身份风险数据收集
我们确保仅临时在本地(用户工作站)收集和存储敏感数据,唯一目的是对用户行为可能使公司面临的潜在威胁发出警报。我们不会在任何云端数据库保存明文用户名和密码等个人数据。
本地收集的数据会定期删除,可能仅包含用户名和密码的哈希值、一段时间内访问的高风险网站总数、部分可疑网站的URL及其域名IP。
下表描述了用户行为 风险管理 监控的内容及其处理和收集用户数据的方式。
|
规则名称 |
描述 |
类型 |
收集的数据 |
|---|---|---|---|
|
明文HTTP凭证 |
验证用户自上次扫描后是否通过不安全的HTTP连接提交过凭证。 |
密码 |
我们检查用户是否在不同外部网站使用相同密码。 当检测到至少两个外部网站使用相同密码时,此场景将激活。 |
|
外部共享HTTP密码(1) |
验证用户是否访问不安全网站(HTTP),并记录访问的网站数量及其时间戳。 |
密码 |
我们在本地存储外部网站输入的密码哈希值(CRC32格式)、访问的URL、域名IP及用户名。 |
|
内外网站共享密码 |
验证用户是否在内部和外部网站间使用相同密码。 |
密码 |
我们在本地存储内外部网站输入的密码哈希值(CRC32格式)、访问的URL及域名IP。 |
|
高风险浏览 |
验证用户自上次扫描后是否访问过标记为钓鱼或欺诈的网站。当访问的不安全网站数量超过当前阈值时激活此场景。 |
浏览记录 |
我们仅在特定时间段内本地存储高风险访问网站的数量及其URL。 |
|
高检测计数 |
验证用户自上次扫描后是否遭遇大量威胁。当每用户检测数超过预设阈值时激活此场景。 |
检测项 |
我们在本地存储特定时间段内触发的检测数量。 |
|
可移动设备感染 |
验证用户自上次扫描后是否通过可移动设备(如U盘、外接硬盘)接触威胁。 |
检测项 |
我们在本地存储特定时间段内触发的检测项及感染源(USB/CD/ISO文件)。 |
|
SMB感染 |
验证用户自上次扫描后是否通过网络共享文件夹访问恶意文件。 |
检测项 |
我们在本地存储来自网络共享文件夹或共享点的文件访问事件。 |
|
浏览感染 |
验证用户自上次扫描后是否访问过任何恶意URL。 |
检测结果 |
我们在本地存储恶意/可疑URL并统计其数量。 |
|
长期高检测计数 |
验证用户在特定时间段内是否暴露于极高数量的威胁中。 |
检测结果 |
我们在本地存储特定时间段内的感染次数。 |
|
外部共享HTTP密码(2) |
验证用户是否未定期更改外部网站密码。 |
密码 |
我们在本地存储:密码哈希值(CRC32格式)、用户名哈希值、触发此行为的外部网站URL及域名IP。 |
|
旧用户密码 |
验证用户是否超过30天未更改账户(本地或域)登录密码。 |
密码 |
我们不在本地存储任何信息。我们查询Active Directory功能以获取用户密码最后修改时间。 |