Настройки алертов: SMTP

Сервис DeviceLock : Управление сервисом DeviceLock для Windows : Настройки сервиса : Алерты : Настройки алертов: SMTP

На вкладке SMTP диалогового окна Настройки алертов можно настроить отправку уведомления по электронной почте.

Чтобы открыть это диалоговое окно, выполните одно из следующих действий:

•В дереве консоли щелкните правой кнопкой мыши Алерты и выберите Управление.

•В дереве консоли выберите Алерты и нажмите Управление

на панели инструментов.

•В дереве консоли выберите Алерты, а затем на панели сведений щелкните правой кнопкой мыши SMTP и выберите Управление.

•В дереве консоли выберите Алерты, а затем на панели сведений дважды щелкните SMTP.

Примечание: Можно настроить различные параметры тревожных оповещений для оперативного и автономного режимов. Настройки оперативного режима (обычный профиль) применяются к клиентским компьютерам, находящимся в сети. Настройки автономного режима (офлайн-профиль) применяются к клиентским компьютерам, работающим автономно. По умолчанию DeviceLock работает в автономном режиме, когда сетевой кабель не подключен к клиентскому компьютеру. Для получения дополнительной информации о политиках DeviceLock для автономного режима работы, см. раздел Политики безопасности DeviceLock (офлайн-профиль).

Для передачи тревожных оповещений посредством почтовых сообщений DeviceLock использует протокол SMTP. Можно настроить сервис DeviceLock на автоматическую рассылку тревожных оповещений на указанные адреса электронной почты при возникновении условий срабатывания. Для настройки почтовых оповещений выполните следующее:

1. Укажите SMTP-сервер и настройки почтовых уведомлений.

2. Задайте шаблоны почтовых сообщений.

DeviceLock поставляется с набором готовых шаблонов, которые можно использовать для формирования тревожных сообщений. Эти шаблоны определяют основное содержимое, формат и структуру почтовых уведомлений. Предусмотрены следующие шаблоны:

•Шаблон сообщения для административных оповещений.

•Шаблон сообщения для всех остальных оповещений.

Каждый шаблон содержит следующие данные:

•Тема письма - Текст в строке Тема почтового сообщения. Текст по умолчанию для административных оповещений: “Административный алерт DeviceLock”. Текст по умолчанию для всех остальных оповещений: “Алерт DeviceLock”.

•Тело письма - Текст почтового сообщения. DeviceLock может отправлять сообщение как в виде простого текста, так и в формате HTML. Текст сообщения совпадает в обоих шаблонах и включает в себя статичный текст и макросы. Статичный текст по умолчанию: “Зарегистрировано следующее событие”. В строку Тема и/или в текст сообщения можно вставить дополнительные сведения, используя следующие стандартные макросы:

•%EVENT_TYPE% - Класс события (Успех для разрешенной попытки доступа, Отказ для запрещенной попытки доступа, Информация для прочих событий).

•%COMP_NAME% - Имя компьютера, от которого получено событие.

•%COMP_FQDN% - Полное доменное имя компьютера, от которого получено событие.

•%COMP_IP% - Список всех IP-адресов компьютера, разделенных запятой.

•%DATE_TIME% - Дата и время, когда событие было получено сервисом DeviceLock. Дата и время указываются в соответствии с региональными и языковыми настройками на клиентском компьютере.

•%SOURCE% - Тип устройства или протокола, с которым связано событие.

•%ACTION% - Тип действия пользователя.

•%NAME% - Имя объекта (файла, USB-устройства и т.п.).

•%INFO% - Прочая информация об устройстве, связанном с событием, например флаги доступа, название устройства и так далее.

•%REASON% - Причина возникновения события.

•%USER_NAME% - Имя пользователя, связанного с событием.

•%USER_SID% - Идентификатор безопасности (SID) пользователя, связанного с данным событием.

•%PROC_NAME% - Имя процесса приложения, связанного с данным событием.

•%PROC_ID% - Идентификатор процесса приложения, связанного с событием.

•%EVENT_ID% - Число, идентифицирующее тип события.

•%SUMMARY_TABLE% - Таблица с детализацией отдельных событий для агрегированных алертов.

Эти макросы заменяются на фактические значения во время создания сообщения.

Заполните вкладку SMTP следующим образом:

•Подключение - Укажите данные почтового сервера для отправки сообщений:

•SMTP-сервер - Имя узла или IP-адрес SMTP-сервера.

•Порт - Номер порта для отправки сообщений на почтовый сервер. По умолчанию используется порт 25.

Примечание: Поддерживаются незащищенные и защищенные (SSL) соединения с указанным сервером SMTP. DeviceLock автоматически определяет зашифрованные соединения и их тип.

•Безопасность - Задайте параметры безопасности SMTP:

•Сервер требует аутентификации - Тип проверки подлинности для соединения с SMTP-сервером. Установите флажок Сервер требует аутентификации, чтобы настроить обычную проверку подлинности. Снимите флажок Сервер требует аутентификации, если SMTP-сервер не требует проверку подлинности.

•Имя пользователя, Пароль - Имя и пароль пользователя SMTP-сервера нужно указать, если SMTP-сервер требует проверку подлинности.

•Параметры - Укажите отправителя и получателей сообщения:

•Адрес отправителя - Почтовый адрес, с которого будут рассылаться оповещения.

•Адреса получателей - Почтовые адреса получателей оповещений о событиях. Если адресов несколько, их следует разделять запятой (,) или точкой с запятой (;).

•Задать сообщение - Нажмите эту кнопку, чтобы настроить шаблон сообщений для оповещений.

В появившемся диалоговом окне E-mail сообщение для алертов можно также:

•Изменить формат всех сообщений с HTML на простой текст или наоборот. Для этого выберите опцию Текст или HTML, соответственно. По умолчанию почтовые сообщения отправляются в виде простого текста.

•Загрузить текст сообщения из текстового файла с разделителем-табуляцией (.txt). Для этого нажмите кнопку Загрузить. При этом будет загружено все содержимое файла. Содержимое может быть представлено в виде простого текста или HTML.

•Восстановить настройки по умолчанию. Для этого нажмите кнопку Восстановить умолчания.

•Задать админ. сообщение - Нажмите эту кнопку, чтобы настроить шаблон сообщений для административных оповещений.

В появившемся диалоговом окне E-mail сообщение для административных алертов можно также:

•Восстановить настройки по умолчанию. Для этого нажмите кнопку Восстановить умолчания.

•Порог - Задайте временной интервал (в часах, минутах или секундах) для консолидации событий при отправке оповещений. Сервис DeviceLock консолидирует события, произошедшие в течение порогового времени, и создает объединенное событие при выполнении следующих условий:

a) События относятся к одному типу (Успех, Отказ или Информация).

b) События регистрируются для одного и того же типа устройств/протокола.

c) События связаны с одним и тем же пользователем.

d) События связаны с одним и тем же PID.

Значение по умолчанию - 10 минут.

Примечание: При отправке уведомлений сервис DeviceLock объединяет только события, связанные с доступом. Административные оповещения не консолидируются.

•Тест - Отправьте тестовое сообщение, чтобы проверить правильность настройки. В результате тестовой операции отобразится одно из двух сообщений:

•Если тест выполнен успешно, т.е. пробное сообщение отправлено с настроенными для него параметрами, сообщение будет следующим: “Тестовый алерт SMTP успешно отправлен.”

•Если тест не выполнен, т.е. пробное сообщение отправить не удалось, сообщение будет следующим: “Тестовый алерт SMTP не был отправлен из-за ошибки: <описание ошибки>.”

Пример тревожного оповещения, доставленного по электронной почте:

Алерт DeviceLock

Произошло следующее событие:
Тип события: Отказ (16)
Компьютер: WIN7X64
Дата/время: 09/11/12 18:24:38
Источник: Съемные устройства (2)
Действие: Запись
Имя: E:\Market research.docx
Информация:
Причина: Правило: “Закрытые данные” (Совпало: Все ключевые слова)
Имя пользователя: Win7x64\Administrator
SID пользователя: S-1-5-21-3601177953-2830843172-1403898981-500
Имя процесса: C:\Windows\Explorer.exe
Id процесса: 456
Id события: 13

Примечание: Названия полей в почтовом оповещении соответствуют названиям полей в журнале аудита.