跳到主要内容
联系支持

这篇文章是给谁看的?

Incydr专业,企业,地平线和政府F2
Incydr基础,高级,和政府F1

的Code42控制台中找到您的产品计划帐户菜单

老师,不。

Incydr Professional, Enterprise, Horizon和Gov F2,没有。

Incydr基础,高级和Gov F1,是的。

首页
开始
发布说明
常见问题
api
系统状态
Code42支持

由Code42数据连接监视的云存储活动

  1. 最后一次更新
  2. 另存为PDF

概述

当您使用Code42监控Box、谷歌Drive或Microsoft OneDrive云存储环境时,Code42会检测在该环境中发生的文件事件和文件共享,并在整个Incydr中显示这些详细信息以供进一步调查。

  • 文件事件:当用户添加、编辑、复制或移动以及删除或删除存储在云存储环境中的驱动器中的文件时,Code42检测活动。
  • 文件共享:正如云环境本身通过允许员工通过共享文件进行协作来提高工作效率一样,Code42通过检测文件何时被公开或与外部用户共享以识别可能的未经授权的访问来确保协作。

本文定义了Code42在受监控的云存储环境中检测到的文件事件和文件共享活动,并描述了在整个Incydr中用于显示有关该活动的信息的术语。

文件事件

当Code42检测到云存储环境中的基本文件事件(例如文件添加、修改或删除)时,它会报告特定的活动文件事件元数据中的事件操作

事件动作 描述
创建

日志含义云存储环境中检测到新文件。

  • Code42到环境的连接刚刚被授权,并且Code42正在完成环境中所有文件的清单(初始清单)。
  • 在环境中上传或创建了一个新文件。
  • 将文件从环境中的一个位置复制到另一个位置。新位置中的副本显示为一个新文件。

在最初的清查过程中,Code42检测每个文件的当前共享权限。但是,这些权限不会被标识为导致任何新的公开,因为初始目录正在建立环境当前状态的基线。因此,在建立这一基线时,观察列表上显示的总数不会在初始盘存期间更改或更新。

当在初始目录完成后在新位置创建了已设置共享权限的文件时,Code42捕获新文件事件以及该文件的任何新的共享风险,因为新文件及其权限更改都是环境中的新事件。
理清了 在授权连接之后,Code42自动对云存储环境中的现有文件进行了盘点。这些事件表示用户活动。相反,文件事件元数据对于已编目的事件,表示对文件当前状态的时间点分析。
修改

云存储环境中的现有文件以某种方式被修改。

  • 文件内容已更新
  • 文件重命名
  • 文件从一个文件夹移动到另一个文件夹

  • 现有文件的新版本被上传到环境中
删除 文件被删除、重命名、移动到不同的位置或“垃圾”容器,或从云存储环境中删除。
共享 云存储环境中的文件作为链接或直接与一个或多个用户共享。检查分享类型目标用户字段事件详细信息有关此事件的文件共享权限的详细信息。您也可以点击查看共享查看和管理共享分享类型查看文件共享权限的完整列表

文件共享

您的员工使用云存储环境中可用的工具与其他合作者共享文件。这些工具允许员工更改文件的权限,然后允许其他用户通过链接访问该文件。Code42检测这些权限更改并在文件事件元数据中显示它们。

共享类型

由于Box、谷歌Drive和OneDrive在这些环境中使用不同的术语来共享权限,因此该术语在文件事件元数据中被规范化为以下共享类型。

  • 有链接的人:任何拥有该链接的人(例如,通过包含该URL的电子邮件或通过来自组织的消息传递服务的消息)都可以访问该文件。这种共享类型是由用于在各种云存储接口中共享文件的方法规范化的。云存储环境中的共享类型如下图所示:
    • 箱:有联系的人
    • 谷歌Drive和OneDrive:有链接的人

    因为这种类型的共享只是生成一个可以访问文件的链接,所以无法识别该链接已共享给哪些特定用户。相反,使用云存储环境中的工具(例如,通过自动电子邮件)或云环境之外的外部工具(例如,通过在电子邮件或文本消息中复制和粘贴链接)与他人共享链接。

  • 组织中的任何人:拥有该链接的组织内任何员工都可以访问该文件。云存储环境中的共享类型如下图所示:
    • 箱:你公司的人betway88help
    • 谷歌驱动:<您的组织名称>
      当稍后在谷歌驱动器中查看文件的权限时,这将更改为“<您的组织>中的任何人具有该链接”。
    • OneDrive:您组织中的人员>与链接

    就像有链接的人共享类型,这种类型的共享只是生成一个可以访问文件的链接。betway365安全性由云存储环境控制,要求员工登录,一旦他们通过身份验证成为组织的成员,他们就可以打开文件。由于该链接是使用电子邮件或文本消息与组织中的其他人共享的,因此无法捕获与之共享该文件的特定用户。

  • 与特定的人分享:只有共享文件的指定用户可以访问该文件。云存储环境中的共享类型如下图所示:
    • 箱:仅限受邀人员
    • 谷歌驱动:限制
    • OneDrive:特定的人

    由于此共享方法显式地标识了在您的环境中可以访问文件的用户,因此Code42可以捕获这些电子邮件地址并将它们显示在用户目的地法医搜索。

继承的权限

文件在云存储环境中继承父文件夹的共享权限。例如,Rahul与市场部的同事共享整个\Templates文件夹,以确保他们创建的演示文稿具有一致的外观和感觉。该文件夹中的所有子模板(用于演示文稿、文档等)继承了该权限,除了这些文件本身具有的共享权限外,这些用户还可以访问这些子模板。

并非所有云存储供应商都直接报告文件从其父文件夹继承的权限。由于这个原因,并且由于Code42优先监视文件活动而不是文件夹活动,由于继承权限而导致的权限更改的文件事件可能会延迟出现在文件事件中。此外,文件事件元数据可能不会将继承的权限归属于用户,以避免错误地关联继承的活动。

入站与出站份额

Code42目前不完全支持入站共享,只支持出站共享。

  • 入站分享:组织外部的某人已与您或您的员工共享了文件。例如,外部潜在客户与您的开发人员之一共享敏感的网络连接细节,以帮助您设置自定义应用程序。虽然入站共享可能仍然代表一种风险(您的组织可能可以访问另一家公司的信息,而这可能是不应该的),但它不会对您的信息安全构成内部风险,而Code42是专门开发来解决这个问题的。betway365betway88help
  • 出站分享:您或您的一名员工与组织以外的人共享文件。例如,您的一位销售代表通过电子邮件向前同事发送了一个内部销售提案的链接,其中包含未公布的财务数据,以供查看和建议。这正是Code42设计用来检测和识别的内部风险(由于内部参与者的行为而导致的重要信息的潜在损失)。

已弃用和禁用的共享权限仍可能出现在文件事件元数据中

为了提高安全性,云存储提betway365供商自己可能会弃用共享权限,这样它们就不能再被选择或应用于文件。例如,谷歌最近弃用了“web上的公共”共享选项,该选项既可以创建指向文件的链接,也可以让搜索引擎对其进行索引和搜索。这种共享选项导致了开放访问:任何使用正确搜索词的人都可以直接在谷歌搜索引擎中找到并打开文件。同样,安全管理员可以betway365选择通过禁用某些共享方法来加强云存储环境中的安全性,以防止用户对文件应用这些共享权限。

大多数云存储提供商不会追溯删除或更改已经使用已弃用或禁用权限的任何文件的权限。对于使用禁用权限的文件,云存储提供商可能会在用户单击链接时通过施加更严格的安全设置来阻止某些用户访问该文件,但他们通常不会更改文件的共享权限本身。betway365因此,已经使用已弃用或禁用权限的文件将使用这些设置进行维护,对云存储环境中这些文件的更新将在文件事件元数据中作为公共共享事件报告。请记住,复制文件还会将原始文件使用的任何已弃用或禁用的共享权限应用到新副本。