法医搜索
在不影响员工设备的情况下调查事件细节
它是如何工作的
以秒为单位查询文件活动
取证搜索允许您进一步调查事件细节,并自定义查询全面的、基于云的活动元数据索引,而不会对员工设备造成压力。Incydr自动填充内部威胁调查所需的取证搜索参数,并允许您根据最关心的高风险活动标准创建自己的自定义搜索。
- 查看上下文元数据
法医搜索是检查Incydr关于事件和文件信息的广泛元数据集的首选场所。
- 访问文件内容
授权管理员可以查看被窃取的文件,以验证内容的值,并确认它们没有被掩盖(即,文件不匹配IRI)。
- 以秒为单位的自定义查询
轻松查询组织范围内所有元数据的索引,而不会对端点造成压力。不需要访问物理设备进行调查。
- 运行已保存的搜索
保存并定期运行特定用例的搜索查询,例如涉及特定文件散列的所有曝光或一组用户的所有AirDrop活动。
Incydr元数据包括:
文件元数据
- 文件名,MD5和SHA 256哈希值
- 所有者、大小、路径、创建和修改日期
- 文件类别和MIP标记
事件元数据
- 活动日期、时间和类型
- 文件事件发生的来源(计算机、云、电子邮件)
- 与该事件关联的所有Incydr风险指标
设备元数据
- 主机名和FQDN
- 登录设备的操作系统用户名
- 私有IP地址和公网IP地址
目标元数据
- Web浏览器活动选项卡标题和URL信息
- 可移动媒体制造商,型号,卷名,分区ID和序列号
- 同步目标和用户名