提供以下信息。 使用右上角的列过滤器显示或隐藏其他列。

柱子	它显示了什么
日期	最后一次已知事件发生的日期和时间。
违反政策	事件违反的政策。
用户名	事件的用户名称。
帐户名称	发生事件的云的名称。
严重程度	事件的严重程度——低、中或高。
地位	事件的解决状态——开放、正在调查或已解决。

柱子	它显示了什么
日期	最后一次已知事件发生的日期和时间。
违反政策	事件违反的政策。
用户名	事件的用户名称。
帐户名称	发生事件的云的名称。
主题	违规电子邮件的主题文本。
接受者	违规电子邮件收件人的姓名。
操作	可以针对此事件采取的操作。 显示两个图标。 ▪ 隔离 — 如果被违反的政策有以下行为 隔离，此图标已启用。 单击后，此图标会将管理员带到 检疫管理 页。 ▪ 活动审计日志 — 单击后，此图标会将管理员带到 活动审计日志 页。 活动审计日志 页面显示了我可用的相同数据事故管理页面, 格式不同。

您可以使用搜索框查找有关特定违规行为的信息。
事件洞察选项卡
事件洞察选项卡提供了这些类型事件的详细信息：

• 登录违规
• 地理异常
• 活动异常
• 恶意软件
• DLP 违规
• 外部共享

每种违规类型都标记在图表的外圈中，在中心显示租户的姓名。 每种类型的标签显示该类型的事件数。 对于前ample, DLP Violations (189) 表示发生了 189 次 DLP 违规。
要获得更精确的搜索结果，您可以按日期（今天、过去 4 小时、过去 24 小时、周、月或年）过滤此信息。（默认为过去 24 小时。）
您可以使用“搜索”和“添加”按钮搜索事件。 这些按钮使您能够对所需数据进行更精确的搜索。 对于前amp文件中，您可以添加指定用户和位置和应用程序的查询。 您只能在搜索查询中包含一个用户。
对于没有违规（计数为零）的事件类型，它们的标签不会突出显示。
对于具有违规的事件类型，右侧的表格显示了有关每个违规的更多详细信息。
表中的信息因事件类型而异。 单击违规标签可查看该违规事件的列表。
对于 DLP 违规，该表显示最多 100 条记录的以下信息。
您可以单击表格行第一列中的双筒望远镜图标 view 弹出窗口，其中包含有关违规的其他详细信息。

实体见解选项卡
Entity Insights 选项卡提供有关作为违规来源的实体的详细信息，包括：

• 用户
• 设备
• 地点
• 应用
• 内容
• 外部用户

每个实体都标记在图形的外圈中。 默认情况下，租户名称显示在中心圆圈中。 每个实体的标签显示实体的名称和为其找到的计数。 对于前amp例如，User (25) 表示找到了 25 个用户，Device (10) 表示找到了 10 个设备。
要获得更精确的搜索结果，您可以按日期（今天、过去 4 小时、过去 24 小时、周、月或年）过滤此信息。（默认为过去 24 小时。）
您可以搜索有关实体的其他详细信息。 对于前amp例如，如果您通过在“搜索”字段中输入用户名来搜索用户，图表会显示用户名及其风险级别。 用户的风险级别显示为用户名周围的半圆。 颜色表示风险级别（低、中或高）。
对于具有事件的实体类型，右侧的表格显示有关实体每个事件的其他详细信息。 表中显示的信息类型因实体而异。 单击实体标签以查看该实体的表格。
笔记

• Entity Insights 表最多可以显示 1,000 条记录。 如果您的搜索对某个实体产生了很高的计数，则该表仅显示找到的前 1,000 条记录，即使记录总数超过 1,000 条也是如此。 您可能需要进一步细化搜索以将总记录数保持在 1,000 条或更少。
• 将 Entity Insights 活动记录从活动审核日志页面导出到 CSV 时 file, 导出限制为 10,000 个事件。 如果您的搜索产生的活动计数高于此值，则导出的 CSV file 将仅包含找到的前 10,000 条记录。

View获取和更新用户风险信息
用户风险管理页面（保护 > 用户风险管理）使用来自政策违规、异常和恶意软件事件的信息来突出显示可能对您的数据安全构成风险的用户。 此信息可以帮助您确定是否需要调整策略或用户权限。
您可以更新用户风险管理设置以设置风险阈值并指定要包含在风险评估中的信息类型。
要修改用户风险评估设置，请单击表格右上方的齿轮图标。 然后，根据需要更改以下设置。

• 在违规持续时间下，向右或向左移动滑块。
• 在阈值下，向右或向左移动滑块。
• 选中或取消选中要包含在风险评估中的信息类型（违反策略、恶意软件事件、异常和策略操作）。

单击保存以激活设置。

创造， view荷兰国际集团和调度报告

您可以创建各种报告，提供全面的 view 的信息，例如：

• 用户如何以及从何处访问来自云应用程序的数据以及 web网站，
• 如何以及与谁共享数据，以及
• 用户是否采取了所有适当的安全预防措施。

此外，报告提供的信息有助于识别以下问题：

• 异常/匿名数据访问
• 定义策略的偏差
• 偏离规定的合规性
• 可能的恶意软件威胁
• 类型的 web访问的网站（例如amp电子、购物、商业和经济、新闻和媒体、技术和计算机、约会或赌博）

您可以创建报告并在选定日期的预定时间运行它们，或者在一周的某一天运行一整周。 你也可以 view 预定的报告并下载它们以供进一步分析。
笔记
报告是根据全球时区设置生成的。
上传公司标志
要上传公司徽标以用于报告：

1. 转到管理 > 系统设置。
2. 选择徽标和时区。
3. 输入您的公司名称。
4. 上传您的公司徽标。 选择徽标 file 从您的计算机并单击上传。
   为获得最佳效果，徽标应为 150 像素宽和 40 像素高。
5. 单击保存。

设置时区
您可以选择要应用于报告的时区。 当您生成报告时，它们将基于您选择的时区。
设置时区：

1. 在系统设置中，选择徽标和时区。
2. 在时区部分，从下拉列表中选择一个时区并单击保存。
   生成报告时，您选择的时区会显示在报告封面上。

为云应用程序选择报告类型
Juniper Secure Edge CASB 提供以下类型的报告：

• 能见度
• 遵守
• 威胁防护
• 数据安全
• 基础设施即服务 (IaaS)
• 风俗

每个报告都分为子类型，以提供更深入的分析。
以下部分解释了报告类型和子类型。
能见度
可见性报告提供了综合的 view 进入经批准的云使用模式和影子 IT（未经批准的云）报告，详细说明用户访问云数据的方式和位置。
可见性进一步分为以下领域：

• Cloud Discovery — 提供有关未经批准的云使用的详细信息。
• 用户活动 - 提供有关用户如何以及在何处访问已批准和未批准的云应用程序的详细信息。
• 外部用户活动——提供与组织外部共享数据的用户及其与云应用程序的活动有关的详细信息。
• 特权用户活动（仅当启用了一个或多个 Salesforce 云应用程序时）– 提供有关具有扩展凭据的用户的活动的详细信息。

遵守
合规性报告监控云中的数据是否符合数据隐私和数据驻留法规以及云风险评分。
合规性进一步分类如下：

• 用户违反合规性——提供有关违反组织中定义的安全策略的用户活动的详细信息。
• 用户共享违规 – 提供有关违反与外部用户数据共享策略的用户活动的详细信息。

威胁防护
威胁防护报告提供流量分析并应用用户行为分析来查找外部威胁，例如被入侵的帐户并标记特权用户的可疑行为。
威胁防护进一步分类如下：

• 异常 – 提供有关异常、可疑数据访问和异常用户活动的信息（例如同一用户从不同位置的不同设备登录系统同时访问数据）。
• 高级威胁和恶意软件 - 显示图形 view 所选时间段内的威胁和恶意软件事件。
• 非托管设备访问 – 提供有关用户使用非托管设备访问的信息。

数据安全
数据安全报告提供分析 file通过加密、令牌化、协作控制和数据丢失防护来保护、现场和对象。
数据安全进一步分类如下：

• 加密统计——提供有关的信息 file 用户的加密活动，用于 file 加密， file已加密的 s，用于加密的任何新设备 files，按操作系统注册的设备列表， file 按位置解密，以及在指定时间段内解密失败。
• 设备统计信息——提供有关未加密的信息 file非托管设备上的 s 和加密的前 10 名用户 file在非托管设备上。

基础设施即服务 (IaaS)

• IaaS 报告提供 AWS、Azure 和谷歌云平台 (GCP) 云类型的活动分析。

风俗

• 自定义报告使您能够从监控仪表板中的图表生成报告。

显示报告信息
执行以下步骤以显示报告信息。
在管理控制台中，单击报告选项卡。
报告页面列出了生成的报告。 如果您是第一次登录，将显示一个空白表格。 对于每个报告，该列表提供以下信息：

柱子	描述
姓名	这 姓名 给报告。
类型	这 类型 的报告。 ▪ 对于 CASB – 为报告选择的类型（例如amp乐， 能见度). ▪ 为了安全 Web 网关– 风俗。
子类型	子类型 报告。

柱子	描述
	▪ 对于 CASB – 基于选定的报告 类型. ▪ 为了安全 Web 网关– 风俗.
频率	生成报告的频率。
操作	删除报告的选项。

安排新报告

1. 在“报告”页面中，单击“新建”。
2. 输入以下信息。 左侧带有彩色边框的字段需要一个值。
   

   场地	描述
   姓名	报告的名称。
   描述	报告内容的描述。
   过滤器/类型	选择 ▪ 云 ▪ Web站点
   用户名	为用户输入一个或多个有效电子邮件地址以包含在报告中。 要包括所有用户，请将此字段留空。
   配置/类型	选择报告类型。 为了 云，选项是： ▪ 能见度 ▪ 遵守 ▪ 威胁防护 ▪ 数据安全 ▪ 基础设施即服务 (IaaS) ▪ 风俗 为了 Web站点，默认选择是 风俗.
   子类型	选择一种或多种子类型。 列出的选项与您选择的报告类型有关。

   场地	描述
   	为了 风俗 报告，双击要从中生成报告的仪表板。 在这个前ample，可选择的图表来自任何仪表板 云 报告类型。 向下钻取以查看可用图表列表，单击图表，然后单击向右箭头图标将其移至 精选图表 列表。 对要包含的每个图表重复这些步骤。
   格式	选择 PDF 并将报告保存在您的计算机上。 你可以打开和 view 使用 PDF 的报告 view呃，比如 Adob​​e Reader。
   频率	选择需要生成报告的时间间隔 - 或者 每日，每周， or 一度。 有一次， 选择要包含在报告中的数据的日期范围，然后单击 好的。
   通知	选择要接收的报告活动通知类型。

3. 单击保存以安排报告。 新创建的报告被添加到可用报告列表中。

计划报告生成后，系统会触发电子邮件通知，通知用户报告计划已完成，并提供访问和下载报告的链接。

下载生成的报告
单击上面显示的电子邮件中的链接会将您带到“报告”页面，您可以在其中 view 生成报告的列表并选择要下载的报告。

1. 在“报告”页面中，单击 > 图标以选择要下载的已生成报告。
2. 单击要下载的报告选项卡。
   出现生成的报告列表，其中包含以下信息。

   柱子	描述
   生成日期	生成报告的日期和时间。
   报告名称	报告的名称。
   报告类型	报告类型。
   报告子类型	报告的子类型（基于 类型). 为了 Web站点, 子类型总是 风俗.
   报告格式	报告格式 (PDF)。
   下载	用于下载报告的图标。

3. 单击下载图标选择要下载的已生成报告 在右边。
4. 在您的计算机上选择一个目的地和一个名称 file.
5. 保存报告。

管理报告类型和计划
您可以更新有关报告及其交付计划的信息。

1. 在“报告”页面中，单击要修改其信息的报告旁边的 > 图标。
2. 单击管理计划选项卡。
3. 根据需要编辑报告信息。
4. 保存报告。

快速参考：主页仪表板图表

下表描述了监控菜单中仪表板可用的内容。

• 申请活动
• 异常活动
• 办公室 365
• IaaS 监控仪表板
• 零信任企业访问

有关 view查看图表，请参阅从图表监控云活动。
申请活动
此仪表板显示以下图表组：

• 政策分析
• 活动监控
• 加密统计
• 特权用户活动

政策分析

图表	它显示了什么
File由策略加密	数量 file已加密（例如amp乐， files 与信用卡数据）以响应违反政策的行为。 此图表提供了对基于一个或多个策略定义加密的文档的见解。
File随时间加密	数量 files 已加密，表示加密趋势，可帮助您更好地了解一段时间内的整体风险态势。
随着时间的推移政策命中	策略引擎检测到的违规或事件的数量，表明您支持的云应用程序的风险态势趋势。
用户的策略命中	策略引擎检测到的违规或事件的数量，按用户电子邮件地址分类； 帮助识别违反合规策略的主要用户。
政策补救	指定时间段内策略违规操作的总数，百分比tag每种行动的细分。 这 view 帮助确定针对政策违规行为采取的补救措施，从而深入了解政策补救措施可能需要进行的调整。

图表	它显示了什么
随着时间的推移活动	上的活动数 files，指示您的云应用程序的活动趋势。
云策略命中	所有云应用程序检测到的策略违规或事件的总数，按云进行细分。
外部协作者通过云点击	检测到的外部合作者违反政策的次数。 帮助识别由于外部合作者而导致的政策违规行为。 从理解外部合作者活动导致的风险敞口的角度来看，这一点很重要。
政策命中 通过 SharePoint 网站	对于每个 SharePoint 站点，检测到的策略违规或事件的数量（按类型）。 仅适用于 SharePoint 网站； 显示单个站点的策略匹配。
按位置分类的政策命中率	根据事件发生的地理位置，违反政策或事件的数量。
公共链接随时间推移的点击率	对于每个云，公共链接违规的数量。 这 view 显示由于公共（开放）链接导致的合规违规。 这些链接可以提供对高度敏感数据的访问，任何有权访问该链接的人都可以访问这些数据。
随着时间推移的高级威胁和恶意软件	对于每个云，检测到的威胁和恶意软件事件的数量。
密钥访问随时间被拒绝	根据为您的企业设置的密钥访问策略定义的密钥访问被拒绝的次数。
登录访问随时间被拒绝	根据云身份验证策略的定义，登录被拒绝的次数。
位置拒绝登录访问	显示登录访问被拒绝的位置的地图。
前 5 名登录访问被拒绝的用户	用户拒绝登录访问的最高次数。

活动监控

图表	它显示了什么
随着时间的推移活动	每个云的用户正在执行的活动数量，表示随时间推移的活动趋势。
随着时间的推移登录活动	对于每个云，登录活动的数量。
按活动分类的用户	用户根据他们执行的活动，提供 view 跨云应用程序的用户活动。
按活动划分的对象类型 （Salesforce 云应用程序）	与活动关联的对象类型。
操作系统的登录活动	指定时间段内的登录活动总数，以及按百分比细分tage 对于用户登录的每个操作系统。这 view 帮助识别操作系统的活动。
前 5 名用户 File 下载	总人数 files 在指定时间段内下载，并按百分比细分tage 为下载次数最多的用户的电子邮件地址。
下载报告	下载次数最多的报告名称。
按用户报告下载	一段时间内下载报告数量最多的用户的电子邮件地址。
操作系统的用户活动	用户登录的每个操作系统的活动数量（按云计算）。
View用户编辑报告	报告的类型 view随着时间的推移被用户编辑。
按活动分类的帐户名称 （仅限 Salesforce 云应用程序）	随着时间的推移，活动数量最多的账户名称。
按活动分类的线索名称 （仅限 Salesforce 云应用程序）	随着时间的推移，活动数量最多的潜在客户的姓名。
View用户编辑报告	报告数量最多 view由用户编辑，从最高到最低。
按活动共享内容	共享内容的活动。 从此报告中，您可以确定什么 files 被分享最多（由 file 名称），以及正在用这些做什么 files（例如amp文件、删除或下载）。 笔记 在 Salesforce 云应用程序中，共享活动将显示 file 身份证代替 file 姓名。
按位置的登录活动	按地理位置显示登录活动计数的圆形图。
按位置共享的内容	按地理位置显示内容共享活动计数的圆图。

加密统计

图表	它显示了什么
File 用户的加密活动	对于每个云，具有最高数量的用户的电子邮件地址 file 加密和解密。 这 view 突出显示用户对高度敏感的加密数据的访问。
设备用于 File 加密	用于加密和解密的客户端设备数量最多 files. 这 view 突出显示对基于设备的高度敏感的加密数据的访问。
加密活动 File 姓名	对于每一朵云，名字 files 具有最高的加密和解密次数。
随着时间的推移新设备	对于每个云，用于加密和解密的新客户端设备的数量。
一段时间内的加密活动	加密和解密活动的次数。
File 按位置解密	所在的地理位置 files 正在被解密，并且 s 的数量 file在每个位置都已解密。 提供对访问高度敏感的加密数据的地理位置的重要洞察。
按操作系统注册的设备	显示注册用于解密的客户端设备总数 files，以及百分比细分tage 对于每种类型的设备。
客户端设备注册 随着时间的推移失败	对于每个云，每个月的数量和客户端设备注册失败。
随着时间的推移解密失败	对于每个云，逐月显示解密失败的数量。

特权用户活动

图表	它显示了什么
随着时间的推移特权活动	每个云每月的特权访问活动数。 这 view 通常用于识别在云应用程序中具有提升权限的用户的内部威胁。
按类型划分的特权活动	特权访问活动的总数，百分比tage 每种活动类型的细分。 深入了解特权用户正在执行的活动类型。
审核消息	对于每个云，生成最多审计消息的名称。 显示特权用户对特定安全设置的更改。
随着时间的推移启用或禁用的帐户	被管理员冻结和解冻的账户数。 显示每个云的用户帐户激活和停用事件。
随着时间的推移创建或删除的帐户	管理员创建或删除的用户帐户数。
随着时间的推移委派的活动	委派的活动（管理员在以其他用户身份登录时执行的活动）。

办公室 365
有几种类型的图表可供选择 view 在启用 Microsoft 365 套件时选择保护的 Microsoft 365 应用程序的信息。 如果您不选择要保护的应用程序，则该应用程序的仪表板和图表将不可见。 要在入职后添加保护申请：

1. 转到管理 > 应用程序管理。
2.  选择您加入的 Microsoft 365 云类型。
3. 在 Application Suite 页面上，选择要为其添加保护的应用程序。
4. 根据需要重新验证。

有关详细说明，请参阅载入 Microsoft 365 云应用程序。
使用以下链接 view 有关 Microsoft 365 图表的信息：

• 超过view
• 管理活动
• OneDrive
• SharePoint
• 团队

超过view
结束view 图表汇总了您选择进行保护的 Microsoft 365 应用程序的活动。

图表	它显示了什么
按时间分组的活跃用户数	时间范围内每个云应用程序的活跃用户数。
按时间分组的非活跃用户数	每个云应用程序的非活动用户数（六个月或更长时间没有活动的用户）。
按云应用程序分组的随时间变化的活动计数	时间范围内每个应用程序的活动数。
按云分组的位置的活动计数	一张地图 view 显示时间范围内每个云应用程序在特定位置的活动数量。 如果只发生一个活动，则只显示位置图标； 如果发生多个活动，则活动数显示在圆图中。
随着时间的推移成功登录	一段时间内用户成功登录的次数。
随着时间的推移登录失败	一段时间内用户登录失败的计数。

管理活动
这些图表显示管理员的活动。

图表	它显示了什么
按活动类型分组的站点管理活动	站点管理员执行的活动数，按活动类型分类。
按活动类型分组的用户管理	与用户管理相关的活动数量，按活动类型分类。
按活动类型分组的企业设置	企业设置总数，按活动类型。

OneDrive
OneDrive 图表显示 OneDrive 应用程序的活动。

图表	它显示了什么
按活动排名前 10 位的用户	前 10 个最活跃的 OneDrive 用户的用户 ID，以及每个用户的总活动计数。
按活动类型分组的随时间变化的活动计数	时间范围内 OneDrive 活动的数量，按活动（例如amp乐，编辑，对外分享， file 同步和内部共享）。
按位置的活动计数	一张地图 view 显示在特定位置发生的每种类型的 OneDrive 活动的数量。 如果只发生一个活动，则只显示位置图标； 如果发生多个活动，则活动数显示在圆图中。
随着时间的推移，公共共享活动计数	时间范围内公开分享活动的次数。
按访问活动排名前 10 位的外部用户	前 10 个 OneDrive 用户的用户 ID，以及每个用户随时间的活动计数。
随时间变化的外部共享活动计数	时间范围内对外分享活动的次数。
随时间变化的匿名访问活动计数	一段时间内 OneDrive 匿名访问活动的数量。 从不需要用户提供身份验证的链接授予匿名访问权限。

SharePoint
SharePoint 图表显示 SharePoint 应用程序的活动。

图表	它显示了什么
按活动排名前 10 位的用户	前 10 个最活跃的 SharePoint 用户的用户 ID，以及每个用户的总活动计数。
按活动类型分组的随时间变化的活动计数	时间范围内的活动数量，按活动（编辑、对外分享、 file 同步和内部共享。
按位置的活动计数	一张地图 view 显示在特定位置发生的每种类型的活动数量。
随着时间的推移，公共共享活动计数	时间范围内公开分享活动的次数。
按访问活动排名前 10 位的外部用户	时间范围内前 10 个用户的用户 ID，以及每个用户的活动计数。
随时间变化的外部共享活动计数	时间范围内外部用户活动的数量。
一段时间内的匿名访问活动	一段时间内匿名访问活动的数量。 从不需要用户提供身份验证的链接授予匿名访问权限。

团队
Teams 图表显示 Teams 应用程序的活动。

图表	它显示了什么
按活动排名前 10 位的用户	Teams 前 10 个最活跃用户的用户 ID，以及每个用户的总活动计数。
按活动类型分组的随时间变化的活动计数	时间范围内 Teams 中的活动数，按活动类型。
按设备类型分组的设备使用情况	用于访问 Teams 的设备数量，按设备类型分类。

IaaS 监控仪表板
此仪表板在以下图表中显示用户和活动计数：

• 亚马逊 Web 服务
• 微软 Azure
• 谷歌云平台

亚马逊 Web 服务
亚马逊 Web 服务图表显示 EC2、IAM 和 S3 的信息。

图表	它显示了什么
前 5 名活跃用户 – EC2	五个最活跃的 EC2 用户的用户 ID。
前 5 位活跃用户 – IAM	五个最活跃的身份和访问管理 (IAM) 用户的用户 ID。
前 5 位活跃用户 – S3	五个最活跃的 S3 用户的用户 ID。
前 5 位活跃用户 – AWS 控制台	AWS 控制台的五个最活跃用户的用户 ID。
前 5 项活动 – EC2	EC2 的五个最常执行的活动。
前 5 大活动 – IAM	IAM 最常执行的五项活动。
前 5 项活动 – S3	S3 的五个最常执行的活动。
前 5 大活动 – AWS 控制台	AWS 控制台执行频率最高的五项活动。

图表	它显示了什么
按用户位置划分的活动 – EC2	一张地图 view 显示在特定位置发生的 EC2 活动的数量。 如果只发生一个活动，则只显示位置图标； 如果发生多个活动，则活动数显示在圆图中。
按用户位置划分的活动 – IAM	一张地图 view 显示在特定位置发生的 IAM 活动的数量。 如果只发生一个活动，则只显示位置图标； 如果发生多个活动，则活动数显示在圆图中。
按用户位置划分的活动 – S3	一张地图 view 显示在特定位置发生的 S3 活动的数量。 如果只发生一个活动，则只显示位置图标； 如果发生多个活动，则活动数显示在圆图中。
按用户位置划分的活动 – AWS 控制台	一张地图 view 显示在特定位置发生的 IAM 活动的数量。 如果只发生一个活动，则只显示位置图标； 如果发生多个活动，则活动数显示在圆图中。
随时间推移的活动 - EC2	时间范围内 EC2 活动的数量。
随时间推移的活动 – IAM	时间范围内 IAM 活动的数量。
随时间推移的活动 – S3	时间范围内 S3 活动的数量。
随时间变化的活动 – AWS 控制台	一段时间内 AWS 控制台中的活动数。

微软 Azure
Microsoft Azure 图表显示与虚拟机使用、网络配置、存储、登录、容器和 Azure AD 活动相关的信息。

图表	它显示了什么
前 5 名活跃用户 – 计算	五个最活跃的虚拟机用户的用户 ID。
前 5 名活跃用户 – 网络	五个最活跃的网络配置的用户 ID（例如ample、VNet、网络安全组和网络路由表关联和分离）修改用户。
前 5 名活跃用户 – 存储	五个最活跃的存储帐户（Blob 存储和计算存储）用户的用户 ID。
前 5 位活跃用户 – Azure 登录	五个最活跃用户的用户 ID。
Top 5 活跃用户 – 容器服务	五个最活跃的容器服务用户的用户 ID（例如amp文件、Kubernetes 或 Windows 容器）。
前 5 大活动 – 计算	虚拟机的五个最常执行的活动（例如amp文件、创建、删除、启动、停止和重启虚拟机）。
前 5 大活动 – 网络	五个最常执行的网络活动。
前 5 项活动 – Azure AD	Azure Active Directory 的五个最常执行的活动（添加新用户、删除用户、创建组、删除组、将用户添加到组、创建角色、删除角色、关联到新角色）。
前 5 大活动 – 存储	五个最常执行的存储活动（创建或删除 Blob 存储和虚拟机存储）。
前 5 大活动 – 集装箱服务	容器服务最常执行的五个活动（例如amp文件，创建或删除 Kubernetes 和 Windows 容器服务）。
随时间变化的活动——计算	时间范围内虚拟机相关活动的数量。
随时间推移的活动——网络	时间范围内网络相关活动的数量。
随时间推移的活动 – Azure AD	时间范围内 Azure Active Directory 相关活动的数量。

图表	它显示了什么
随着时间的推移活动 - 存储	时间范围内存储相关活动的数量。
随时间变化的活动——容器服务	时间范围内容器活动的数量。
按位置划分的活动 - 计算	一张地图 view 显示在特定位置发生的虚拟机活动的数量。 如果只发生一个活动，则只显示位置图标； 如果发生多个活动，则活动数显示在圆图中。
按地点划分的活动 – 网络	一张地图 view 显示在特定位置发生的网络活动的数量。 如果只发生一个活动，则只显示位置图标； 如果发生多个活动，则活动数显示在圆图中。
按位置分类的活动 - 存储	一张地图 view 显示在特定位置发生的存储活动的数量。 如果只发生一个活动，则只显示位置图标； 如果发生多个活动，则活动数显示在圆图中。
按位置分类的活动 – Azure 登录	一张地图 view 显示在特定位置发生的登录活动的数量。 如果只发生一个活动，则只显示位置图标； 如果发生多个活动，则活动数显示在圆图中。
按地点分类的活动——集装箱服务	一张地图 view 显示在特定位置发生的活动数量。 如果只发生一个活动，则只显示位置图标； 如果发生多个活动，则活动数显示在圆图中。

谷歌云平台
Google Cloud Platform (GCP) 图表显示虚拟机、IAM、登录、存储和位置活动的信息。

图表	它显示了什么
前 5 名活跃用户 – 计算	五个最活跃的计算用户（虚拟机（实例）、防火墙规则、路由、VPC 网络）的用户 ID。
前 5 位活跃用户 – IAM	五个最活跃的 IAM 用户的用户 ID。
前 5 名活跃用户 – 存储	五个最活跃的存储用户的用户 ID。
前 5 位活跃用户 – 登录	五个最活跃用户的用户 ID。
前 5 大活动 – 计算	五个最常执行的计算活动（例如amp文件、创建实例、删除实例、创建防火墙、删除防火墙、禁用防火墙、创建路由、删除路由、创建 VPC 网络）。
前 5 大活动 – IAM	IAM 执行最频繁的五项活动。（例如ample、已注册两步验证、禁用两步验证、创建角色、删除角色、更改密码、创建 API 客户端、删除 API 客户端）。
前 5 大活动 – 存储	五个最常执行的存储活动（例如amp文件、设置存储桶权限、创建存储桶、删除存储桶）。
前 5 项活动 – 登录	五个最常执行的登录活动（登录成功、登录失败、注销）。
随时间推移的活动 – IAM	时间范围内 IAM 活动的数量。
随着时间的推移活动 - 存储	时间范围内的存储活动数。
随时间推移的活动 – 登录	时间范围内的登录活动数。
随时间变化的活动——计算	时间范围内的计算活动数。
按位置划分的活动 - 计算	一张地图 view 显示在特定位置发生的计算活动的数量。 如果只发生一个活动，则只显示位置图标； 如果发生多个活动，则活动数显示在圆图中。
按地点划分的活动 – IAM	一张地图 view 显示在特定位置发生的 IAM 活动的数量。 如果只发生一个活动，则只显示位置图标； 如果发生多个活动，则活动数显示在圆图中。
按位置分类的活动 - 存储	一张地图 view 显示在特定位置发生的存储活动的数量。 如果只发生一个活动，则只显示位置图标； 如果发生多个活动，则活动数显示在圆图中。
按地点分类的活动 – 登录	一张地图 view 显示在特定位置发生的登录活动的数量。 如果只发生一个活动，则只显示位置图标； 如果发生多个活动，则活动数显示在圆图中。

快速参考：RegEx examp莱斯

以下是一些前amp正则表达式的文件。

正则表达式	描述	Samp数据
[a-zA-Z]{4}[0-9]{9}	自定义帐号，以 4 个字母开头，后跟 9 位数字。	ghd123456789
[a-zA-Z]{2-4}[0-9]{7-9}	自定义帐号以 2-4 个字母开头，后跟 7-9 位数字。	ghr12345678
([a-z0-9_\.-]+)@([\da-z\.-]+)\.([a- z\.]{2,6})	电子邮件	Joe_smith@mycompany.com

快速参考：支持 file 类型

CASB 支持以下内容 file 类型。 识别 file 对于此处未列出的任何格式，请联系瞻博网络支持团队 (https://support.juniper.net/support/).

File 类型	描述
阿米	Ami Pro
安思	安西文字 file
ASCII	Ascii (DOS) 文本 file
非洲猪瘟	非洲猪瘟 file
AVI	AVI file
二进制	二进制 file （无法识别的格式）
骨形态发生蛋白	BMP图像 file
出租车	CAB档案
卡路里	MIL-STD-1840C 中描述的 CALS 元数据格式
复合文档	OLE 复合文档（或“DocFile”）
内容为Xml	输出格式为 File将文档内容、元数据和附件组织成标准 XML 格式的转换器
CSV	逗号分隔值 file
CsvAs文档	CSV file 解析为单个 file 列出所有记录
CsvAs 报告	CSV file 解析为报告（如电子表格）而不是数据库
数据库记录	记录在数据库中 file （例如 XBase 或 Access）
数据库记录2	数据库记录（呈现为 HTML）
数据库文件	XBase数据库 file

File 类型	描述
文件File	复合文档（新解析器）
dt搜索索引	dt搜索索引 file
数据仓库	绘图CAD file
图 WG	工程图CAD file
DXF	DXF 计算机辅助设计 file
可执行文件	ELF格式可执行文件
电磁场	视窗元file 格式 (Win32)
电磁辐射	作为单个文档处理的 Mime 流
优多拉消息	Eudora 消息存储中的消息
Excel12	Excel 2007 及更新版本
Excel12xlsb	Excel 2007 XLSB 格式
Excel2	Excel 版本 2
Excel2003XML	Microsoft Excel 2003 XML 格式
Excel3	Excel 版本 3
Excel4	Excel 版本 4
Excel5	Excel 版本 5 和 7
Excel97	Excel 97、2000、XP 或 2003
过滤二进制文件	过滤二进制 file
过滤二进制Unicode	二进制 file 使用 Unicode 过滤过滤
过滤二进制Unicode流	二进制 file 使用 Unicode Filtering 过滤，不拆分成段

File 类型	描述
闪存SWF	闪存 SWF
动态图片	GIF 图像 file
Gzip	使用 gzip 压缩的存档
HTML	HTML
帮助	HTML 帮助 CHM file
日历	I日历 (*.ics) file
一太郎	一太郎文字处理器 file （版本 8 到 2011）
一太郎5	一太郎版本 5、6、7
过滤器	File 使用已安装的 IFilter 处理的类型
iWork2009	工作2009
iWork2009主题演讲	IWork 2009 主题演讲
iWork2009号	IWork 2009 Numbers 电子表格
iWork2009 页面	IWork 2009 页面文档
JPEG	JPEG file
JpegXR格式	Windows 媒体照片/HDPhoto/*.wdp
Lotus123	Lotus 123 电子表格
M4A	M4A file
MBox存档	符合 MBOX 标准的邮件存档（dtSearch 7.50 及更早版本）
MBoxArchive2	符合MBOX标准的邮件存档（dtSearch 7.51及以上版本）
甲基异氰酸酯	MDI图像 file

File 类型	描述
媒体	音乐或视频 file
微软访问	Microsoft Access 数据库
微软Access2	Microsoft Access（直接解析，不通过 ODBC 或 Jet 引擎）
微软AccessAsDocument	Access 数据库解析为单个 file 列出所有记录
MicrosoftOffice主题数据	微软办公软件.thmx file 有主题数据
微软出版商	微软出版商 file
微软Word	Microsoft Word 95 – 2003（dtSearch 6.5 及更高版本）
MIDI	MIDI file
米夫File	框架制造商MIF file
Mime容器	MIME 编码的消息，作为容器处理
哑剧消息	dtSearch 6.40 及更早版本 file .eml 解析器 files
MP3	MP3 file
MP4	MP4 file
每加仑英里数	多媒体视频会议 file
MS_Works	Microsoft Works 文字处理器
MsWorksWps4	Microsoft Works WPS 版本 4 和 5
MsWorksWps6	Microsoft Works WPS 版本 6、7、8 和 9
多伴侣	Multimate（任何版本）
无内容	File 索引并忽略所有内容（请参阅 dtsoIndexBinaryNoContent）
非文本数据	数据 file 没有要索引的文本

File 类型	描述
OleDataMSO	油数据.mso file
OneNote2003	不支持
OneNote2007	OneNote 2007
OneNote2010	OneNote 2010、2013 和 2016
OneNote在线	微软在线服务生成的 OneNote 变体
OpenOffice文档	OpenOffice 版本 1、2 和 3 文档、电子表格和演示文稿（*.sxc、*.sxd、*.sxi、*.sxw、*.sxg、*.stc、*.sti、*.stw、*.stm , *.odt, *.ott, *.odg, *.otg, *.odp, *.otp, *.ods, *.ots, *.odf）（包括办公应用程序的 OASIS 开放文档格式）
Outlook Express消息	Outlook Express 邮件存储中的邮件
OutlookExpress消息存储	Outlook Express dbx 存档（7.67 版及更早版本）
OutlookExpressMessageStore2	Outlook Express dbx 存档
Outlook消息作为容器	展望.MSG file 作为容器处理
Outlook消息File	微软 Outlook .MSG file
展望邮报	Outlook PST 邮件存储
PDF	PDF
带附件的PDF	PDF file 带附件
Pfs专业写作	PFS专业写作 file
Photoshop图像	Photoshop 图像 (*.psd)
巴布亚新几内亚	PNG 图像 file
微软幻灯片软件	幻灯片 97-2003
PowerPoint12	PowerPoint 2007 及更新版本

File 类型	描述
PowerPoint3	PowerPoint 3
PowerPoint4	PowerPoint 4
PowerPoint95	PowerPoint 95
特性	复合文档中的 PropertySet 流
夸特罗Pro	Quattro Pro 9 及更新版本
QuattroPro8	Quattro Pro 8 及更早版本
QuickTime	QuickTime file
压缩文件	RAR档案
重复格式	微软富文本格式
SASF	SASF 呼叫中心音频 file
分段文本	文本分割使用 File 分割规则
单字节文本	单字节文本，自动检测编码
SolidWorks	SolidWorks file
焦油	焦油档案
TIFF	TIFF file
TNEF	传输中立的封装格式
树垫HjtFile	树垫 file （TreePad 6 及更早版本中的 HJT 格式）
TrueType字体	TrueType TTF file
未格式化的 HTML	仅输出格式，用于生成 HTML 编码的概要，但不包括字体设置、分段符等格式。
统一码	UCS-16 文本

File 类型	描述
联合图形公司	联合图形公司 file （文档file 格式）
统一图形2	联合图形公司 file （#UGC 格式）
utf8	UTF-8 文本
Visio	Visio file
Visio2013	Visio 2013 文档
VisioXml	可视化XML file
音频	WAV音效 file
Windows可执行文件	Windows .exe 或 .dll
写信	窗户写
沃姆福	视窗元file 格式 (Win16)
Word12	Word 2007 及更新版本
Word2003XML	Microsoft Word 2003 XML 格式
字为Dos	DOS 版 Word（与 Windows Write 相同，it_WinWrite）
WordForWin6	微软 Word 6.0
WordForWin97	适用于 Windows 97、2000、XP 或 2003 的 Word
WordForWindows1	Windows 版 Word 1
WordForWindows2	Windows 版 Word 2
WordPerfect42	WordPerfect 4.2
WordPerfect5	WordPerfect 5
WordPerfect6	WordPerfect 6

File 类型	描述
WordPerfect嵌入式	嵌入另一个的 WordPerfect 文档 file
词星	WordStar 到版本 4
WS_2000	字星 2000
WS_5	WordStar 版本 5 或 6
单词表	UTF-8 格式的单词列表，每个单词前有单词序号
XBase的	XBase数据库
XBase作为文档	XBase的 file 解析为单个 file 列出所有记录
Xfa表格	XFA表格
XML	XML
射线光电子能谱	XML 纸张规范（地铁）
写	写
拉链	ZIP 档案
ZIP_zlib	拉链 file 使用 zlib 解析
7z	7-zip 存档

瞻博网络仅限商业使用

文件/资源

瞻博网络安全边缘应用程序 [pdf] 用户指南 安全边缘、应用程序、安全边缘应用程序

参考

• 用户手册