自定义应用程序监控文件泄露- Code42支持

概述

本文解释了如何使用Code42 API自定义为文件泄露而监视的应用程序列表。默认情况下，Code42监控通常用于上传和下载文件的应用程序的活动，如web浏览器、Slack、AirDrop、FileZilla、FTP和cURL。按照以下步骤添加到被监视应用程序的默认列表。

本文中的示例使用旋度，但这些概念适用于与Code42 API交互的任何工具．

监视自定义应用程序可能导致意想不到的结果
Code42监控的默认应用程序会定期测试，以确保高保真的结果。添加自定义应用程序，特别是用于正常业务目的时，可能会导致意外和不受欢迎的行为，包括:

不必要的噪音:自定义应用程序可能会报告与文件泄露风险无关的“正常”文件活动事件。
缺少目的地详细信息和其他元数据:自定义应用程序可能无法捕获所有元数据，包括目的地详细信息，例如标签标题和URL．此外,目的地类别而且目的地风险指标报告为未知的．
无法评估信任:由于没有为自定义应用程序捕获目标信息，因此无法根据的列表筛选事件信任的活动．这意味着自定义应用程序中的所有活动都被认为是不可信的。

由于上面列出的所有原因，不要添加用于正常业务目的的自定义应用程序。如果没有目的地信息，就很难区分“正常”使用和风险使用。

注意事项

属性的Code42用户必须具有凭据组织管理或跨机构管理的角色。
添加自定义不会更改应用程序列表Code42默认情况下进行监控．
在Mac设备上，授予Code42完全的磁盘访问权限，以确保监视应用程序的文件泄露的必要权限。看到macOS权限内部风险代理欲知详情。

Code42开发者门户
看到Code42开发者门户获取更多API文档和资源。门户提供:

Incydr方法文档的单一访问点，包括Code42的方法REST API， Python SDKpy42,命令行界面
单个请求URL对于每个云实例的Code42 API调用
API参考文档

尽可能多地使用Code42开发者门户来满足您的API需求。门户中的api是Incydr用户与Code42集成的首选方式。如果您使用的Code42 api没有出现在Code42开发者门户上，联系我们的技术支持工程师以获得与Code42集成的最佳方式的指导。

API请求详细信息

请求URL
- 美国:
  - 如果您在https://console.us.code42.com (US1)登录到Code42控制台，请使用:
    https://console.us.code42.com/api/v1/
  - 如果您登录到Code42控制台https://console.us2.code42.com(2)使用方法:
    https://console.us2.code42.com/api/v1/
  - 如果您在https://console.gov.code42.com (US3)登录到Code42联邦环境的Code42控制台，请使用:
    https://console.gov.code42.com/api/v1/
- 爱尔兰:
  - 如果您在https://console.ie.code42.com (EU1)登录到Code42控制台，请使用:
    https://console.ie.code42.com/api/v1/
资源:OrgSettings
密钥:
- 窗口:device_org_winAppActivity_binaryWhitelist
- 麦克:device_org_macAppActivity_binaryWhitelist
方法：得到查看您的自定义;把修改定制;删除要删除自定义

查看和更新被监控的应用程序

步骤1:找到数字OrgID

Incydr基础，高级，和政府F1

要查看和编辑监视的应用程序列表，必须首先确定适用组织的数字ID。

登录到Code42控制台．
选择管理>环境>组织．
选择一个机构:
- 要将相同的值应用到整个Code42环境，请选择顶级组织。该组织位于组织层次结构的顶端，是所有其他组织的父组织。
- 若要根据组织应用不同的值，请选择要修改的每个组织，并分别为每个组织重复下面的步骤。
在web浏览器的地址栏中，请注意URL中的数字ID在“组织”之后，但在任何查询或令牌参数之前。本例中OrgID为123456:https://console.us.code42.com/console/#/organization/123456?t=78910

步骤2:查看现有定制

使用得到方法查看正在监视的用于文件泄露的现有自定义应用程序。的OrgSettingsresource还包含许多其他Code42设置的键。因此，要仅查看您的自定义，必须包含device_org_winAppActivity_binaryWhitelist或device_org_macAppActivity_binaryWhitelist键作为查询参数。

下面的例子假设对旋度命令。使用这个模板创建一个特定于Code42环境的命令:

curl -X GET \ '< request_url >/ api / v1 / OrgSettings /< OrgID >?keys=device_org_winAppActivity_binaryWhitelist' \ -H 'cache-control: no-cache' \ -H 'content-type: application/json' \ -H '授权:持有者< auth_token>”

取代< request_url >与Code42环境的地址(请不要在申请表格内附上括号)。
取代< OrgID >中识别的数字上面的第一步(请不要在申请表格内附上括号)。
取代< auth_token >与身份验证令牌．
在您选择的命令行工具中执行curl命令。当出现提示时，输入密码。
Code42 API返回自定义应用程序列表。如果没有自定义应用程序，则数据参数在响应中为空。
对于Mac设备，使用该键重复上述步骤device_org_macAppActivity_binaryWhitelist．

步骤3:更新应用程序

使用把方法更新现有的自定义应用程序列表。在发送任何更新之前，请确保完成上面的步骤2以获得现有自定义列表。

更新将覆盖现有值
的OrgSettingsAPI资源不会自动添加到现有值。所有把请求完全替换现有值。因此，要更改现有的自定义，必须首先获取当前值的列表，对列表进行更改，然后提交更改后的列表。

下面的步骤假设基本熟悉旋度命令。使用以下示例作为模板，创建一个特定于Code42环境的命令:

curl -X PUT \ '< request_url >/ api / v1 / OrgSettings /< OrgID >' \ -H 'content-type: application/json' \ -H '授权:持有者< auth_token >" \ -d " {"packets": [{"key": "device_org_winAppActivity_binaryWhitelist"， "value": "customProcess.exe, customProcess2.exe"， "locked": true}]}'

取代< request_url >与Code42环境的地址(请不要在申请表格内附上括号)。
取代< OrgID >中识别的数字上面的第一步(请不要在申请表格内附上括号)。
取代< auth_token >与身份验证令牌．
属性的引号内编辑列表价值参数，以包括要监视的应用程序的名称。
在您选择的命令行工具中执行curl命令。
对于Mac设备:
- 使用该键重复上述步骤device_org_macAppActivity_binaryWhitelist
- 使用进程的名称，而不是应用程序包的名称。
- 如果进程名包含空格，则不要添加额外的引号或转义字符。例如:"value": "CustomProcess1,Custom Process 2"是正确的格式。
要确认应用了新设置，请重新提交得到要求载于以上步骤2并查看自定义应用程序列表。

删除自定义

Incydr专业，企业，地平线和政府F2

需要Code42应用程序1.7.0或更高版本。对于Code42应用程序1.6.2及更早版本，按照以下步骤执行将自定义应用程序列表更新为空值．

使用删除方法删除自定义的受监视应用程序列表。

包括关键参数，以防止删除其他系统设置
要测试此请求，请先将其作为得到要求载于以上步骤2并确保响应只包括device_org_winAppActivity_binaryWhitelist或device_org_macAppActivity_binaryWhitelist关键。然后重新提交删除请求。

的OrgSettingresource还包含许多其他Code42设置的键。因此，在请求URL中列出正确的键作为查询参数是非常重要的。仅指定此键失败将导致此请求删除其他系统设置。

下面的步骤假设基本熟悉旋度命令。使用以下示例作为模板，创建一个特定于Code42环境的命令:

DELETE \ '< request_url >/ api / v1 / OrgSettings /< OrgID >?keys=device_org_winAppActivity_binaryWhitelist' \ -H 'cache-control: no-cache' \ -H 'content-type: application/json' \ -H '授权:持有者< auth_token >＇

取代< request_url >与Code42环境的地址(请不要在申请表格内附上括号)。
取代< OrgID >中识别的数字上面的第一步(请不要在申请表格内附上括号)。
取代< auth_token >与身份验证令牌．
在您选择的命令行工具中执行curl命令。
一个204无内容响应表示Code42云收到请求并删除了您的自定义监视应用程序列表。
对于Mac设备，使用该键重复上述步骤device_org_macAppActivity_binaryWhitelist．
要确认已删除自定义，请重新提交得到要求载于以上步骤2并查看监控应用程序列表。

Incydr基础，高级，和政府F1

若要删除自定义的受监视应用程序列表，请执行步骤3:更新应用程序将自定义应用程序列表更新为空价值：

“价值”:“

查看Code42 defaults

默认情况下，Code42监控通常用于上传和下载文件的应用程序的活动，如web浏览器、Slack、AirDrop、FileZilla、FTP和cURL。检查默认值可以帮助您确定是否需要自定义(如果应用程序已经处于监视状态，则不需要将其添加到自定义列表)。

要查看Code42的默认值，请使用上面的步骤提交一个得到请求，但使用org_betway365securityTools_win_binary_whitelist(Windows)或org_betway365securityTools_mac_binary_whitelist(Mac)键代替。例如:

curl -X GET \ '< request_url >/ api / v1 / OrgSettings /< OrgID >?keys=org_betway365securityTools_win_binary_whitelist' \ -H 'cache-control: no-cache' \ -H 'content-type: application/json' \ -H '授权:持有者< auth_token >＇

取代< request_url >与Code42环境的地址(请不要在申请表格内附上括号)。
取代< OrgID >中识别的数字上面的第一步(请不要在申请表格内附上括号)。
取代< auth_token >与身份验证令牌．
在您选择的命令行工具中执行curl命令。

这些是只读键;您可以查看默认值，但不能更改。还要注意，Code42可能会根据需要更新这些默认值，以改进泄露检测。

外部资源

旋度:命令行工具和库引用

概述

注意事项

API请求详细信息

查看和更新被监控的应用程序

步骤1:找到数字OrgID

Incydr专业，企业，地平线和政府F2

Incydr基础，高级，和政府F1

步骤2:查看现有定制

步骤3:更新应用程序

删除自定义

Incydr专业，企业，地平线和政府F2

Incydr基础，高级，和政府F1

查看Code42 defaults

外部资源

相关的话题