通过API排除文件元数据收集
概述
本文解释如何使用Code42 API定义文件类型和文件路径列表,以排除在文件元数据收集监视之外。这有助于确保用户设备不会花费资源为您不感兴趣的文件索引元数据。它还可以防止不相关或不重要的文件事件出现在仪表板可视化、警报和取证搜索结果中。本文中的示例使用旋度,但这些概念适用于任何你选择的与Code42 API交互的工具.
使用Code42控制台
您可以使用Code42控制台而不是Code42 API来从监控中排除文件类型和路径。看到文件事件排除获取详细信息。使用Code42控制台可以提供更流畅、更不易出错的体验。
您可以使用Code42控制台而不是Code42 API来从监控中排除文件类型和路径。看到文件事件排除获取详细信息。使用Code42控制台可以提供更流畅、更不易出错的体验。
API请求详细信息
- 请求URL
- 美国:
- 如果您在https://console.us.code42.com (US1)登录到Code42控制台,请使用:
https://console.us.code42.com/api/v1/ - 如果您在https://console.us2.code42.com (US2)登录到Code42控制台,请使用:
https://console.us2.code42.com/api/v1/ - 如果您在https://console.gov.code42.com (US3)登录到Code42联邦环境的Code42控制台,请使用:
https://console.gov.code42.com/api/v1/
- 如果您在https://console.us.code42.com (US1)登录到Code42控制台,请使用:
- 爱尔兰:
- 如果您在https://console.ie.code42.com (EU1)登录到Code42控制台,请使用:
https://console.ie.code42.com/api/v1/
- 如果您在https://console.ie.code42.com (EU1)登录到Code42控制台,请使用:
- 美国:
- 资源:
OrgSettings - 关键:
- Incydr基本、高级等计划:
device_fileForensics_fileExclusions_org - Incydr专业版、企业版、地平线版和政府版F2:
artemis_device_fileForensics_fileExclusions_org
- Incydr基本、高级等计划:
- 方法:
得到查看现有的除外条款;把添加或更新排除项
查看和更新排除项
第一步:找到你的顶级OrgID
若要查看和编辑排除,必须首先标识顶级组织的数字ID。
Incydr基础,高级,和政府F1
- 登录到Code42控制台.
- 选择管理>环境>组织.
- 选择顶级组织。该组织位于组织层次结构的顶端,是所有其他组织的父组织。
- 在web浏览器的地址栏中,请注意URL中的数字ID在“组织”之后,但在任何查询或令牌参数之前。本例中OrgID为123456:https://console.us.code42.com/console/#/organization/123456? t = 78910
步骤2:查看现有的排除
使用得到方法查看现有排除项。的OrgSettingsresource还包含许多其他Code42设置的键。因此,若要仅查看排除项,则必须包含适当的关键作为查询参数。
下面的例子假设对旋度命令。使用这个模板创建一个特定于Code42环境的命令:
复制!
curl -X GET \ '< request_url >/ api / v1 / OrgSettings /< OrgID >?keys=device_fileForensics_fileExclusions_org' \ -H 'cache-control: no-cache' \ -H 'content-type: application/json' \ -H '授权:持有者< auth_token >'
- 取代
< request_url >与Code42环境的地址(请不要在申请表格内附上括号)。 - 取代
< OrgID >使用上述第1步所指明的号码(在申请表格中不包括括号)。 - 取代< auth_token >与一个身份验证令牌.
- 对于Incydr专业版、企业版、地平线版和政府版F2,将密钥从
device_fileForensics_fileExclusions_org来artemis_device_fileForensics_fileExclusions_org. - 在您选择的命令行工具中执行curl命令。当出现提示时,输入密码。
Code42 API返回现有的排除。如果不存在排除条款,则数据对象在响应中的值为空。
步骤3:更新或添加新的排除项
使用把方法添加或修改排除项。在发送任何更新之前,请确保完成上面的步骤2以获得现有排除列表。
更新将覆盖现有的排除
的
的
OrgSettingsAPI资源不会自动添加到现有值。所有把请求完全替换现有值。因此,要向现有的排除项进行添加,必须首先获得当前排除项的列表,并重新提交包含新添加项的整个列表。下面的步骤假设基本熟悉旋度命令。使用以下示例作为模板,创建特定于Code42环境的命令。
复制!
curl -X PUT \ '< request_url >/ api / v1 / OrgSettings /< OrgID >' \ -H 'content-type: application/json' \ -H '授权:持有者< auth_token >‘\ d{“数据包”:[{“关键”:“device_fileForensics_fileExclusions_org”,“价值”:{“所有”:["。*缓存。*’”,“麦金塔”:“。* .db”,“窗口”:["。*。Etl '", "'.*.tmp'"], "linux": ["'/sys/. tmp'"*’”、“‘/ proc /。*'"]}, "locked": true}]}'
- 取代
< request_url >与Code42环境的地址(请不要在申请表格内附上括号)。 - 取代
< OrgID >使用上述第1步所指明的号码(在申请表格中不包括括号)。 - 取代< auth_token >与一个身份验证令牌.
- 对于Incydr专业版、企业版、地平线版和政府版F2,将密钥从
device_fileForensics_fileExclusions_org来artemis_device_fileForensics_fileExclusions_org. - 使用regex为Code42环境中使用的每个操作系统定义排除。为每个操作系统定义特定的排除项可以最大限度地减少用户设备上所需的资源。在这个例子中:
- 属性的文件将被所有设备排除.cache扩展
- Mac设备将排除带有.db扩展
- 属性的文件将被排除在外.etl而且.tmp扩展
- Linux设备将排除sys而且proc目录
- 在您选择的命令行工具中执行curl命令。当出现提示时,输入密码。
一个204无内容响应表示Code42云收到请求并将排除应用到用户设备。
删除所有排除项
使用删除方法删除所有排除项。为防止无意中删除其他系统设置,你必须包括的适当的关键作为查询参数。
包括关键参数,以防止删除其他系统设置
要测试此请求,请先将其作为
的
要测试此请求,请先将其作为
得到请求,并确保响应只包括device_fileForensics_fileExclusions_org或artemis_device_fileForensics_fileExclusions_org关键。然后重新提交删除请求。的
OrgSettingresource还包含许多其他Code42设置的键。因此,列出清单是非常重要的正确的关键作为请求URL中的查询参数。指定密钥失败将导致此请求删除其他系统设置。下面的例子假设对旋度命令。使用这个模板创建一个特定于Code42环境的curl命令:
复制!
DELETE \ '< request_url >/ api / v1 / OrgSettings /< OrgID >?keys=device_fileForensics_fileExclusions_org' \ -H 'cache-control: no-cache' \ -H 'content-type: application/json' \ -H '授权:持有者< auth_token >'
- 取代
< request_url >与Code42环境的地址(请不要在申请表格内附上括号)。 - 取代
< OrgID >使用上述第1步所指明的号码(在申请表格中不包括括号)。 - 取代< auth_token >与一个身份验证令牌.
- 对于Incydr专业版、企业版、地平线版和政府版F2,将密钥从
device_fileForensics_fileExclusions_org来artemis_device_fileForensics_fileExclusions_org. - 在您选择的命令行工具中执行curl命令。当出现提示时,输入密码。
一个204无内容response表示Code42云收到请求并删除了所有排除。