风险设置参考
概述
这篇文章解释了个人如何风险指标有助于文件事件的整体风险严重性。
专注于具有较高风险严重程度的事件可以帮助您快速识别在您的环境中产生最大的潜在暴露和泄露风险的文件活动和用户行为。
它是如何工作的
Incydr为文件事件的特定方面分配数值风险评分。得分越高,风险严重程度越高。默认分数是基于活动增加泄露或暴露风险的可能性,但您可以更改任何分数,以更好地匹配您特定的风险承受能力。例如,默认情况下,Incydr分配的风险评分为0转到视频文件(无风险)。然而,如果你经营一个制作工作室,其中视频文件构成了你最重要的知识产权,你可能会选择增加视频文件的风险评分。
图标可以快速显示文件事件的总体风险严重程度,该级别基于以下评分范围:
风险设置分为几个关键风险指标类型:
在每个类别中,还有额外的子类别来分组个别风险指标。
例如,如果用户将源代码上传到Dropbox在正常工作时间之外,该文件活动将生成一个具有三个风险指标的事件,每个指标都有自己的风险评分。默认分数列在括号中:
- 一个用户非工作时间文件活动的风险指示器(+1)
- 一个目的地Dropbox上传的风险指标(+5)
- 一个文件源代码文件活动风险增加的风险指示器(+3)
这三个风险指标得分的总和决定了该文件事件的总体风险严重程度。
这种上下文驱动的评估组合的方法用户,目的地(向量),文件Attributes提供了比简单地将所有上传活动分类为高风险更准确的风险评估。在本例中,所有三个风险指标的组合产生的风险评分为9,这表明可能需要立即采取后续行动的严重事件。
设置风险
访问风险设置:
- 登录到Code42控制台.如果您已经登录,请单击左上角的Incydr标志。
出现“风险暴露”仪表板。 - 选择设置风险.
风险设置从右侧滑入。 - 点击箭头图标在任意风险指标类别后,可查看该类别下的所有风险指标。您也可以在搜索框中输入名称或部分名称,查找具体的风险指标。
- 要更改风险评分,请单击编辑图标.默认值被标记为推荐.
的内部风险管理或内部风险分析师角色需要改变分数。的内幕风险只读角色可以查看风险设置,但不能进行更改。 - 点击保存.
更改可能最多需要60分钟才能生效,且仅适用于未来的文件活动。在分数更改之前发生的文件事件保留旧值。
用户风险指标
用户风险指标将风险评分应用于文件事件,基于:
- Incydr自动检测用户行为
- 被列入监视名单的用户
项 | 描述 |
---|---|
用户行为 | 适用于Incydr自动检测的危险文件活动,包括:
|
观察名单中 | 对象上的用户的文件事件观察名单中. |
目的地风险指标
目的地风险指标根据文件移动或上传的位置对文件事件应用风险评分。
项 | 描述 |
---|---|
云存储上传 | 适用于通过web浏览器上传到云服务的文件,以及某些云服务通过安装的桌面应用程序上传到云服务的文件。例如Box、Dropbox和谷歌Drive。 |
电子邮件上传 | 适用于通过浏览器上传到web电子邮件服务的文件。例如Gmail、Outlook、Comcast等等。 |
外部设备 | 适用于外部设备上的文件事件,包括可移动媒体上的文件活动以及通过AirDrop发送到其他Apple设备上的文件。 |
外部共享 | 适用于共享的文件: 也适用于从企业云工具下载到不受Incydr监控的端点的文件。 需要配置数据连接Incydr之内。 |
文件转换工具上传 | 适用于上传到web文件转换工具的文件。例如CloudConvert和TinyPNG。 |
信息上传 | 适用于上传到消息服务的文件。例如,Facebook messenger、微软Teams和Slack。 |
PDF管理器上传 | 适用于上传到基于web的工具创建和管理pdf的文件。例如,Adobe Acrobat和SmallPDF。 |
生产力工具上传 | 适用于上传到基于web的生产力工具的文件。例如Evernote,谷歌Keep和Trello。 |
社交媒体上传 | 适用于通过浏览器上传到社交媒体网站的文件。例如,Facebook, LinkedIn和Twitter。 |
源代码存储库上传 | 适用于通过web浏览器上传到代码存储库的文件。例如,Bitbucket和Github。 |
虚拟主机上传 | 适用于上传到网络托管服务的文件。例如,谷歌网站和WordPress。 |
其他上传 | 其他目的地适用于以下文件:
未知的目的地应用于目标信息不可用的文件。在mac上,这可能表示Code42没有所需的权限收集目标详细信息。 |
来源风险指标
源风险指示器根据获取文件的位置对文件事件应用风险评分。例如,如果从HR源(如ADP或Workday)将文件下载到端点,则该端点对该文件的未来泄露事件将基于HR源应用风险评分。
项 | 描述 |
---|---|
商业智能来源 | 适用于从商业智能工具获取的文件。例如Splunk和Tableau。 |
云存储来源 | 适用于从云存储服务中获取的文件。例如谷歌Drive和OneDrive。 |
编码工具来源 | 适用于从编码工具源获取的文件。比如詹金斯。 |
合同管理来源 | 适用于从合同管理系统获取的文件。例如《Acrobat Sign》和《IronClad》。 |
CRM来源 | 适用于从CRM工具获取的文件。例如Salesforce和Zendesk。 |
金融服务来源 | 适用于从金融部门获得的文件。例如Intacct和Shareworks。 |
人力资源来源 | 适用于通过人力资源工具获取的文件。例如,ADP和Workday。 |
营销渠道 | 适用于从营销工具获取的文件。例如,Marketo。 |
消息来源 | 应用于从消息传递服务获取的文件。例如,微软团队和Slack。 |
生产力工具来源 | 适用于从生产力工具获取的文件。例如,Jira和ServiceNow。 |
源代码存储库来源 | 应用于从源代码存储库获取的文件。例如Bitbucket和GitHub。 |
在某些情况下,文件事件可能有多个源风险指示器(例如,如果从两个不同的位置下载同一文件):
- 只应用得分最高的源风险指标。
- 如果得分相同,则应用观测到的第一个源风险指标。
- 所有来源都可见从事件的细节。
档案风险指标
档案风险指标根据文件的属性对文件事件应用风险评分。
项 | 描述 |
---|---|
分类和灵敏度标签 | 适用于包含来自Microsoft Information Protection (MIP)的分类标记的文件或具有特定关键字的文件名。 |
文件类别 | 应用于基于文件类型的文件事件,由文件扩展名和文件内容决定。例如,gif、jpg、png文件被归类为图像文件。其他文件类别包括源代码,电子表格,Zip文件.有关文件类别的完整列表以及每个类别中特定文件类型的示例,请参见Incydr文件分类. |
文件名关键字 | 适用于包含敏感文件名关键字的文件。例如,属于密码数据的文件名。 |
其他的考虑
- 总风险分数为0的文件事件可以在法医搜索中搜索,但由于没有识别出风险,因此它们不会出现在风险暴露仪表盘.
文件不匹配细节
非工作时间详情
相关的话题
- 识别风险严重程度增加的文件活动
- 关键活动引用的顶级用户
- 文件事件元数据引用
- Code42产品概述:Incydr如何优先考虑数据风险