飞连
飞连
- 文档首页
飞连管理员指南动态控制配置控制策略规则组
文档反馈
问问助手您可以在控制策略中添加规则组,以便在员工进行指定行为或终端存在指定风险时,飞连能够自动进行处理。规则组的配置全面且灵活,您既可以选择飞连提供的规则模板来快速构建动态控制体系,也可以自定义规则组的触发方式和处置方式,以使动态控制体系更符合企业的实际需求。
飞连动态控制功能是一项业务管理工具,帮助企业根据自身的特定业务场景,灵活配置一系列规则组,从而实现对关键业务流程和网络安全的动态控制,更多信息,请参见安全合规场景最佳实践。针对常见的场景,飞连提供了丰富的模板库,您可以轻松地添加和应用各种预设规则模板,快速构建起适合自己的规则组。模板涵盖了企业运营的多个关键方面,包括但不限于:
- 安全准入与网络控制场景
- 准入控制:确保系统和应用程序的配置符合安全基线标准。管理员可以设置安全基线、进程、软件的风险等级,以及终端设备病毒数量的阈值。一旦触发这些设置,系统可以自动降级或禁用设备权限,以防止潜在的安全威胁。
- 网络控制:监控并保障网络环境的安全。当检测到账号进行异地登录或在非中国区域登录时,系统通过第三方机器人及时通知账号本人,进行二次认证,确保账号安全。同时,对于应用的异地访问,也执行二次认证机制,加强网络安全。
- 访问与员工行为监控场景
- 访问控制:针对非常用设备和非工作时间使用 VPN 的行为进行监控和管理。例如,如果员工在非工作时间(如凌晨)使用非常用设备通过 VPN 连接内网,系统将要求进行 VPN 二次认证,并通知员工本人。此外,根据员工的部门或地理位置,系统会动态调整可见的 VPN 节点,以确保合理的访问权限。
- 员工行为分析:分析员工使用 VPN 的行为,如 VPN 节点可见性调整,以及 Wi-Fi 账号多人使用情况监控。如果发现 Wi-Fi 账号的同时使用设备数超过正常值,系统会向管理员发送告警,以便及时调查和应对可能的政策违反或安全事件。
- 定期系统维护场景
- 定期维护:为了保持系统的安全性,管理员可以设定在指定的时间范围内触发员工进行定期的入网密码重置。这是一种预防性措施,有助于减少潜在的安全风险,并确保系统的访问控制保持最新和有效。
- 登录管理后台。
- 在左侧导航栏,选择动态控制 > 控制策略。
- 在控制策略页面,单击页面右侧新增规则组。
您也可以单击使用规则模版,通过飞连预配置的模板快速创建规则组。 - 在新增规则组页面,参考以下各章节内容依次完成配置,并单击确认。
基本信息
- 规则组名称:输入自定义名称,用于标识当前规则组。
触发条件
实时触发
当终端账号和设备发生变更时,飞连将实时触发当前决策,无需设置等待周期。
- 触发参数:支持设置一个或多个参数,按需增加判断条件。包含账号信息、设备信息以及行为信息。
说明
账号信息支持扩展属性字段,参数值取决于字段类型;若引用的扩展属性字段被删除,相关账号信息参数将作废。关于扩展属性字段的配置,请参考配置扩展字段。
动态触发
当终端产生风险事件、病毒事件或数据防泄露事件等,导致设备状态发生变更时,飞连将动态触发当前决策。
配置项 | 可选项 | 说明 |
|---|---|---|
触发方式 | 终端风险检测 | 当客户端上报安全检测状态时会触发该决策,可选择终端基线、应用风险或进程风险的安全检测。 |
终端风险变更 | 当客户端内的风险情况发生变化时会触发该决策,例如一个风险项变更为两个风险项,可选择终端基线、应用风险或进程风险的安全检测。 | |
发现病毒事件 | 当客户端发现病毒时会触发该决策。 | |
发现数据防泄漏事件 | 当客户端发现数据泄露事件时会触发该决策。 | |
发现外设管控事件 | ||
周期触发(5 分钟) | 每 5 分钟触发一次该决策。 | |
触发参数 | / | 支持设置一个或多个参数,按需增加判断条件。包含账号信息、操作信息、设备信息、行为信息、设备安全状态以及内置函数。 说明 账号信息支持扩展属性字段,参数值取决于字段类型;若引用的扩展属性字段被删除,相关账号信息参数将作废。关于扩展属性字段的配置,请参考配置扩展字段。 |
操作触发
当员工在终端内进行 VPN 连接、入网、登录登出或访问应用等操作时,飞连将触发当前决策。
配置项 | 可选项 | 说明 |
|---|---|---|
触发方式 | 应用访问 | 当系统监测到针对特定应用或 API 资源的访问行为时触发决策。
|
VPN | 当员工在终端内连接 VPN 或获取 VPN 节点时会触发该决策。 | |
入网操作 | 当员工在终端内连接无线或有线网络、获取入网凭证或者产生网络计费时会触发该决策。 | |
门户操作 | 当员工登录或登出飞连门户时会触发该决策。 | |
客户端操作 | 当员工登录或登出飞连客户端时会触发该决策。 | |
触发参数 | / | 支持设置一个或多个参数,按需增加判断条件。包含账号信息、操作信息、设备信息、行为信息、设备安全状态以及内置函数。 说明 账号信息支持扩展属性字段,参数值取决于字段类型;若引用的扩展属性字段被删除,相关账号信息参数将作废。关于扩展属性字段的配置,请参考配置扩展字段。 |
处置规则
默认情况下,仅有一条处置规则。您可以单击添加规则来设置多条处置规则。规则具有优先级属性,越靠左的规则优先级越高。
参数组合
设置触发参数的组合状态,通过运算符关联各个参数。支持的运算符如下:
运算符 | 说明 | 类型 |
|---|---|---|
| 加 | 算术运算符 |
| 减 | 算术运算符 |
| 乘 | 算术运算符 |
| 除 | 算术运算符 |
| 大于 | 比较运算符 |
| 大于等于 | 比较运算符 |
| 小于 | 比较运算符 |
| 小于等于 | 比较运算符 |
| 等于 | 比较运算符 |
| 不等于 | 比较运算符 |
| 取反 | 逻辑运算符 |
| 与 | 逻辑运算符 |
| 或 | 逻辑运算符 |
| 在某集合内 | 成员运算符 |
| 不在某集合内 | 成员运算符 |
处置方式
当终端行为触发当前规则组时,飞连将进行如下处置,支持多选。
处置方式 | 说明 |
|---|---|
网络 | 包含降级、禁用的处置方式,其中选择降级的处置方式时,还需要指定降级的策略(资源访问受限或者限制不可访问的资源)。
|
操作 | 包含调整设备所属设备组、调整账号所属角色、当前设备退出登录、所有设备退出登录、停用飞连账号。其中选择调整的处置方式时,您还需要配置变更类型。
|
通知 | 支持第三方通知员工或通知到飞连客户端。
|
应用 | 支持允许访问、拒绝访问以及禁止下载。 |
处置自动恢复后主动通知 | 开启该开关后,您可以选择设置第三方通知员工或通知到飞连客户端。当终端风险被修复,VPN、Wi-Fi 等处置自动恢复的场景下,飞连将主动向员工发送通知。
|
- 登录管理后台。
- 在左侧导航栏,选择动态控制 > 控制策略。
- 在控制策略页面,找到指定的规则组,支持以下操作。
- 如上图①区域,可设置策略的生效状态。
- 开关打开时,当前规则组生效,飞连将会按照规则组配置处置终端。
- 开关关闭时,当前规则组不生效,终端行为不会触发该规则组。
- 如上图②区域支持复制、编辑或者删除策略。
注意
规则组被删除后无法恢复,且飞连将不会再继续通过该规则组处置终端,但历史已处置的终端记录仍会保存在处置记录中。
- 如上图①区域,可设置策略的生效状态。