治理桌面端
桌面端 · 审计事件
桌面客户端用户行为审计 · 合规与取证
桌面客户端的用户行为审计。事件不可篡改,长期保留,适合合规与事后取证。
事件覆盖
| 类别 | 包含 |
|---|---|
| 认证 | 登录成功 / 失败 · 多设备登录 · 主动登出 · 锁屏 |
| 数据访问 | 查看 Agent / Workflow / KB / 文档 |
| 文件操作 | 上传 / 下载 / 删除 / 导出 |
| 策略命中 | 被策略阻止的操作(如试图复制时被拦) |
| 设备指纹 | 设备 ID / IP / 地理位置 / 客户端版本 |
| 会话事件 | 会话超时 / 强制登出 |
查询能力
| 维度 | 例子 |
|---|---|
| 时间范围 | 过去 24 小时 / 7 天 / 自定义 |
| 用户 | 单用户 / 部门 / 角色 |
| 事件类型 | 仅认证 / 仅文件 / 仅策略命中 |
| 状态 | 成功 / 失败 / 阻止 |
导出
支持 CSV / JSON 导出,可对接外部 SIEM(Splunk / ELK / Datadog)。
报警规则(规划中)
| 规则示例 | 触发 |
|---|---|
| 1 小时内同一用户登录失败 ≥ 5 次 | 通知管理员 |
| 单用户单次下载 > 10 个文件 | 通知 + 二次验证 |
| 异常地理位置登录 | 通知 + 强制 MFA |
保留期
| 场景 | 推荐保留 |
|---|---|
| 一般 SaaS | 90 天 |
| 内部合规 | 1 年 |
| 等保三级 / 金融 / 医疗 | 7 年 |
私有化下,企业可按合规自定义。
合规对应
| 合规 | 满足项 |
|---|---|
| 等保 | 必须保留可追溯审计日志 |
| GDPR | 数据访问可追溯,支持数据主体行使权利 |
| ISO 27001 | A.12.4 日志记录与监视控制域 |