您可以在动态决策中添加规则组,以便在员工进行指定行为或终端存在指定风险时,飞连能够自动进行处理。规则组的配置全面且灵活,您既可以选择飞连提供的规则模板来快速构建动态控制体系,也可以自定义规则组的触发方式和处置方式,以使动态控制体系更符合企业的实际需求。
飞连动态决策功能是一项业务管理工具,帮助企业根据自身的特定业务场景,灵活配置一系列规则组,从而实现对关键业务流程和网络安全的动态控制,更多信息,请参见安全合规场景最佳实践。针对常见的场景,飞连提供了丰富的模板库,您可以轻松地添加和应用各种预设规则模板,快速构建起适合自己的规则组。模板涵盖了企业运营的多个关键方面,包括但不限于:
- 安全准入与网络控制场景
- 准入控制:确保系统和应用程序的配置符合安全基线标准。管理员可以设置安全基线、进程、软件的风险等级,以及终端设备病毒数量的阈值。一旦触发这些设置,系统可以自动降级或禁用设备权限,以防止潜在的安全威胁。
- 网络控制:监控并保障网络环境的安全。当检测到账号进行异地登录或在非中国区域登录时,系统通过第三方机器人及时通知账号本人,进行二次认证,确保账号安全。同时,对于应用的异地访问,也执行二次认证机制,加强网络安全。
- 访问与员工行为监控场景
- 访问控制:针对非常用设备和非工作时间使用 VPN 的行为进行监控和管理。例如,如果员工在非工作时间(如凌晨)使用非常用设备通过 VPN 连接内网,系统将要求进行 VPN 二次认证,并通知员工本人。此外,根据员工的部门或地理位置,系统会动态调整可见的 VPN 节点,以确保合理的访问权限。
- 员工行为分析:分析员工使用 VPN 的行为,如 VPN 节点可见性调整,以及 Wi-Fi 账号多人使用情况监控。如果发现 Wi-Fi 账号的同时使用设备数超过正常值,系统会向管理员发送告警,以便及时调查和应对可能的政策违反或安全事件。
- 定期系统维护场景
- 定期维护:为了保持系统的安全性,管理员可以设定在指定的时间范围内触发员工进行定期的入网密码重置。这是一种预防性措施,有助于减少潜在的安全风险,并确保系统的访问控制保持最新和有效。
登录飞连管理后台。
在左侧导航栏,选择动态控制 > 动态决策。
在动态决策页面,单击新增规则组。
您也可以单击使用规则模版,通过飞连预配置的模板快速创建规则组。在新增规则组页面,依次完成以下配置,并单击确认。
在页面底部的确认按钮右侧,您可以取消勾选确认修改后立即开启策略使用。取消勾选后,您需要自行在规则组列表中开启该策略。配置区域
配置项
说明
基本信息
规则组名称
自定义名称,用于标识当前规则组。
触发条件
实时触发
当终端账号和设备发生变更时,飞连将实时触发当前决策,无需设置等待周期。
说明
实时触发下无需再选择触发方式。
触发参数:支持设置一个或多个参数,按需增加判断条件。包含账号信息、设备信息以及行为信息。
说明
账号信息支持扩展属性字段,参数值取决于字段类型;若引用的扩展属性字段被删除,相关账号信息参数将作废。关于扩展属性字段的配置,请参考配置扩展字段。
动态触发
当终端产生风险事件、病毒事件或数据防泄露事件等,导致设备状态发生变更时,飞连将动态触发当前决策。
- 触发方式:
- 终端风险检测:当客户端上报安全检测状态时会触发该决策,可选择终端基线、应用风险或进程风险的安全检测。
- 终端风险变更:当客户端内的风险情况发生变化时会触发该决策,例如一个风险项变更为两个风险项,可选择终端基线、应用风险或进程风险的安全检测。
- 发现病毒事件:当客户端发现病毒时会触发该决策。
- 发现数据防泄露事件:当客户端发现数据泄露事件时会触发该决策。
- 周期触发(5 分钟):每 5 分钟触发一次该决策。
- 触发参数:支持设置一个或多个参数,按需增加判断条件。包含账号信息、操作信息、设备信息、行为信息、设备安全状态以及内置函数。
说明
账号信息支持扩展属性字段,参数值取决于字段类型;若引用的扩展属性字段被删除,相关账号信息参数将作废。关于扩展属性字段的配置,请参考配置扩展字段。
操作触发
当员工在终端内进行 VPN 连接、入网、登录登出或访问应用等操作时,飞连将触发当前决策。
- 触发方式:
- 应用访问:当员工通过 API 或终端访问应用时会触发该决策。
说明
企业只有采购应用网关功能后,控制台才会展示 API 资源字段。
- VPN:当员工在终端内连接 VPN 或获取 VPN 节点时会触发该决策。
- 入网操作:当员工在终端内连接无线或有线网络、获取入网凭证或者产生网络计费时会触发该决策。
说明
如果您选择入网操作 > 网络连接状态上报(网络计费),则可以在触发参数中设置操作信息 > 客户端心跳在线。
- 门户操作:当员工登录或登出飞连门户时会触发该决策。
- 客户端操作:当员工登录或登出飞连客户端时会触发该决策。
- 应用访问:当员工通过 API 或终端访问应用时会触发该决策。
- 触发参数:支持设置一个或多个参数,按需增加判断条件。包含账号信息、操作信息、设备信息、行为信息、设备安全状态以及内置函数。
说明
账号信息支持扩展属性字段,参数值取决于字段类型;若引用的扩展属性字段被删除,相关账号信息参数将作废。关于扩展属性字段的配置,请参考配置扩展字段。
处置规则
参数组合
默认情况下,仅有一条处置规则。您可以单击添加规则来设置多条处置规则。规则具有优先级属性,越靠左的规则优先级越高。在一条处置规则内,您需要配置以下信息:
设置触发参数的组合状态,通过运算符关联各个参数。支持的运算符如下:- !:取反
- in:在某集合内
- not in:不在某集合内
:大于
=:大于等于
- ==:等于
- !=:不等于
- <:小于
- <=:小于等于
- +:加
- -:减
- *:乘
- /:除
- &&(与):与
处置方式
当终端行为触发当前规则组时,飞连将进行如下处置,支持多选:
- 网络:包含降级、禁用的处置方式,其中选择降级的处置方式时,还需要指定降级的策略(资源访问受限或者限制不可访问的资源)。
说明
如果您的员工入网认证协议是 Portal 认证,则下述的四个处置方式无法使用。
- 设备降级使用 Wi-Fi
- 账号禁止使用 Wi-Fi
- 设备降级使用有线功能
- 账号禁止使用有线功能
如果您的员工入网认证协议是 802.1x 认证,则下述的处置方式无法使用。
- 断开网络连接
- 操作:包含调整设备所属设备组、调整账号所属角色、当前设备退出登录、所有设备退出登录、停用飞连账号。其中选择调整的处置方式时,您还需要配置变更类型。
- 调整设备所属设备组的变更类型:
- 新增设备组:为该终端添加新的设备组。例如,当终端不处于内网时,您可以将该终端添加至”远程设备分组“。
- 移除设备组:将该终端从某个设备组中移除。
- 覆盖原有设备组:将该终端从 A 设备组变更为 B 设备组。例如,当终端有 USB 网卡事件时,可以将该终端的设备组变更为”禁止互联网访问分组“,禁止该用户访问互联网。
- 变更设备属性:修改设备扩展字段的值。
- 处置自动恢复后撤销本次分组变更:当终端风险被修复后,撤销本次设备组变更。
- 调整账号所属角色的变更类型:
- 添加角色:为该用户添加新的角色。例如,当终端发现数据防泄漏事件时,您可以为该用户添加”风险用户“角色。
- 移除角色:将该用户从某个角色中移除。例如,当用户状态为离职时,移除该用户的角色。
- 覆盖已有角色:将该用户从 A 角色变更为 B 角色。
- 处置自动恢复后撤销本次角色变更:当终端风险被修复后,撤销本次角色变更。
- 通知:支持第三方通知员工或通知到飞连客户端。
- 第三方通知员工:需要关联第三方机器人进行消息通知,支持多选。关于第三方机器人的管理操作,请参见管理第三方 IM。
- 通知到飞连客户端:支持设置系统通知或者强提醒,并需要手动配置通知或强提醒的内容。
- 应用:支持允许访问、拒绝访问以及禁止下载。
说明
应用仅适用于操作触发。
处置自动恢复后主动通知
开启该开关后,您可以选择设置第三方通知员工或通知到飞连客户端。当终端风险被修复,VPN、Wi-Fi 等处置自动恢复的场景下,飞连将主动向员工发送通知。
- 第三方通知员工:需要关联第三方机器人进行消息通知,支持多选。关于第三方机器人的管理操作,请参见管理第三方 IM。
- 通知到飞连客户端:发送系统通知,您需要手动配置通知内容。
- 触发方式:
- 登录飞连管理后台。
- 在左侧导航栏,选择动态控制 > 动态决策。
- 在动态决策页面,找到指定的规则组,支持以下操作。
- 如上图①区域,可设置策略的生效状态。
- 当开关打开时,当前规则组生效,飞连将会按照规则组配置处置终端。
- 当开关关闭时,当前规则组不生效,终端行为不会触发该规则组。
- 如上图②区域支持复制、编辑或者删除策略。
注意
规则组被删除后无法恢复,且飞连将不会再继续通过该规则组处置终端,但历史已处置的终端记录仍会保存在处置记录中。
- 如上图①区域,可设置策略的生效状态。