风险设置参考- Code42支持

概述

这篇文章解释了个人如何风险指标有助于文件事件的整体风险严重性。

专注于具有较高风险严重程度的事件可以帮助您快速识别在您的环境中产生最大的潜在暴露和泄露风险的文件活动和用户行为。

它是如何工作的

风险评分

Incydr为文件事件的特定方面分配数值风险评分。得分越高，风险严重程度越高。默认分数是基于活动增加泄露或暴露风险的可能性，但您可以更改任何分数，以更好地匹配您特定的风险承受能力。例如，默认情况下，Incydr分配的风险评分为0转到视频文件(无风险)。然而，如果你经营一个制作工作室，其中视频文件构成了你最重要的知识产权，你可能会选择增加视频文件的风险评分。

风险的严重程度

图标可以快速显示文件事件的总体风险严重程度，该级别基于以下评分范围:

风险指标

风险设置分为几个关键风险指标类型:

在每个类别中，还有额外的子类别来分组个别风险指标。

例如，如果用户将源代码上传到Dropbox在正常工作时间之外，该文件活动将生成一个具有三个风险指标的事件，每个指标都有自己的风险评分。默认分数列在括号中:

一个用户非工作时间文件活动的风险指示器(+1)
一个目的地Dropbox上传的风险指标(+5)
一个文件源代码文件活动风险增加的风险指示器(+3)

这三个风险指标得分的总和决定了该文件事件的总体风险严重程度。

这种上下文驱动的评估组合的方法用户,目的地(向量),文件Attributes提供了比简单地将所有上传活动分类为高风险更准确的风险评估。在本例中，所有三个风险指标的组合产生的风险评分为9，这表明可能需要立即采取后续行动的严重事件。

设置风险

访问风险设置:

登录到Code42控制台．如果您已经登录，请单击左上角的Incydr标志。
出现“风险暴露”仪表板。
选择设置风险．
风险设置从右侧滑入。
点击箭头图标在任意风险指标类别后，可查看该类别下的所有风险指标。您也可以在搜索框中输入名称或部分名称，查找具体的风险指标。
要更改风险评分，请单击编辑图标．默认值被标记为推荐．
的内部风险管理或内部风险分析师角色需要改变分数。的内幕风险只读角色可以查看风险设置，但不能进行更改。
点击保存．
更改可能最多需要60分钟才能生效，且仅适用于未来的文件活动。在分数更改之前发生的文件事件保留旧值。

改变风险评分

所有风险指标评分变化都在审计日志．
请谨慎选择高于7的评分，因为它会导致具有该风险指标的所有事件都是高或严重的。
若要帮助确定将分数从0更改为更高的值会如何影响文件事件，请使用法医搜索在更改分数之前搜索具有该风险指标的事件。这些结果可以帮助您了解行为发生的频率，以及提高分数将如何影响具有多个风险指标的事件的总分。

用户风险指标

用户风险指标将风险评分应用于文件事件，基于:

Incydr自动检测用户行为
被列入监视名单的用户

项	描述
用户行为	适用于Incydr自动检测的危险文件活动，包括: 文件不匹配:扩展名与文件内容不匹配的文件(例如，扩展名为.jpg的文件包含源代码内容)。这可能表明有人企图伪装和窃取数据。了解有关文件不匹配的更多信息．第一次使用目的地:自启用Incydr监视以来，第一次观察到此用户将文件发送到此目的地。如果多个文件几乎同时发送到此目的地，则风险指示器将应用于所有相关事件。下班时间:在用户正常活动时间之外发生的文件活动。下班时间的确定对于每个用户都是独一无二的，并且是基于用户过去的行为模式。了解更多关于非工作时间的信息．很少使用目的地:该用户在过去90天内第一次向此目的地发送文件。如果多个文件几乎同时发送到此目的地，则风险指示器将应用于所有相关事件。这不包括第一个用户上传到此目标的时间。捕获第一次使用第一次使用目的地风险指标。远程文件中未包含的IP地址的文件活动网内IP地址列表．
观察名单中	对象上的用户的文件事件观察名单中．

项

描述

用户行为

适用于Incydr自动检测的危险文件活动，包括:

文件不匹配:扩展名与文件内容不匹配的文件(例如，扩展名为.jpg的文件包含源代码内容)。这可能表明有人企图伪装和窃取数据。了解有关文件不匹配的更多信息．
第一次使用目的地:自启用Incydr监视以来，第一次观察到此用户将文件发送到此目的地。如果多个文件几乎同时发送到此目的地，则风险指示器将应用于所有相关事件。

下班时间:在用户正常活动时间之外发生的文件活动。下班时间的确定对于每个用户都是独一无二的，并且是基于用户过去的行为模式。了解更多关于非工作时间的信息．
很少使用目的地:该用户在过去90天内第一次向此目的地发送文件。如果多个文件几乎同时发送到此目的地，则风险指示器将应用于所有相关事件。
这不包括第一个用户上传到此目标的时间。捕获第一次使用第一次使用目的地风险指标。
远程文件中未包含的IP地址的文件活动网内IP地址列表．

观察名单中

对象上的用户的文件事件观察名单中．

目的地风险指标

目的地风险指标根据文件移动或上传的位置对文件事件应用风险评分。

项	描述
云存储上传	适用于通过web浏览器上传到云服务的文件，以及某些云服务通过安装的桌面应用程序上传到云服务的文件。例如Box、Dropbox和谷歌Drive。
电子邮件上传	适用于通过浏览器上传到web电子邮件服务的文件。例如Gmail、Outlook、Comcast等等。
外部设备	适用于外部设备上的文件事件，包括可移动媒体上的文件活动以及通过AirDrop发送到其他Apple设备上的文件。
外部共享	适用于共享的文件: 来自企业云服务的公共链接您的外部用户信任域通过您的企业云服务你以外的电子邮件收件人信任域通过你的公司邮箱也适用于从企业云工具下载到不受Incydr监控的端点的文件。需要配置数据连接Incydr之内。
文件转换工具上传	适用于上传到web文件转换工具的文件。例如CloudConvert和TinyPNG。
信息上传	适用于上传到消息服务的文件。例如，Facebook messenger、微软Teams和Slack。
PDF管理器上传	适用于上传到基于web的工具创建和管理pdf的文件。例如，Adobe Acrobat和SmallPDF。
生产力工具上传	适用于上传到基于web的生产力工具的文件。例如Evernote，谷歌Keep和Trello。
社交媒体上传	适用于通过浏览器上传到社交媒体网站的文件。例如，Facebook, LinkedIn和Twitter。
源代码存储库上传	适用于通过web浏览器上传到代码存储库的文件。例如，Bitbucket和Github。
虚拟主机上传	适用于上传到网络托管服务的文件。例如，谷歌网站和WordPress。
其他上传	其他目的地适用于以下文件: 目标不属于预定义的类别，但文件事件详细信息包括元数据(例如选项卡标题或URL)，以帮助您识别目标。事件有多个选项卡标题或url。事件与现有的风险指标不匹配。未知的目的地应用于目标信息不可用的文件。在mac上，这可能表示Code42没有所需的权限收集目标详细信息。

来源风险指标

源风险指示器根据获取文件的位置对文件事件应用风险评分。例如，如果从HR源(如ADP或Workday)将文件下载到端点，则该端点对该文件的未来泄露事件将基于HR源应用风险评分。

项	描述
商业智能来源	适用于从商业智能工具获取的文件。例如Splunk和Tableau。
云存储来源	适用于从云存储服务中获取的文件。例如谷歌Drive和OneDrive。
编码工具来源	适用于从编码工具源获取的文件。比如詹金斯。
合同管理来源	适用于从合同管理系统获取的文件。例如《Acrobat Sign》和《IronClad》。
CRM来源	适用于从CRM工具获取的文件。例如Salesforce和Zendesk。
金融服务来源	适用于从金融部门获得的文件。例如Intacct和Shareworks。
人力资源来源	适用于通过人力资源工具获取的文件。例如，ADP和Workday。
营销渠道	适用于从营销工具获取的文件。例如，Marketo。
消息来源	应用于从消息传递服务获取的文件。例如，微软团队和Slack。
生产力工具来源	适用于从生产力工具获取的文件。例如，Jira和ServiceNow。
源代码存储库来源	应用于从源代码存储库获取的文件。例如Bitbucket和GitHub。

确定多个来源的风险
在某些情况下，文件事件可能有多个源风险指示器(例如，如果从两个不同的位置下载同一文件):

只应用得分最高的源风险指标。
如果得分相同，则应用观测到的第一个源风险指标。
所有来源都可见从事件的细节。

档案风险指标

档案风险指标根据文件的属性对文件事件应用风险评分。

项	描述
分类和灵敏度标签	适用于包含来自Microsoft Information Protection (MIP)的分类标记的文件或具有特定关键字的文件名。
文件类别	应用于基于文件类型的文件事件，由文件扩展名和文件内容决定。例如，gif、jpg、png文件被归类为图像文件。其他文件类别包括源代码,电子表格,Zip文件．有关文件类别的完整列表以及每个类别中特定文件类型的示例，请参见Incydr文件分类．
文件名关键字	适用于包含敏感文件名关键字的文件。例如，属于密码数据的文件名。

其他的考虑

总风险分数为0的文件事件可以在法医搜索中搜索，但由于没有识别出风险，因此它们不会出现在风险暴露仪表盘．

文件不匹配细节

文件不匹配风险指示器突出显示扩展名与文件内容不匹配的文件，特别是当高价值的文件给出一个低价值的扩展．检测侧重于高风险的文件不匹配，这可能表明重命名、下载或共享了具有意外扩展名的文件。

例如，具有JPG扩展名的ZIP文件被认为是文件不匹配。
请看下面的例子不考虑文件不匹配。

当Code42检测到涉及文件的活动时，例如当文件移动到可移动媒体或云同步文件夹，由浏览器或应用程序读取，或通过直接链接或与受信任域外的特定用户公开共享时，它会分析文件的不匹配。Code42确实不主动扫描或监控这些操作之外的不匹配文件。

并不是所有的错配都是有风险的。以下类型的不匹配可以做到不触发警报或获取文件不匹配风险指示器:

Code42不能读取文件头并确定真实文件类型的文件。这发生在文件媒体类型(以前，mimeType)没有魔数支持．
具有两个高值文件扩展名的文件，例如将一个PPT文件重命名为TXT扩展名。
文件类型和扩展名密切相关的文件。例如，文件的内容表明它是一个PNG文件，但该文件具有GIF扩展名。
由软件应用程序产生的不匹配，以控制用于打开文件的应用程序。例如，Salesforce可以更改CSV文件的扩展名，以便在该应用程序中打开该文件。
通常没有扩展名的文件，如应用程序或系统文件。

为了减少噪音，用户配置文件只有显示已过滤文件的文件不匹配。然而，你可以发现所有文件不匹配法医搜索，即使文件没有被窃取。

文件扩展名不匹配告警规则

除了文件不匹配风险指示器之外，您还可以创建一个警报，以便在过滤的文件上发生文件不匹配时通知您。有关如何创建文件不匹配警报的详细信息，请参见创建和管理警报．

非工作时间详情

不适用于Incydr基本和Incydr专业产品计划

非工作时间风险指示器标识发生在员工通常活动时间之外的文件活动。Incydr监视用户的文件活动，并使用该活动模式突出显示在用户正常活动期间发生的文件活动不活跃的(下班时间)。

下班时间风险指标不：

使用静态或预先填充的“工作”时间计划(例如，上午9点至下午5点)。它基于对每个用户文件活动的动态观察。
测量键盘和鼠标活动或窗口焦点。
跟踪用户“打卡”或“打卡”，或以其他方式测量或报告用户的工作效率、注意力或注意力。

开始识别模式需要数周的数据，因此对于新用户来说，下班时间指示器不会立即出现。

由于员工每天的活动时间并不完全相同，Incydr每天都会根据观察到的文件活动模式不断调整所谓的“非工作时间活动”。然而，在某些情况下，如果用户的活动变化太大(例如，连续几周从夜间活动不断变化为白天活动)，我们可能无法观察到足够强的活动模式来确定典型的活动时间或非活动时间。在这些情况下，非工作时间风险指标为不应用。

概述