启用端点监控和文件元数据收集- Code42支持

概述

本教程解释如何启用端点监视和文件元数据收集来捕获用户文件活动，以便您可以开始使用Incydr来发现并应对内部风险．

端点检测捕捉用户设备上的任何位置的文件活动，而不仅仅是在用户的备份中文件选择包括可移动媒体上的活动、云同步文件夹，以及通过网络浏览器和其他应用程序上传。
文件元数据收集捕获设备上的所有文件活动，这使您能够搜索文件元数据更清楚地了解整个组织的文件活动。

本文不适用于Incydr Professional、Enterprise、Horizon和Gov F2产品计划。有关这些计划，请参见端点数据收集参考指南．

注意事项

启用端点监控和文件元数据收集。

必须为所有用户安装Code42应用程序。用户安装不支持。
你的Code42产品方案必须包括端点检测而且文件元数据收集．请与您的客户成功经理(CSM)联系以获得产品计划方面的帮助。如果你不确定如何联系你的CSM，联系我们的技术支持工程师．
组织必须使用标准对备份数据进行归档加密。存档密钥密码而且自定义键加密不支持。
组织使用合规的设置不能启用端点监视或文件元数据收集。

步骤

步骤1:锁定存档加密密钥设置

端点监视和文件元数据收集需要标准档案加密．在启用这些设置之前，请锁定档案加密密钥设置，以防止用户或管理员以后更改它。

登录到Code42控制台．
去管理>环境>组织．
选择组织。
从操作菜单中,选择设备备份默认值．
在一般节中,取消选择使用父设备的默认值．
选择betway365选项卡。
在档案加密密钥部分:
1. 取消选择使用默认的存档加密密钥设置．
2. 验证标准被选中。
3. 单击锁图标，以防止用户更改此设置。
4. 查看确认消息并单击好吧．
点击保存．

步骤2:启用端点监控和文件元数据收集

从一个测试组织开始
首先在一个小型的测试组织中启用这些设置。这有助于确保用户设备、活动监视和报告按预期执行。在少量用户中看到所需的结果后，就可以为其他组织启用端点监视和文件元数据收集。

如果您的Code42环境包含超过5,000个用户，请与您的客户成功经理(CSM)联系，以帮助您创建部署策略。

登录到Code42控制台的用户跨机构管理或组织管理的角色。
选择管理>环境>组织．
选择组织。
从操作菜单中,选择编辑．
选择端点检测．
取消选择从父节点继承设置，如有需要。
选择启用端点监控．
选择所有检测类型。详情请参见端点监控设置参考．
- 可移动媒体:监视可移动媒体(如USB驱动器或SD卡)上的文件活动。
- 云同步应用:监视设备上用于与云服务同步的文件夹中的文件活动。
- 浏览器和其他应用程序活动:用于识别用于上传文件的常用应用(如web浏览器、Slack、AirDrop、FTP客户端或curl)中打开的文件。
  
  Code42需要macOS权限来检测文件上传目的地
  如果你启用浏览器和其他应用程序活动检测时，您必须采取措施授予Code42在Mac设备上的权限来检测窗口标题和URL在上传文件时激活。具体操作步骤请参见macOS权限内部风险代理．
- 打印机:标识发送到打印机的文件。仅限Mac和Linux。
- 文件元数据收集:提供对所有通过收集用户设备上以及受支持的云服务和电子邮件提供商中所有文件的详细元数据来进行文件活动。
点击保存立即将更改应用到该组织及其所有继承子组织中的所有设备。

组织设置端点监控

下一个步骤

审查文件活动

Code42 Incydr提供了各种工具来审查文件活动，包括仪表板、用户配置文件、警报、检测列表和高级的临时搜索功能。有关这些工具的详细信息，请参阅我们的捕获和审查可疑活动的指南．

添加云和电子邮件数据连接(可选)

如果您的产品计划包括其他云或电子邮件数据源(例如，谷歌Drive、Microsoft OneDrive、Gmail或Microsoft Office 365电子邮件)，则必须授权Code42访问此数据。有关说明，请参见添加数据连接的介绍．

高级配置步骤

高级设置
下面的步骤是捕获可移动驱动器上活动的文件所必需的。如果要配置其中任何项以覆盖Code42默认值，请单击+每个步骤旁边的图标，以查看详细说明。

启用自动文件扫描可移动媒体

默认情况下，当检测到可移动驱动器时，端点监控不会自动执行文件扫描。这可以防止收集您可能不想监视的可移动媒体上的数据。但是，如果需要，您可以启用此自动文件扫描。

确保所有可移动驱动器设置为具有系统权限(Windows和Mac)或根权限(Linux)，以便收集驱动器上的所有文件活动数据。
调用Code42 API使用以下curl命令:
复制!
```
curl -i -X PUT -H 'Content-Type: application/json' -d '{"packets": [{"key": "org-betway365 securitytools -device-detect -scan-enable"，"value": "true"，"locked": true}]}' -H '授权:持有者< auth_token >“https://< request_url >/ api / v1 / OrgSettings /< orgId >
```
将“locked”设置为true锁定此设置，使其不能在用户级别被覆盖。
将以下条目替换为Code42环境的值(在请求中不包括括号):
- 取代< auth_token >与一个身份验证令牌．
- 取代< request_url >与Code42环境的地址．
- 取代< orgId >使用组织ID。要找到这个ID，导出包含组织数据的CSV文件并定位orgId值。

要验证扫描已启用，请使用以下curl命令获取组织的所有设置:

curl -i -X GET https://< request_url >/ api / v1 / OrgSettings /< OrgID >-H '授权:持票人< auth_token >＇

在输出中搜索“org- securitytools -devibetway365ce-detect -scan-enable”键，验证其值是否设置为“true”。

排除监控路径

如果您不想监控个人云服务和可移动媒体的路径，则可以排除它们。这可以减少不必要的监控数据量和用户设备上的处理负载。

如果文件元数据收集启用时，不应用云服务路径的排除。若要从文件元数据收集中排除路径，请参见文件元数据收集排除代替。

更新将覆盖现有值
Code42 API not不会自动添加到现有值，因此在添加新的排除项之前，必须首先获得任何现有排除项的列表，然后重新提交包含新添加项的列表。

查看现有的免责条款

使用得到方法查看现有排除项。的OrgSettingsresource还包含许多其他Code42设置的键。因此，若要仅查看监控排除项，必须包含org_betway365securityTools_detection_monitoring_exclusions键作为查询参数。

下面的例子假设对旋度命令。使用这个模板创建一个特定于Code42环境的命令:

curl -X GET \ '< request_url >/ api / v1 / OrgSettings /< OrgID >?keys=org_betway365securityTools_detection_monitoring_exclusions' \ -H 'cache-control: no-cache' \ -H 'content-type: application/json' \ -H '授权:持有者< auth_token >＇

取代< request_url >与Code42环境的地址(请不要在申请表格内附上括号)。
取代< OrgID >要更新的组织的数字ID(在请求中不包括方括号)。要找到这个ID，导出包含组织数据的CSV文件并定位orgId值。
取代< auth_token >与一个身份验证令牌．
在您选择的命令行工具中执行curl命令。当出现提示时，输入密码。
Code42 API返回现有的排除。如果不存在排除条款，则数据对象在响应中的值为空。

更新或添加排除

调用Code42 API使用以下curl命令:
复制!
```
curl - i - x - h”- type: application / json - d '{“数据包”:[{“关键”:“org_securityToobetway365ls_detection_monitoring_exclusions”,“价值”:“{\ windows \”:[\”< regEx1 > \”,\“< regEx2 >”\],\“麦金塔\”:[\“< regEx > \”,\“< regEx2 >”\]}”、“锁定”:真正}]}”- h的授权:持票人< auth_token >＇< request_url >/ api / v1 / OrgSettings / < orgId >
```
将“locked”值设置为“true”将锁定该设置，使其不能在用户级别被覆盖。如果不希望对某些用户使用此设置，可以将用户移动到具有自己设置的单独子组织。
将以下条目替换为Code42云实例的值:
- 取代< regEx1 >而且< regEx2 >与正则表达式对于要排除的路径。确保包含已识别的任何现有值以上你要继续排除。您可以根据需要添加任意数量的表达式以排除多条路径。
  注意:文件路径必须使用正斜杠(/)作为路径分隔符，即使对于Windows路径也是如此。例如:(\“C: /用户/克莱德/ Temp (?:.*)*\"]．不支持使用反斜杠(\)转义正则表达式值中的字符。
- 取代< auth_token >与一个身份验证令牌．
- 取代< request_url >与Code42环境的地址(请不要在申请表格内附上括号)。
- 取代< orgId >使用组织ID。要找到这个ID，导出包含组织数据的CSV文件并定位orgId值。

要验证是否设置了排除，请使用以下curl命令:

curl -i -X GET -H '授权:持有者< auth_token >“https:// < admin_console_address > / api / v1 / OrgSettings / < OrgIDbetway365 > ?键= org_securityTools_detection_monitoring_exclusions

验证输出值被设置为要排除在监视之外的所需路径。

启用所有云文件夹内容的自动文件扫描

云文件夹同步活动始终受到监控
Code42提供了两种不同类型的云文件夹监控:

文件活动:监控云同步文件夹中的活动(例如，将新文件移动到Dropbox文件夹)。时，此监视处于开启状态云同步应用检测类型启用且不受下面步骤的影响。
文件内容:扫描云同步文件夹中的所有文件内容。扫描结果提供扫描时文件夹中所有文件的快照，并且只能通过CSV导出和Code42内幕威胁应用程序Splunk．中没有报告扫描结果用户活动或法医搜索部分的代码。按照以下步骤启用文件内容扫描。

扫描云文件夹的所有内容从默认情况下。由于一些云服务提供按需文件流，用户设备可能为用户在整个组织中访问的每个文件包含一个快捷方式文件。因此，扫描在默认情况下是禁用的，以减少不必要的监控数据量和用户设备上的处理负载。但是，您可以通过以下步骤手动重新启用云文件夹内容扫描。

更新设置

下面的步骤假设基本熟悉旋度命令。使用以下示例作为模板，创建一个特定于Code42环境的命令:

curl -X PUT \ '< request_url >/ api / v1 / OrgSettings /< OrgID >' \ -H 'content-type: application/json' \ -H '授权:持有者< auth_token >“\ -d”{"packets": [{"key": "org-securbetway365ityTools-cloud-detection-scan-enable"， "value": "真正的"， "locked": true}]}'

取代< request_url >与Code42环境的地址(请不要在申请表格内附上括号)。
取代< OrgID >使用数字组织ID(在请求中不包括方括号)。要找到这个ID，导出包含组织数据的CSV文件并定位orgId值。
取代< auth_token >与一个身份验证令牌．
设置价值参数真正的启用云文件夹内容扫描。设置价值参数假禁用云文件夹内容扫描。
在您选择的命令行工具中执行curl命令。

确认设置

使用得到方法查看设置的当前值。的OrgSettingsresource还包含许多其他Code42设置的键。因此，要仅查看您的自定义，必须包含org-betway365securityTools-cloud-detection-scan-enable键作为查询参数。