自定义监控文件泄露的应用程序
这篇文章是给谁看的?
老师,不。
Incydr Professional, Enterprise, Horizon和Gov F2,是的。
Incydr基础,高级和Gov F1,是的。
概述
本文解释了如何使用Code42 API自定义为文件泄露而监视的应用程序列表。默认情况下,Code42监控通常用于上传和下载文件的应用程序的活动,如web浏览器、Slack、AirDrop、FileZilla、FTP和cURL。按照以下步骤添加到被监视应用程序的默认列表。
本文中的示例使用旋度,但这些概念适用于与Code42 API交互的任何工具.
Code42监控的默认应用程序会定期测试,以确保高保真的结果。添加自定义应用程序,特别是用于正常业务目的时,可能会导致意外和不受欢迎的行为,包括:
- 不必要的噪音:自定义应用程序可能会报告与文件泄露风险无关的“正常”文件活动事件。
- 缺少目的地详细信息和其他元数据:自定义应用程序可能无法捕获所有元数据,包括目的地详细信息,例如标签标题和URL.此外,目的地类别而且目的地风险指标报告为未知的.
- 无法评估信任:由于没有为自定义应用程序捕获目标信息,因此无法根据的列表筛选事件信任的活动.这意味着自定义应用程序中的所有活动都被认为是不可信的。
由于上面列出的所有原因,不要添加用于正常业务目的的自定义应用程序。如果没有目的地信息,就很难区分“正常”使用和风险使用。
注意事项
- 属性的Code42用户必须具有凭据组织管理或跨机构管理的角色。
- 添加自定义不会更改应用程序列表Code42默认情况下进行监控.
- 在Mac设备上,授予Code42完全的磁盘访问权限,以确保监视应用程序的文件泄露的必要权限。看到macOS权限内部风险代理欲知详情。
API请求详细信息
- 请求URL
- 美国:
- 如果您在https://console.us.code42.com (US1)登录到Code42控制台,请使用:
https://console.us.code42.com/api/v1/ - 如果您登录到Code42控制台https://console.us2.code42.com(2)使用方法:
https://console.us2.code42.com/api/v1/ - 如果您在https://console.gov.code42.com (US3)登录到Code42联邦环境的Code42控制台,请使用:
https://console.gov.code42.com/api/v1/
- 如果您在https://console.us.code42.com (US1)登录到Code42控制台,请使用:
- 爱尔兰:
- 如果您在https://console.ie.code42.com (EU1)登录到Code42控制台,请使用:
https://console.ie.code42.com/api/v1/
- 如果您在https://console.ie.code42.com (EU1)登录到Code42控制台,请使用:
- 美国:
- 资源:
OrgSettings
- 密钥:
- 窗口:
device_org_winAppActivity_binaryWhitelist
- 麦克:
device_org_macAppActivity_binaryWhitelist
- 窗口:
- 方法:
得到
查看您的自定义;把
修改定制;删除
要删除自定义
查看和更新被监控的应用程序
步骤1:找到数字OrgID
Incydr基础,高级,和政府F1
要查看和编辑监视的应用程序列表,必须首先确定适用组织的数字ID。
- 登录到Code42控制台.
- 选择管理>环境>组织.
- 选择一个机构:
- 要将相同的值应用到整个Code42环境,请选择顶级组织。该组织位于组织层次结构的顶端,是所有其他组织的父组织。
- 若要根据组织应用不同的值,请选择要修改的每个组织,并分别为每个组织重复下面的步骤。
- 在web浏览器的地址栏中,请注意URL中的数字ID在“组织”之后,但在任何查询或令牌参数之前。本例中OrgID为123456:https://console.us.code42.com/console/#/organization/123456?t=78910
步骤2:查看现有定制
使用得到
方法查看正在监视的用于文件泄露的现有自定义应用程序。的OrgSettings
resource还包含许多其他Code42设置的键。因此,要仅查看您的自定义,必须包含device_org_winAppActivity_binaryWhitelist
或device_org_macAppActivity_binaryWhitelist
键作为查询参数。
下面的例子假设对旋度命令。使用这个模板创建一个特定于Code42环境的命令:
curl -X GET \ '< request_url >
/ api / v1 / OrgSettings /< OrgID >
?keys=device_org_winAppActivity_binaryWhitelist' \ -H 'cache-control: no-cache' \ -H 'content-type: application/json' \ -H '授权:持有者< auth_token
>”
- 取代
< request_url >
与Code42环境的地址(请不要在申请表格内附上括号)。 - 取代
< OrgID >
中识别的数字上面的第一步(请不要在申请表格内附上括号)。 - 取代
< auth_token >
与身份验证令牌. - 在您选择的命令行工具中执行curl命令。当出现提示时,输入密码。
Code42 API返回自定义应用程序列表。如果没有自定义应用程序,则数据
参数在响应中为空。 - 对于Mac设备,使用该键重复上述步骤
device_org_macAppActivity_binaryWhitelist
.
步骤3:更新应用程序
使用把
方法更新现有的自定义应用程序列表。在发送任何更新之前,请确保完成上面的步骤2以获得现有自定义列表。
的
OrgSettings
API资源不会自动添加到现有值。所有把
请求完全替换现有值。因此,要更改现有的自定义,必须首先获取当前值的列表,对列表进行更改,然后提交更改后的列表。下面的步骤假设基本熟悉旋度命令。使用以下示例作为模板,创建一个特定于Code42环境的命令:
curl -X PUT \ '< request_url >
/ api / v1 / OrgSettings /< OrgID >
' \ -H 'content-type: application/json' \ -H '授权:持有者< auth_token >
" \ -d " {"packets": [{"key": "device_org_winAppActivity_binaryWhitelist", "value": "customProcess.exe, customProcess2.exe
", "locked": true}]}'
- 取代
< request_url >
与Code42环境的地址(请不要在申请表格内附上括号)。 - 取代
< OrgID >
中识别的数字上面的第一步(请不要在申请表格内附上括号)。 - 取代
< auth_token >
与身份验证令牌. - 属性的引号内编辑列表
价值
参数,以包括要监视的应用程序的名称。 - 在您选择的命令行工具中执行curl命令。
- 对于Mac设备:
- 使用该键重复上述步骤
device_org_macAppActivity_binaryWhitelist
- 使用进程的名称,而不是应用程序包的名称。
- 如果进程名包含空格,则不要添加额外的引号或转义字符。例如:
"value": "CustomProcess1,Custom Process 2"
是正确的格式。
- 使用该键重复上述步骤
- 要确认应用了新设置,请重新提交
得到
要求载于以上步骤2并查看自定义应用程序列表。
删除自定义
Incydr专业,企业,地平线和政府F2
Incydr基础,高级,和政府F1
查看Code42 defaults
默认情况下,Code42监控通常用于上传和下载文件的应用程序的活动,如web浏览器、Slack、AirDrop、FileZilla、FTP和cURL。检查默认值可以帮助您确定是否需要自定义(如果应用程序已经处于监视状态,则不需要将其添加到自定义列表)。
要查看Code42的默认值,请使用上面的步骤提交一个得到
请求,但使用org_betway365securityTools_win_binary_whitelist
(Windows)或org_betway365securityTools_mac_binary_whitelist
(Mac)键代替。例如:
curl -X GET \ '< request_url >
/ api / v1 / OrgSettings /< OrgID >
?keys=org_betway365securityTools_win_binary_whitelist' \ -H 'cache-control: no-cache' \ -H 'content-type: application/json' \ -H '授权:持有者< auth_token >
'
- 取代
< request_url >
与Code42环境的地址(请不要在申请表格内附上括号)。 - 取代
< OrgID >
中识别的数字上面的第一步(请不要在申请表格内附上括号)。 - 取代
< auth_token >
与身份验证令牌. - 在您选择的命令行工具中执行curl命令。
这些是只读键;您可以查看默认值,但不能更改。还要注意,Code42可能会根据需要更新这些默认值,以改进泄露检测。
外部资源
- 旋度:命令行工具和库引用