跳到主要内容gydF4y2Ba
联系gydF4y2Ba支持gydF4y2Ba

这篇文章是给谁看的?gydF4y2Ba

Incydr专业,企业,地平线和政府F2gydF4y2Ba
Incydr基础,高级,和政府F1gydF4y2Ba

的Code42控制台中找到您的产品计划gydF4y2Ba帐户菜单gydF4y2Ba.gydF4y2Ba

老师,不。gydF4y2Ba

Incydr Professional, Enterprise, Horizon和Gov F2,是的。gydF4y2Ba

Incydr基础,高级和Gov F1,是的。gydF4y2Ba

首页gydF4y2Ba
开始gydF4y2Ba
发布说明gydF4y2Ba
常见问题gydF4y2Ba
apigydF4y2Ba
系统状态gydF4y2Ba
Code42支持gydF4y2Ba

法证搜寻参考资料gydF4y2Ba

  1. 最后一次更新gydF4y2Ba
  2. 另存为PDFgydF4y2Ba

这篇文章是给谁看的?gydF4y2Ba

Incydr专业,企业,地平线和政府F2gydF4y2Ba
Incydr基础,高级,和政府F1gydF4y2Ba

的Code42控制台中找到您的产品计划gydF4y2Ba帐户菜单gydF4y2Ba.gydF4y2Ba

老师,不。gydF4y2Ba

Incydr Professional, Enterprise, Horizon和Gov F2,是的。gydF4y2Ba

Incydr基础,高级和Gov F1,是的。gydF4y2Ba

概述gydF4y2Ba

法医搜索是一个强大的搜索界面,使安全团队监视和调查可疑的文件活动。betway365法医搜索提供了文件引起的内部风险的详细可见性:gydF4y2Ba

  • 存储在用户设备上gydF4y2Ba
  • 存储在企业云存储服务中,如谷歌Drive、Microsoft OneDrive等gydF4y2Ba
  • 已同步到Box、Dropbox、iCloud和OneDrive等个人云存储服务gydF4y2Ba
  • 通过网页浏览器上传gydF4y2Ba
  • 移动到可移动媒体gydF4y2Ba
  • 在Microsoft Office 365和Gmail中以电子邮件附件形式发送gydF4y2Ba
  • 发送到打印机(仅Mac和Linux)gydF4y2Ba

法医学搜索结果中返回的文件活动类型会因此而异gydF4y2Ba检测类型gydF4y2Ba而且gydF4y2Ba数据连接gydF4y2Ba在Code42环境中启用。gydF4y2Ba

本文描述了如何使用Forensic Search界面。有关搜索结果中返回的每个字段的详细说明,请参见gydF4y2Ba文件事件元数据参考指南gydF4y2Ba.gydF4y2Ba

法医搜索gydF4y2Ba

进入法证检索:gydF4y2Ba

  1. 登录到Code42控制台gydF4y2Ba.gydF4y2Ba
    你必须有一个gydF4y2Ba角色,具有允许访问取证搜索的权限。gydF4y2Ba
  2. 选择gydF4y2Ba法医搜索>搜索gydF4y2Ba.gydF4y2Ba
什么是“文件事件”?gydF4y2Ba
法证搜查报告gydF4y2Ba文件事件gydF4y2Ba由Code42检测。文件事件定义为对文件观察到的任何活动。例如,创建、修改、重命名、移动或删除文件都会为该文件生成一个事件。为用户和系统操作报告事件。gydF4y2Ba

搜索结果gydF4y2Ba

法证搜索结果gydF4y2Ba

在回应之前进行调查gydF4y2Ba
Incydr标识gydF4y2Ba潜在的gydF4y2Ba风险,文件事件元数据只是有助于调查的信息之一。使用Incydr中的数据作为起点,以确定该活动是否是合法的威胁。gydF4y2Ba
Incydr显示所有组织中用户的数据gydF4y2Ba
Incydr捕获的活动的可见性不受您的gydF4y2BaCode42组织层级gydF4y2Ba.gydF4y2Ba

Code42组织只控制与文件保存(备份)、代理部署和身份管理相关的端点设置。用户提供gydF4y2Ba角色gydF4y2Ba允许访问Incydr功能(如风险暴露仪表板、警报和取证搜betway提款索),可以为所有组织的用户查看内部风险数据。gydF4y2Ba
项gydF4y2Ba 描述gydF4y2Ba
一个gydF4y2Ba 设置风险gydF4y2Ba

显示所有风险指标和相关评分。gydF4y2Ba

编辑gydF4y2Ba设置风险gydF4y2Ba,你必须有gydF4y2Ba内部风险管理gydF4y2Ba或gydF4y2Ba内部风险分析师gydF4y2Ba的角色。拥有gydF4y2Ba内幕风险只读gydF4y2Ba角色可以查看风险设置,但不能进行更改。gydF4y2Ba
bgydF4y2Ba 负载节省搜索gydF4y2Ba 显示用户在Code42环境中创建和保存的搜索的可搜索列表。单击搜索的名称可立即执行该搜索并显示结果。gydF4y2Ba
cgydF4y2Ba 日期选择器gydF4y2Ba

所有搜索都必须指定一个日期范围。从以下选项中选择一个:gydF4y2Ba

  • 最后观察到的事件gydF4y2Ba:选择自定义时间段。这是特别有用的gydF4y2Ba保存的搜索gydF4y2Ba因为它们可以在未来的任何时候使用,并且仍然搜索相同的相对时间段。gydF4y2Ba
  • 观察到的事件gydF4y2BaOn或aftergydF4y2Ba:查询指定日期和时间之后的事件。如果要包括开始日期的所有事件,请输入00:00:00的时间值。gydF4y2Ba
  • 观察到的事件gydF4y2Ba在或之前gydF4y2Ba:查询指定日期和时间之前的事件。若要包括结束日期的所有事件,请输入时间值23:59:59。gydF4y2Ba
  • 观察到的事件gydF4y2Ba在范围内gydF4y2Ba:在指定的开始和结束日期/时间之间搜索事件。输入时间范围为00:00:00 ~ 23:59:59,包括开始日期和结束日期中的所有事件。gydF4y2Ba

时间以协调世界时(UTC)计算。gydF4y2Ba
dgydF4y2Ba 过滤器gydF4y2Ba

从菜单中选择一个项目,或键入要包含在搜索中的筛选器的名称。有关所有筛选器选项的详细说明,请参见gydF4y2Ba文件事件元数据参考指南gydF4y2Ba.gydF4y2Ba
egydF4y2Ba 操作符gydF4y2Ba

搜索操作符选项因搜索筛选器而异。gydF4y2Ba

  • 单值gydF4y2Ba
    • 是gydF4y2Ba:返回符合搜索条件的事件gydF4y2Ba
    • 不是gydF4y2Ba:排除符合搜索条件的事件gydF4y2Ba
    • 存在gydF4y2Ba:返回包含搜索条件任意值的事件gydF4y2Ba
    • 不存在gydF4y2Ba:返回搜索条件中没有值的事件gydF4y2Ba
  • 多值(或)gydF4y2Ba
    • 包括任何gydF4y2Ba:返回匹配搜索条件列表中任意项的事件。该搜索的计算就像每个值之间存在“OR”操作符一样。gydF4y2Ba
    • 包括没有gydF4y2Ba:返回与搜索条件列表不匹配的事件。gydF4y2Ba

    为gydF4y2Ba文件大小gydF4y2Ba中,选择gydF4y2Ba大于gydF4y2Ba或gydF4y2Ba小于gydF4y2Ba.gydF4y2Ba
    fgydF4y2Ba 价值gydF4y2Ba

    定义搜索条件。搜索不区分大小写。gydF4y2Ba

    对于多值搜索(gydF4y2Ba包括任何gydF4y2Ba或gydF4y2Ba包括没有gydF4y2Ba),在另一行输入每个值。不要输入逗号分隔的列表。gydF4y2Ba

    使用gydF4y2Ba*gydF4y2Ba用于搜索部分字符串的通配符。使用gydF4y2Ba?gydF4y2Ba通配符替换单个字符。文件大小例如:gydF4y2Ba

    • 输入搜索字符串gydF4y2Ba费用*gydF4y2Ba为以短语开头的任何文件名返回事件gydF4y2Ba费用gydF4y2Ba,例如gydF4y2Baexpenses.xlsgydF4y2Ba,gydF4y2Baexpenses.docgydF4y2Ba,gydF4y2Ba审查费用。txtgydF4y2Ba等等。gydF4y2Ba
    • 输入搜索字符串gydF4y2Baexpenses201 ? xlsgydF4y2Ba仅为匹配确切模式的文件名返回事件,例如gydF4y2Baexpenses2016.xlsgydF4y2Ba,gydF4y2Baexpenses2017.xlsgydF4y2Ba等等。gydF4y2Ba

    除MD5哈希、SHA256哈希、IP地址和文件大小外,所有搜索过滤器都支持通配符。gydF4y2Ba

    避免以通配符开始搜索词gydF4y2Ba
    不输入搜索字符串说明gydF4y2Ba开始gydF4y2Ba使用通配符或只包含通配符(例如,gydF4y2Ba文件名为*gydF4y2Ba或gydF4y2Ba文件路径为*documentsgydF4y2Ba).这些搜索可能需要很长时间才能完成,并且可能返回数百万个结果,这些结果不适合审查或导出。gydF4y2Ba
    • 文件路径gydF4y2Ba搜索要求在搜索词的末尾加上斜杠(/)或通配符。例如:gydF4y2Ba
      • 输入gydF4y2Ba/ /克莱德/ ExampleFolder /用户gydF4y2Ba中文件的事件gydF4y2BaExampleFoldergydF4y2Ba.gydF4y2Ba
      • 输入/Users/Clyde/ExampleFolder*查看文件中的事件gydF4y2BaExampleFoldergydF4y2Ba而且gydF4y2Ba任何子文件夹。gydF4y2Ba

    为gydF4y2Ba文件大小gydF4y2Ba,输入一个整数(不支持小数),然后选择一个测量单位(gydF4y2Ba字节gydF4y2Ba,gydF4y2BakBgydF4y2Ba,gydF4y2BaMBgydF4y2Ba,或gydF4y2BaGBgydF4y2Ba).gydF4y2Ba
    ggydF4y2Ba 删除搜索条件gydF4y2Ba 删除此搜索条件。gydF4y2Ba
    hgydF4y2Ba 添加搜索条件gydF4y2Ba 将另一项添加到搜索条件。搜索结果只返回符合所有条件的事件。gydF4y2Ba
    我gydF4y2Ba 另存为gydF4y2Ba 的列表中添加当前搜索条件gydF4y2Ba保存的搜索gydF4y2Ba.当查看已保存的搜索时,您可以gydF4y2Ba另存为gydF4y2Ba一个新的搜索或者gydF4y2Ba保存gydF4y2Ba在同一名称下更改。gydF4y2Ba
    jgydF4y2Ba 重置gydF4y2Ba 清除所有搜索过滤器和结果。gydF4y2Ba
    kgydF4y2Ba 更新搜索gydF4y2Ba 根据当前搜索条件执行搜索。gydF4y2Ba
    lgydF4y2Ba 修改列gydF4y2Ba 显示可用列的列表。选择或取消选择项目以自定义搜索结果的格式。gydF4y2Ba
    米gydF4y2Ba 导出的结果gydF4y2Ba

    将当前搜索结果下载到CSV文件。gydF4y2Ba

    • 出口限量为20万份。gydF4y2Ba
    • 只包括适用于您的gydF4y2Ba产品计划gydF4y2Ba.gydF4y2Ba
    • CSV文件采用UTF-8编码。gydF4y2Ba
      CSV文件还包括一个前导字节顺序标记(BOM),指定文件是UTF-8编码的。如果使用自定义脚本解析CSV导出,则可能需要考虑文件开头的BOM,以确保正确读取列标题。gydF4y2Ba

    某些CSV列标题的名称与取证搜索中对应的字段标签不同。看到gydF4y2Ba字段名映射和定义gydF4y2Ba详细信息。gydF4y2Ba
    ngydF4y2Ba 选择所有gydF4y2Ba 单击,选中或取消选中当前页面的所有搜索结果。当有多个选中结果时,单击gydF4y2Ba添加到案例gydF4y2Ba,将它们全部添加到一个案例中。gydF4y2Ba
    ogydF4y2Ba 事件选择器gydF4y2Ba 单击,选择文件事件。当有多个选中结果时,单击gydF4y2Ba添加到案例gydF4y2Ba,将它们全部添加到一个案例中。gydF4y2Ba
    pgydF4y2Ba

    列排序指示器gydF4y2Ba列排序图标-升序gydF4y2Ba列排序图标降序gydF4y2Ba

    		 指示当前如何对结果进行排序和显示。单击任意列标题按该列排序。再次单击标题可在升序和降序之间切换。gydF4y2Ba
    问gydF4y2Ba 风险评分gydF4y2Ba

    根据观察到的风险指标指示文件事件的风险严重程度。分数越高,严重程度越高。gydF4y2Ba

    • 严重程度图标gydF4y2Ba9 +:关键gydF4y2Ba
    • 高严重性图标gydF4y2Ba7 - 8:高gydF4y2Ba
    • 中度严重程度图标gydF4y2Ba4 - 6:温和gydF4y2Ba
    • 低严重性图标gydF4y2Ba1 - 3:低gydF4y2Ba
    • 无风险指示图标gydF4y2Ba0:无风险提示gydF4y2Ba

    要了解如何计算风险评分的更多信息,请参见gydF4y2Ba风险设置参考gydF4y2Ba.gydF4y2Ba
    rgydF4y2Ba 添加到案例gydF4y2Ba添加到案例图标gydF4y2Ba

    单击,将文件事件添加到gydF4y2Ba情况下gydF4y2Ba:gydF4y2Ba

    1. 从可用选项列表中选择一个现有案例。gydF4y2Ba
    2. 点击gydF4y2Ba创建案例gydF4y2Ba创建一个新案例并将此事件添加到其中。gydF4y2Ba
    3. 若要查看用例,请在添加事件时出现的确认消息中单击用例名称。您还可以导航到gydF4y2Ba响应>个案例gydF4y2Ba然后选择它。gydF4y2Ba

    只适用于gydF4y2BaIncydr产品计划gydF4y2Ba年代。gydF4y2Ba
    年代gydF4y2Ba 查看详细信息gydF4y2Ba展开事件详情图标gydF4y2Ba 显示文件事件的所有元数据。有关各字段的详细描述,请参见gydF4y2Ba文件事件元数据参考指南gydF4y2Ba.gydF4y2Ba
    tgydF4y2Ba 每页事件gydF4y2Ba 选择以每页显示10、25、50或100个事件。gydF4y2Ba

    文件事件详细信息gydF4y2Ba

    查看搜索结果中的文件事件详细信息:gydF4y2Ba

    1. 在搜索结果列表中,单击gydF4y2Ba查看详细信息gydF4y2Ba展开文件事件详细信息图标gydF4y2Ba显示文件事件的所有元数据。gydF4y2Ba
      事件详细信息gydF4y2Ba从右边滑进去。gydF4y2Ba
      从搜索结果行单击“查看详细信息”图标gydF4y2Ba
    2. 在gydF4y2Ba事件详细信息gydF4y2Ba,滚动查看该事件的所有元数据。gydF4y2Ba
      • 有关各字段的详细描述,请参见gydF4y2Ba文件事件元数据参考指南gydF4y2Ba.gydF4y2Ba
      • 使用gydF4y2Ba向上箭头图标文件事件详细信息gydF4y2Ba而且gydF4y2Ba向下箭头图标文件事件详细信息gydF4y2Ba箭头图标用于查看下一个或上一个事件的文件事件详细信息。gydF4y2Ba
      • 点击菜单图标gydF4y2Ba3点菜单图标gydF4y2Ba用于复制值或将其添加到新的或现有搜索的选项的任何字段的旁边。gydF4y2Ba

    带有扩展文件事件详细信息的取证搜索结果gydF4y2Ba

    文件元数据缺失gydF4y2Ba
    一些文件事件可能无法捕获所有元数据。缺失的元数据由字段中的破折号(-)表示。最常见的情况是,如果文件在磁盘上存在的时间不够长,Code42无法捕获所有元数据,就会发生这种情况。gydF4y2Ba

    保存的搜索gydF4y2Ba

    若要查看保存的搜索列表,请选择gydF4y2Ba法医搜索>保存搜索gydF4y2Ba.gydF4y2Ba

    已保存搜索列表gydF4y2Ba

    项gydF4y2Ba 描述gydF4y2Ba
    一个gydF4y2Ba 保存的搜索名称gydF4y2Ba 保存的搜索的名称。gydF4y2Ba
    bgydF4y2Ba 创建gydF4y2Ba 列出创建搜索的日期和创建搜索的用户。gydF4y2Ba
    cgydF4y2Ba 最后修改gydF4y2Ba 列出最近修改搜索的日期和修改搜索的用户。gydF4y2Ba
    dgydF4y2Ba 运行搜索gydF4y2Ba 执行保存的搜索并显示搜索结果。gydF4y2Ba
    egydF4y2Ba

    行动gydF4y2Ba

    点击此处查看搜索选项:gydF4y2Ba

    • 编辑过滤器gydF4y2Ba:打开gydF4y2Ba搜索gydF4y2Ba选项卡,您可以从中添加、删除和更新搜索条件。gydF4y2Ba
    • 编辑名称和注释gydF4y2Ba:显示保存的搜索名称和可选的notes字段。注释限制在2500个字符。gydF4y2Ba
    • 删除gydF4y2Ba:永久删除Code42环境中所有用户保存的搜索。gydF4y2Ba