API访问
概述
本文解释了Code42 API的基本访问权和完全访问权之间的区别。您的访问取决于您的Incydr产品计划:
基地的访问 | 完全访问 | |
---|---|---|
Incydr基本 | ||
Incydr先进 | ||
Incydr Gov F1 | ||
Incydr专业 | ||
Incydr企业 | ||
Incydr Gov F2 | ||
Incydr地平线 |
有关产品计划提供的Code42 API访问级别的更多信息,请参阅以下文章中的“集成”:
注意事项
- 不确定哪个级别的API访问适合您?联系您的客户成功经理(CSM)聘请Code42系统工程师。
- 看到Code42开发者门户参阅Code42 api的完整文档。
基地的访问
对Code42 API的基本访问为您提供包含在Incydr警报中的元数据。基地访问是执行工作流自动化和警报分类的理想选择。它提供了关闭警报或在Incydr内部进行进一步调查所需的内容。使用基本访问,您将收到暴露事件中涉及的前10个文件的元数据。您没有下载公开文件内容的权限。
以下是收集元数据的示例:
- 用户名
- 事件的时间范围
- 文件数量
- 前10个公开文件的文件名
- 前10个公开的文件路径
- 文件总大小
- 涉及的文件类别
- 接触类型
- IP地址
有关收集的警报元数据的完整详细信息,请参见警报详细信息.
完全访问
对Code42 API的完全访问为您提供了Incydr收集的所有元数据,无论它是否与警报相关联。这包括用于创建、修改、删除和公开事件的元数据以及公开文件的内容。当您需要执行基于api的调查工作流或希望使用Incydr文件元数据来关联和确认由其他安全技术触发的警报时(例如在受威胁的用户场景中),完全访问是理想的。betway365
以下是收集元数据的示例:
- 基本API提供的所有元数据
- 为警报中涉及的所有文件归档元数据
- MD5/SHA256文件哈希
- 文件创建和修改日期
- 文件所有者
- 处理用户
- 设备主机名
- 完全限定域名FQDN
- 可移动媒体:总线类型,容量,供应商名称,分区ID,序列号
有关收集的所有元数据的完整详细信息,请参见文件事件元数据引用.
示例用例
基本或完全API访问
自动化工作流
从人力资本管理(HCM)应用程序摄取就业结束日期,以自动将用户添加到离职监视列表。
从身份和访问管理(IAM)解决方案获取就业信息,以自动将合同员工添加到承包商监视列表。
向Slack发送Incydr警报,以支持适当大小的响应工作流。
分流警报
- 将路由和分类的Incydr警报发送到票务工具、安全信息和事件管理(SIEM)应用程序或安全编排、自动化和响应(SOAR)解决方案。betway365
完全API访问
调查文件移动
使用SOAR解决方案查询Incydr,以关联当身份和访问管理(IAM)解决方案检测到用户已从其他国家的IP地址登录时,是否有任何文件被窃取。
使用SOAR解决方案查询Incydr,以便在端点检测和响应(EDR)应用程序确定系统受到威胁时,关联是否有任何文件离开端点。
调查高容量事件
- 在调查期间,如果一名员工将数百个文件转移到闪存驱动器上,则可以获得对所有文件元数据的完全访问权。
与用户和实体行为分析(UEBA)系统集成
- 将Incydr收集的完整文件元数据发送到您的UEBA系统,以执行用户行为的深入分析