文件事件元数据引用
概述
本文将详细描述Incydr捕获的所有文件事件元数据。文件事件元数据出现在许多地方,包括法医搜索,情况下,警报,以及Code42 API.
文件事件元数据提供了由文件引起的内部风险的详细可见性:
- 存储在用户设备上
- 存储在企业云存储服务中,如谷歌Drive、Microsoft OneDrive等
- 已同步到Box、Dropbox、iCloud和OneDrive等个人云存储服务
- 通过网页浏览器上传
- 移动到可移动媒体
- 在Microsoft Office 365和Gmail中以电子邮件附件形式发送
- 发送到打印机(仅Mac和Linux)
注意事项
文件事件元数据
文件事件元数据按类别分组。下面的部分提供了这些类别中各个字段的详细信息:
- 风险
- 事件
- 用户
- 文件
- 源
- 目的地
- 过程
- 报告
风险
的风险部分显示事件的总体风险严重性,并列出所有相关风险指标。要了解更多关于风险指标和风险评分如何计算的信息,请参见风险设置参考.
| 项 | 描述 |
|---|---|
| 风险的严重程度 | 文件事件的总体风险严重程度,基于以下评分范围:
|
| 风险评分 | 与此事件相关的所有风险指标的得分之和。得分越高,风险严重程度越高。 |
| 风险指标 | 确定此事件的总体严重程度和评分的风险列表。要查看所有风险指标的列表,请登录到Code42控制台并选择设置风险. |
| 信任的活动 | 指示这是否是您信任的活动,由您的数据的偏好和任何云数据连接配置为Incydr监控。(Forensic Search过滤器显示了这些选项包括而且排除,文件事件详细信息将显示这些值真正的而且假.)
|
9 +:关键
7 - 8:高
4 - 6:温和
1 - 3:低
0:无风险提示事件
的事件部分提供有关事件的摘要信息,包括观察到的日期、事件类型和事件源。
| 项 | 描述 |
|---|---|
端点文件活动 可以通过两种方式检测文件活动:
云文件活动 Code42在云服务中检测活动的日期和时间。这可能不是活动发生的确切时间,但应该在5分钟内。该时间以协调世界时(UTC)报告。 电子邮件文件活动 Gmail而且微软Office 3651:通知Code42发送带有附件的电子邮件的日期和时间2.这可能不是发送邮件的确切时间,但通常应该在5分钟之内。该时间以协调世界时(UTC)报告。 |
|
| 标识符 | 事件的唯一标识符。点击菜单图标
|
| 事件动作 |
意外可移动媒体的修改事件
由于不同的操作系统记录文件系统活动的方式不同,Incydr有时会报告意外情况修改文件事件(特别是移动到可移动媒体的文件)。看到可移动媒体上的意外文件事件有关这些事件的原因以及如何识别所涉及文件的先前文件活动的详细信息。 |
| 事件的观察者 | 捕获文件事件的数据源:
只有当您获得多个数据源的许可时,此字段才会出现。 |
| 分享类型 | 标识与文件事件关联的共享权限更改:
点击查看共享或查看和管理共享查看共享文件的用户列表。然后Code42请求文件的共享权限列表并在一个新选项卡中显示它。如果你有内部风险管理或内部风险应对角色,您还可以撤销该选项卡上的文件共享权限,以删除这些用户对该文件的访问权限。 |
旁边是标识符在文件顶部的事件详细信息并选择:1需要配置邮件数据连接.
2在某些情况下,带有附加图像的电子邮件签名可能会产生意外的文件事件。
用户
的用户部分提供有关与事件关联的用户的详细信息。
| 项 | 描述 |
|---|---|
| 用户名 | 指示与以下事件关联的用户事件的观察者类型:
如果用户名匹配Code42用户,a查看配置文件包括链接。请按此浏览用户配置文件,它会突出显示该用户在过去90天内的文件活动,这可能表明存在文件泄露风险。 |
| 用户ID | Code42应用程序在设备上的用户的唯一标识符。 只适用于端点事件。 |
文件
的文件部分提供了下载文件的链接,以及文件名、路径、所有者和其他元数据等详细信息。
| 项 | 描述 |
|---|---|
| 目录ID | 包含文件的云驱动器或文件夹的唯一标识符。通过此ID搜索可查找同一驱动器或文件夹中的文件的事件。 谷歌存在于云驱动器根级别的驱动器文件将显示该值没有一个. 一些云服务允许用户将一个文件添加到多个文件夹,所以目录ID可以显示值列表。 只适用于云事件。 |
| 文件名 | 文件的名称,包括文件扩展名。如果适用,下载文件的链接出现在文件名下面。要排除文件不可用的事件,请参见“没有文件可供下载”的原因.
文件下载风险
Incydr不验证用户生成的文件的内容。在下载和使用这些文件时请谨慎。 端点文件活动
根据可用的版本,可能会出现一个或两个链接:
如果最新版本也匹配此事件的MD5哈希,则只有精确匹配链接出现。 的用户身份登录betway365安全中心-恢复角色下载文件。 云文件活动 点击复制链接
电子邮件文件活动 点击精确匹配下载附件。 根据Salesforce命名约定显示预测的文件名。 的文件名由Incydr报告的文件名可能与Salesforce报告的文件名不完全匹配,如果:
|
| 文件路径 | 文件在用户设备上的位置。 仅限端点文件事件。云和电子邮件事件不包括文件路径。 |
| 文件类别 | 文件类型,由文件扩展名和文件内容决定。例如,gif、jpg、png文件被归类为图像文件。有关文件类别的完整列表以及每个类别中的特定文件类型,请参见Incydr文件分类. |
| 文件大小 | 文件大小。 不可用于谷歌文件类型(例如谷歌Sheets或谷歌Docs)或下载到非监控设备的Salesforce报表。 |
| 文件所有者 | 拥有该文件的用户的名称,由设备的文件系统(用于端点事件)或云服务(用于云事件)报告。 |
| MD5哈希 | 的MD5哈希文件内容的。如果文件不能被散列,则使用错误消息解释了为什么。 不适用于:
|
| SHA256散列 | 的SHA256散列文件内容的。如果文件不能被散列,则使用错误消息解释了为什么。 不适用于:
|
| 文件创建 | 由设备的操作系统或数据连接报告的文件创建时间戳。这出现在协调世界时(UTC)中。 仅限Mac和Windows NTFS设备。 |
| 文件修改 | 由设备的操作系统或数据连接报告的文件修改时间戳。 对于端点,这只表示对文件内容的更改。对文件权限、文件所有者或其他元数据的更改不会反映在此时间戳中。对于云数据连接,这个时间戳反映文件的内容、共享权限、名称或存储位置更改的时间。电子邮件数据连接不支持此时间戳。 这出现在协调世界时(UTC)中。 |
| 文件分类 (无照片) |
文件分类数据,由外部数据分类供应商报告。分类数据包含两个值:
一个文件可以有多个分类。 如果启用Microsoft协同创作, Incydr无法检测到文件分类数据。 |
从 |
指示从哪里获取文件。点击查看更多来源的详细信息,包括:
如果同一文件被多次下载,可能会列出多个源。 1可作为搜索过滤器在法医搜索。例如,使用搜索筛选器File >源域获取的文件与其他过滤器(如风险的严重程度或事件动作),以识别来自特定领域的文件的潜在风险。 |
将URL复制到共享文件。您可以使用此链接在相应的云服务的文件查看器中打开该文件。访问该文件取决于以下条件:源
的源节提供有关文件起源的详细信息。源详细信息因事件类型而异。例如,源名称对于上载事件,指示用户设备的主机名,而源名称的下载事件指示下载发起的位置(例如,“Dropbox”)。
没有单个事件包含下表中所有项目的值。例如,上面的图像不包括可移动媒体元数据,因为此事件发生在web浏览器中,而不是在可移动媒体上。
根据设备制造商的不同,实际值会有所不同。在某些情况下,一个或多个值可能不是由制造商或设备的操作系统提供的。
这就是为什么我们为可移动媒体事件提供多条信息。例如,如果驱动器没有报告序列号,则可以引用的组合能力,设备分区ID,以及其他唯一字段,以便在调查期间确认驱动器的身份。
| 项 | 描述 | ||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 源类别 | 下载文件来源的一般类别。要查看所有类别,请选择Source >源类别在“取证搜索”中筛选并审查可能值的列表。下面列出了一些最常见的类别作为示例。
如果用户在下载过程中访问了多个选项卡,则源类别可能表示多种可能性.检查活动选项卡标题和url(如下),以确定所有可能的来源。 |
||||||||||||||||
| 源名称 | 终点事件 设备的主机名,由设备的操作系统报告。主机名可能与Code42控制台中设备名不同。 在搜索主机名时,必须输入完整的主机名。不支持通配符搜索。 下载事件 下载文件产生的特定位置。下面列出了一些类别的示例名称,但这不是一个完整的列表:
如果用户在下载过程中访问了多个选项卡,则源名称可能表示多种可能性.检查活动选项卡标题和url(如下),以确定所有可能的来源。 |
||||||||||||||||
| 活动选项卡标题和url | 在浏览器或其他应用程序读取文件时激活的浏览器选项卡的名称或应用程序窗口的标题。对于web浏览器,还可以包括活动选项卡的URL。此信息有助于确定下载文件的来源。
如果不能捕获标签标题或URL,则将其列为不可用也可能显示出以下原因之一:
|
||||||||||||||||
| 域 | 记录事件时用户设备的FQDN (Fully qualified domain name)。如果设备无法解析主机域名,则上报主机IP地址。 | ||||||||||||||||
| 电子邮件从 | 发件人的显示名称,因为它出现在电子邮件中的“发件人”字段中。在许多情况下,这与邮件发送者,但如果邮件是由服务器或其他邮件代理代表其他人发送的,则情况可能有所不同。 只适用于电子邮件事件。仅在授权一个或多个电子邮件数据源时可见。电子邮件详细信息不适用于端点或云事件。 |
||||||||||||||||
| 邮件发送者 | 负责传输消息的实体的地址。在许多情况下,这与电子邮件从,但如果邮件是由服务器或其他邮件代理代表其他人发送的,则情况可能有所不同。 只适用于电子邮件事件。仅在授权一个或多个电子邮件数据源时可见。电子邮件详细信息不适用于端点或云事件。 |
||||||||||||||||
| IP地址(公网) | 用户设备的外部IP地址,由Code42通过设备到Code42云的出站连接看到。 如果IP地址不包括在您的网内IP地址列表,远程应用风险指标。 |
||||||||||||||||
| IP地址(私有) | 内部网络中用户设备的IP地址。这包括:
如果有多个活动网络接口,将显示一个列表。 |
||||||||||||||||
| 操作系统 | 与文件事件关联的设备的操作系统。 只适用于端点事件。 |
||||||||||||||||
可拆式媒体总线 |
可移动媒体连接的类型。例如:USB、eSATA、雷鸟。 只适用于可移动媒体事件。 |
||||||||||||||||
可移动媒体容量 |
可移动媒体的存储容量。 只适用于可移动媒体事件。 |
||||||||||||||||
可移动媒体供应商名称 |
可移动媒体的品牌名称。例如:Lexar、SanDisk、希捷。 只适用于可移动媒体事件。 |
||||||||||||||||
可移动媒体设备名称 |
可移动媒体的卷名。 只适用于可移动媒体事件。 |
||||||||||||||||
可移动媒体设备媒体名称 |
设备的媒体名称,由供应商/设备报告。这通常与设备名称,但可能因设备类型而异。例如,如果设备是USB机箱中的硬盘驱动器,则这可能是驱动器模型和机箱模型的组合。 此值不是所有设备都提供的,因此在某些情况下可能为空。 只适用于可移动媒体事件。 |
||||||||||||||||
可移动媒体设备卷名称 |
格式化卷时分配给卷的名称,由设备的操作系统报告。这也经常被称为“分区”的名称。 只适用于可移动媒体事件。 |
||||||||||||||||
可移动媒体设备分区ID |
格式化卷/分区时分配给卷/分区的唯一标识符。Windows设备将其称为 只适用于可移动媒体事件。 |
||||||||||||||||
可移动媒体序列号 |
连接的硬件的序列号,由设备的操作系统报告。 只适用于可移动媒体事件。 |
||||||||||||||||
| 源帐户名称 | 对于安装在用户设备上的云同步应用程序,指示发生文件活动的帐户的名称。帐户名称可以帮助您更好地识别风险,指出活动是发生在您的公司云帐户中,还是发生在您不控制的个人帐户中。 仅适用于OneDrive和Dropbox事件。 |
||||||||||||||||
| 源帐户类型 | 对于安装在用户设备上的云同步应用程序,指示发生活动的帐户类型。
仅适用于OneDrive和Dropbox事件。 |
||||||||||||||||
| 源用户 | 对于安装在用户设备上的云同步应用程序,为已登录用户的名称。这个附加上下文可以帮助您确定文件是否与已批准的云服务同步。 例如,源用户可以指示与谷歌驱动器同步的文件是否存储在您的公司谷歌工作区中,或存储在未经批准的个人谷歌帐户中。
|
Git
Incydr专业版、企业版、地平线版和政府版F2版
早期访问
的Git部分提供了与事件关联的Git活动的详细信息。
| 项 | 描述 |
|---|---|
| Git事件ID | 由Incydr为Git事件生成的全局唯一标识符(GUID)。与此事件关联的所有文件都具有相同的属性Git事件ID.单个Git事件可以与多个文件事件相关联。 |
| 最后提交哈希 | 这个Git事件中最近提交的哈希值。 |
| 库URI | Git存储库的统一资源标识符(URI)。 |
| 库用户 | 由执行Git事件的用户指定的用户名。这是用户定义的值,可能与用于登录Git的凭据不同。 |
| 库的电子邮件 | 执行Git事件的用户指定的电子邮件地址。这是用户定义的值,可能与用于登录Git的凭据不同。 |
| 存储库端点路径 | 用户端点上本地Git存储库的文件路径。 |
目的地
的目的地部分提供有关发送或移动文件的位置的详细信息。目标详细信息因事件类型而异。
没有单个事件包含下表中所有项目的值。例如,上面的图像不包括可移动媒体元数据,因为此事件发生在云存储中,而不是在可移动媒体上。
根据设备制造商的不同,实际值会有所不同。在某些情况下,一个或多个值可能不是由制造商或设备的操作系统提供的。
这就是为什么我们为可移动媒体事件提供多条信息。例如,如果驱动器没有报告序列号,则可以引用的组合能力,设备分区ID,以及其他唯一字段,以便在调查期间确认驱动器的身份。
| 项 | 描述 | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
在浏览器或其他应用程序读取文件时激活的浏览器选项卡的名称或应用程序窗口的标题。对于web浏览器,还可以包括活动选项卡的URL。此信息有助于确定上传文件的目的地。
如果不能捕获标签标题或URL,则将其列为不可用也可能显示出以下原因之一:
只适用于浏览器或应用程序读取事件。 |
|||||||||||||||
| 目的帐户名称 | 对于安装在用户设备上的云同步应用程序,指示发生文件活动的帐户的名称。帐户名称可以帮助您更好地识别风险,指出活动是发生在您的公司云帐户中,还是发生在您不控制的个人帐户中。 仅适用于OneDrive和Dropbox事件。 |
||||||||||||||
| 目的帐户类型 | 对于安装在用户设备上的云同步应用程序,指示发生活动的帐户类型。
仅适用于OneDrive和Dropbox事件。 |
||||||||||||||
| 目的地类别 | 发送文件的一般类别。要查看所有类别,请选择Destination >目的类别在“取证搜索”中筛选并审查可能值的列表。下面列出了一些最常见的类别作为示例。
如果用户在上传过程中访问了多个选项卡,则目标类别可能表示多种可能性.检查活动选项卡标题和url确定所有可能的目的地。 适用于浏览器或应用程序读取而且云存储上传事件。 |
||||||||||||||
| 目的地名称 | 发送文件的具体位置。下面列出了一些类别的示例名称,但这不是一个完整的列表:
如果用户在上传过程中访问了多个选项卡,则目标名称可能表示多种可能性.检查活动选项卡标题和url确定所有可能的目的地。 适用于浏览器或应用程序读取而且云存储上传事件。 |
||||||||||||||
| 目标用户 | 对端点同步文件夹事件(发生在与云服务同步的文件夹中): 登录到设备上的云同步应用程序的用户名。这个附加上下文可以帮助您确定文件是否与已批准的云服务同步。 例如,用户可以指示与谷歌驱动器同步的文件是否存储在您的公司谷歌工作区中,或存储在未经批准的个人谷歌帐户中。
对于云事件: 由此事件授予访问文件的用户列表。不包括在此事件之前被授予文件访问权限的用户。点击视图显示可搜索的用户名列表。 这只包括与该文件显式共享的用户。它不会捕获只访问共享链接的用户。 这个列表可以包括:
谷歌没有邮箱地址的驱动器用户(例如具有共享权限的服务或集成帐户)不在列表中。 |
||||||||||||||
| 电子邮件收件人 | 收到邮件的人的电子邮件地址。包括来,Cc,Bcc收件人。 只适用于电子邮件事件。仅在授权一个或多个电子邮件数据源时可见。电子邮件详细信息不适用于端点或云事件。 |
||||||||||||||
| 邮件主题 | 电子邮件的主题。 只适用于电子邮件事件。仅在授权一个或多个电子邮件数据源时可见。电子邮件详细信息不适用于端点或云事件。 |
||||||||||||||
| IP地址(公网) | 下载文件的设备的外部IP地址,由设备到Code42云的出站连接报告。 如果IP地址不包括在您的网内IP地址列表,远程应用风险指标。 只适用于下载事件。 |
||||||||||||||
| IP地址(私有) | 内部网络中下载文件的设备的IP地址。这包括:
如果有多个活动网络接口,将显示一个列表。 只适用于下载事件。 |
||||||||||||||
| 操作系统 | 与文件事件关联的设备的操作系统。 只适用于端点事件。 |
||||||||||||||
| 打印机名 | 打印机的名称。 只适用于印刷事件。打印检测仅在Mac和Linux设备上支持。 |
||||||||||||||
| 打印作业名称 | 打印作业的名称。这通常是打印文件的名称。点击下载文件下载打印文件的图像。 只适用于印刷事件。打印检测仅在Mac和Linux设备上支持。 |
||||||||||||||
| 可拆式媒体总线 | 可移动媒体连接的类型。例如:USB、eSATA、雷鸟。 只适用于可移动媒体事件。 |
||||||||||||||
| 可移动媒体容量 | 可移动媒体的存储容量。 只适用于可移动媒体事件。 |
||||||||||||||
| 可移动媒体设备媒体名称 | 设备的媒体名称,由供应商/设备报告。这通常与可移动媒体设备名称,但可能因设备类型而异。例如,如果设备是USB机箱中的硬盘驱动器,则这可能是驱动器模型和机箱模型的组合。 此值不是所有设备都提供的,因此在某些情况下可能为空。 只适用于可移动媒体事件。 |
||||||||||||||
| 可移动媒体设备名称 | 可移动媒体的卷名。 只适用于可移动媒体事件。 |
||||||||||||||
| 可移动媒体设备分区ID | 格式化卷/分区时分配给卷/分区的唯一标识符。Windows设备将其称为 只适用于可移动媒体事件。 |
||||||||||||||
可移动媒体设备序列号 |
连接的硬件的序列号,由设备的操作系统报告。 只适用于可移动媒体事件。 |
||||||||||||||
| 可移动媒体设备供应商 | 可移动媒体的品牌名称。例如:Lexar、SanDisk、希捷。 只适用于可移动媒体事件。 |
||||||||||||||
| 可移动媒体设备卷名称 | 格式化卷时分配给卷的名称,由设备的操作系统报告。这也经常被称为“分区”的名称。 只适用于可移动媒体事件。 |
过程
的过程部分提供有关与文件事件关联的应用程序和用户的详细信息。
| 项 | 描述 |
|---|---|
| 可执行文件的名字 | 可执行文件在磁盘上的路径,例如:\Device\Volume\Program Files\谷歌\Chrome\Application\ Chrome .exe 在Mac设备上,AirDrop活动由进程名指示/usr/libexec/sharingd.
|
| 处理用户 | 进程所有者的用户名,由设备的操作系统报告。
|
Salesforce的报告
的Salesforce的报告部分提供了有关从Salesforce下载的报表的详细信息。
的授权才可见Salesforce数据连接.
| 项 | 描述 |
|---|---|
| 报告名称 | 报表的显示名称。
下载的文件名请参见文件名>报告活动上面的部分。 |
| 报告描述 | 报告的描述。 不适用于临时报告。 |
| 报表列标题 | 报告中所有列标题的列表。如果列数超过10列,则a显示所有Link显示所有列。 用户创建的自定义桶字段对于公开报告,报告格式为:源列(“用户标签”).例如,如果用户创建了一个名为“Size”的桶列来根据EMPLOYEE_COUNT字段对客户进行分类,报表列标题显示值EMPLOYEE_COUNT(大小). 对于保存在Salesforce中用户个人文件夹中的私有报表,自定义桶字段的源列和用户定义标签不可用。在本例中,Salesforce列的默认标识符(例如BucketField_12345678)出现。 |
| 行数 | 报表中返回的行总数。 |
| 报告类型 | 指示该报告是否为特别的或保存:
|
| 报告ID | 与此事件关联的报告的ID。 Salesforce为经典体验使用15个字符的ID,为闪电体验使用18个字符的ID。 不适用于临时报告。 |