Code42内幕威胁应用程序Splunk参考gydF4y2Ba
概述gydF4y2Ba
本文描述了Splunk的Code42内部威胁应用程序中可用的仪表板。Splunk是一个数据分析监控和可视化的解决方案。Splunk的Code42内部威胁应用程序添加了特定的Code42gydF4y2Ba指示板gydF4y2Ba来gydF4y2BaSplunk的企业gydF4y2Ba或gydF4y2BaSplunk的云gydF4y2Ba显示整个Code42环境中发生的活动,这可以帮助您识别内部风险。您还可以从Code42摄取审计日志和设备运行状况数据。gydF4y2Ba
要安装应用程序,请参见gydF4y2Ba为Splunk安装和管理Code42内部威胁应用程序gydF4y2Ba.gydF4y2Ba
注意事项gydF4y2Ba
- 要使用Code42内部威胁应用程序的Splunk,你必须有一个现有的gydF4y2BaSplunk的企业gydF4y2Ba7.0或更高版本的环境或gydF4y2BaSplunk的云gydF4y2Ba环境。gydF4y2Ba
- 在Code42内部威胁应用程序提供的数据Splunk取决于你的gydF4y2Ba产品计划gydF4y2Ba.gydF4y2Ba
访问Code42内部威胁应用程序SplunkgydF4y2Ba
- 启动Splunk企业gydF4y2Ba或gydF4y2Ba启动Splunk CloudgydF4y2Ba.gydF4y2Ba
- 关于你的SplunkgydF4y2Ba主页gydF4y2Ba,点击Code42内部威胁插件按钮:gydF4y2Ba
出现“风险暴露概述”仪表板。gydF4y2Ba
Incydr概述仪表板gydF4y2Ba
Incydr Overview仪表板提供了Code42环境中不同类型活动的快照:gydF4y2Ba
- 情况下gydF4y2Ba
- 文件活动最多的员工gydF4y2Ba
- 监控名单用户gydF4y2Ba
使用此仪表板可快速识别异常活动并在Incydr中进行进一步调查。要访问Incydr Overview仪表板,请单击gydF4y2BaIncydr概述gydF4y2Ba在菜单栏上。gydF4y2Ba
鼠标在数据上访问Splunk搜索gydF4y2Ba
将鼠标悬浮在仪表板上的任何窗格上,然后单击搜索图标gydF4y2Ba
执行gydF4y2BaSplunk的搜索gydF4y2Ba在数据点上。您还可以单击图表中的某个段以对该数据执行搜索。gydF4y2Ba
将鼠标悬浮在仪表板上的任何窗格上,然后单击搜索图标gydF4y2Ba
执行gydF4y2BaSplunk的搜索gydF4y2Ba在数据点上。您还可以单击图表中的某个段以对该数据执行搜索。gydF4y2Ba| 项gydF4y2Ba | 描述gydF4y2Ba | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 一个gydF4y2Ba | Splunk菜单栏gydF4y2Ba | Splunk中的默认菜单栏。有关用法,请参见gydF4y2BaSplunk的文档gydF4y2Ba.gydF4y2Ba | ||||||||||
| bgydF4y2Ba | Incydr概述gydF4y2Ba | 查看Code42环境中警报、案例和潜在风险文件活动的快照。gydF4y2Ba | ||||||||||
| cgydF4y2Ba | 曝光指示板gydF4y2Ba | 参见风险暴露指示板,包括特定暴露类型的指示板。gydF4y2Ba | ||||||||||
| dgydF4y2Ba | 输入gydF4y2Ba | 查看或创建输入gydF4y2Ba以确认哪些Code42数据出现在Splunk中。gydF4y2Ba | ||||||||||
| egydF4y2Ba | 配置gydF4y2Ba | 查看并添加连接到Code42环境的帐户,并查看或更新日志级别。gydF4y2Ba | ||||||||||
| fgydF4y2Ba | 搜索gydF4y2Ba | 进行一次gydF4y2Ba自定义搜索gydF4y2Ba.gydF4y2Ba | ||||||||||
| ggydF4y2Ba | 编辑gydF4y2Ba | 编辑gydF4y2Ba仪表板的布局。gydF4y2Ba | ||||||||||
| hgydF4y2Ba | 出口gydF4y2Ba | 使用以下选项从仪表板导出数据:gydF4y2Ba
|
||||||||||
| 我gydF4y2Ba | ...gydF4y2Ba | 在当前仪表板上执行操作。gydF4y2Ba
|
||||||||||
| jgydF4y2Ba | 指数gydF4y2Ba | 选择gydF4y2Ba指数gydF4y2Ba您想要查看的数据。gydF4y2Ba | ||||||||||
| kgydF4y2Ba | 全球时间段gydF4y2Ba | 选择该选项,查看指定时间段的数据。gydF4y2Ba | ||||||||||
| lgydF4y2Ba | 按用户名搜索gydF4y2Ba | 通过单个用户名过滤所有仪表板小部件。你可以用通配符(*)搜索部分字符串。gydF4y2Ba | ||||||||||
| 米gydF4y2Ba | 排除信任设置gydF4y2Ba | 选择“是”以排除可信域上的活动。选择No以包含开启的活动gydF4y2Ba信任域gydF4y2Ba.gydF4y2Ba | ||||||||||
| ngydF4y2Ba | 隐藏过滤器/显示过滤器gydF4y2Ba | 从视图中隐藏或显示筛选器选项。gydF4y2Ba | ||||||||||
| ogydF4y2Ba | 总用户gydF4y2Ba | 全局时间范围内具有文件事件的用户数量。gydF4y2Ba | ||||||||||
| pgydF4y2Ba | 具有关键事件的用户gydF4y2Ba | “全局时间范围”内发生重要文件事件的用户数量。gydF4y2Ba | ||||||||||
| 问gydF4y2Ba | 新的紧急警报gydF4y2Ba | 在全球时间范围内打开的严重警报数量。gydF4y2Ba | ||||||||||
| rgydF4y2Ba | 新未决案件gydF4y2Ba | 的数量gydF4y2Ba情况下gydF4y2Ba在全球时间范围内开放。gydF4y2Ba | ||||||||||
| 年代gydF4y2Ba | 关键活动前20名用户gydF4y2Ba | 前20名用户的列表,根据每个用户在全球时间范围内发生的严重事件的数量进行排名。gydF4y2Ba | ||||||||||
| tgydF4y2Ba | 首选目的地指标gydF4y2Ba | 前10个目的地名称的列表,按事件数量列出。gydF4y2Ba | ||||||||||
| ugydF4y2Ba | Top文件指示灯gydF4y2Ba | 按事件数列出前10个文件类别。gydF4y2Ba | ||||||||||
| vgydF4y2Ba | 最近添加到监视列表的用户的风险活动gydF4y2Ba | 监视列表中的用户列表,按文件事件数量排序。gydF4y2Ba | ||||||||||
曝光指示板gydF4y2Ba
的gydF4y2Ba曝光指示板gydF4y2Ba菜单提供访问有关不同类型的文件公开的以下仪表板:gydF4y2Ba
由浏览器或其他应用程序事件读取是分开的gydF4y2Ba
在Code42控制台中,浏览器和应用程序的读取是gydF4y2Ba属于同一暴露类型gydF4y2Ba.在Splunk中,web浏览器事件和其他应用程序事件(如Slack, AirDrop, FTP和curl)显示在单独的仪表板上,以方便使用。gydF4y2Ba
在Code42控制台中,浏览器和应用程序的读取是gydF4y2Ba属于同一暴露类型gydF4y2Ba.在Splunk中,web浏览器事件和其他应用程序事件(如Slack, AirDrop, FTP和curl)显示在单独的仪表板上,以方便使用。gydF4y2Ba
风险暴露概述gydF4y2Ba
“风险暴露概览”仪表板提供了Code42环境中可能指示风险的文件活动的高级视图。gydF4y2Ba
要访问“风险暴露概述”仪表板,请单击gydF4y2Ba风险暴露仪表板>风险暴露概述gydF4y2Ba在菜单栏上。gydF4y2Ba
鼠标在数据上访问Splunk搜索gydF4y2Ba
将鼠标悬浮在仪表板上的任何窗格上,然后单击搜索图标gydF4y2Ba执行gydF4y2BaSplunk的搜索gydF4y2Ba在数据点上。您还可以单击图表中的某个段以对该数据执行搜索。gydF4y2Ba
将鼠标悬浮在仪表板上的任何窗格上,然后单击搜索图标gydF4y2Ba
执行gydF4y2BaSplunk的搜索gydF4y2Ba在数据点上。您还可以单击图表中的某个段以对该数据执行搜索。gydF4y2Ba| 项gydF4y2Ba | 描述gydF4y2Ba | |
|---|---|---|
| 一个gydF4y2Ba | 指数gydF4y2Ba | 选择gydF4y2Ba指数gydF4y2Ba您想要查看的数据。gydF4y2Ba |
| bgydF4y2Ba | 文件类别gydF4y2Ba | 可选地按文件类别筛选数据。gydF4y2Ba |
| cgydF4y2Ba | 排除可信域?gydF4y2Ba | 选择以排除内发生的事件gydF4y2Ba信任域gydF4y2Ba.gydF4y2Ba |
| dgydF4y2Ba | 时间范围gydF4y2Ba | 选择该选项,查看指定时间段的数据。gydF4y2Ba |
| egydF4y2Ba | 关键字搜索gydF4y2Ba | 通过关键字搜索文件路径、文件名、选项卡URL和窗口标题。gydF4y2Ba |
| fgydF4y2Ba | 隐藏过滤器/显示过滤器gydF4y2Ba | 从视图中隐藏或显示筛选器选项。gydF4y2Ba |
| ggydF4y2Ba | 独特的用户gydF4y2Ba |
显示具有文件泄露活动的唯一用户的数量。gydF4y2Ba |
| hgydF4y2Ba | 曝光事件gydF4y2Ba | 显示符合筛选条件的暴露事件总数。gydF4y2Ba |
| 我gydF4y2Ba | 浏览器读取gydF4y2Ba | 显示上传到web浏览器的文件数量。gydF4y2Ba |
| jgydF4y2Ba | 应用程序读取gydF4y2Ba | 显示常用的文件上传应用(如Slack、AirDrop、FTP客户端、curl)中打开的文件数。gydF4y2Ba |
| kgydF4y2Ba | 云文件共享gydF4y2Ba | 显示云服务中某个文件的权限增加的文件数。gydF4y2Ba |
| lgydF4y2Ba | 云桌面同步gydF4y2Ba | 显示设备上用于与云服务(如Box或谷歌Drive)同步的文件夹中存在的文件数。gydF4y2Ba |
| 米gydF4y2Ba | 可移动媒体传输gydF4y2Ba | 显示移动到外部设备(如USB驱动器、存储卡或其他外部驱动器)的文件数量。gydF4y2Ba |
| ngydF4y2Ba | 随时间变化的文件活动gydF4y2Ba | 按文件类别随时间显示文件过滤活动。gydF4y2Ba |
| ogydF4y2Ba | 按文件类别划分的文件活动gydF4y2Ba | 按文件类别显示文件事件的总数。gydF4y2Ba |
| pgydF4y2Ba | 按文件类型划分的Top 20用户gydF4y2Ba | 显示文件事件数量最多的用户。gydF4y2Ba |
可移动媒体传输gydF4y2Ba
可移动媒体传输仪表板提供有关发生在外部设备(如外部驱动器或内存卡)上的文件活动的数据。gydF4y2Ba
若要访问可移动媒体传输仪表板,请单击gydF4y2Ba曝光仪表板>可移动媒体传输gydF4y2Ba在菜单栏上。gydF4y2Ba
| 项gydF4y2Ba | 描述gydF4y2Ba | |
|---|---|---|
| 一个gydF4y2Ba | 独特的用户gydF4y2Ba | 显示具有可移动媒体文件泄露事件的唯一用户的数量。单击该值可在自定义搜索中查看详细信息。gydF4y2Ba |
| bgydF4y2Ba | 暴露的总兆字节gydF4y2Ba | 显示通过可移动媒体泄露的文件的总大小。单击该值可在自定义搜索中查看详细信息。gydF4y2Ba |
| cgydF4y2Ba | 曝光事件gydF4y2Ba | 显示通过可移动媒体的文件泄露事件的数量。单击该值可在自定义搜索中查看详细信息。gydF4y2Ba |
| dgydF4y2Ba | 随时间变化的文件活动gydF4y2Ba | 显示可移动媒体文件活动,按文件类别,随着时间的推移。单击图形上的一条线以按该文件类别进行过滤。gydF4y2Ba |
| egydF4y2Ba | 按文件类别划分的文件活动gydF4y2Ba | 按文件类别显示可移动媒体文件事件的总数。单击图上的条形图以按该文件类别进行过滤。gydF4y2Ba |
| fgydF4y2Ba | 文件活动前20名用户gydF4y2Ba | 显示可移动媒体文件事件数量最多的用户。单击用户名,可查看gydF4y2Ba用户配置文件gydF4y2Ba在Code42控制台。单击事件数或传输字节数,可在自定义搜索中查看详细信息。gydF4y2Ba |
云文件共享gydF4y2Ba
云文件共享仪表板提供有关的详细数据gydF4y2Ba云服务中公开的文件gydF4y2Ba.gydF4y2Ba
只有获得了一个或多个云服务数据源的许可,数据才会出现在这里。gydF4y2Ba
单击,进入“云文件共享”仪表板gydF4y2Ba曝光仪表板>云文件共享gydF4y2Ba在菜单栏上。gydF4y2Ba
| 项gydF4y2Ba | 描述gydF4y2Ba | |
|---|---|---|
| 一个gydF4y2Ba | 独特的用户gydF4y2Ba | 显示具有文件事件的唯一用户的数量,其中一个或多个用户被授予显式访问文件的权限。单击该值可在自定义搜索中查看详细信息。gydF4y2Ba |
| bgydF4y2Ba | 曝光事件gydF4y2Ba | 查询云共享文件泄露事件数。单击该值可在自定义搜索中查看详细信息。gydF4y2Ba |
| cgydF4y2Ba | 随时间变化的文件活动gydF4y2Ba | 按文件类别显示云共享文件活动随时间的变化。单击图形上的一条线以按该文件类别进行过滤。gydF4y2Ba |
| dgydF4y2Ba | 按暴露类型划分的渗漏分解gydF4y2Ba | 列出云共享公开类型,以及这些事件的数量和唯一用户。gydF4y2Ba |
| egydF4y2Ba | 按文件类别划分的文件活动gydF4y2Ba | 按文件类别显示云共享文件事件总数。单击图上的条形图以按该文件类别进行过滤。gydF4y2Ba |
| fgydF4y2Ba | 文件活动前20名用户gydF4y2Ba | 展示云共享文件事件次数最多的用户。单击用户名或事件数,可在自定义搜索中查看详细信息。gydF4y2Ba |
云桌面同步gydF4y2Ba
“云桌面同步”指示板提供有关存在于用于设备的文件夹中的文件的数据gydF4y2Ba与云服务同步gydF4y2Ba,例如Box或谷歌Drive。gydF4y2Ba
单击,进入“云桌面同步”仪表板gydF4y2Ba曝光仪表板>云桌面同步gydF4y2Ba在菜单栏上。gydF4y2Ba
| 项gydF4y2Ba | 描述gydF4y2Ba | |
|---|---|---|
| 一个gydF4y2Ba | 独特的用户gydF4y2Ba | 显示同步到云服务泄露事件的唯一用户数量。单击该值可在自定义搜索中查看详细信息。gydF4y2Ba |
| bgydF4y2Ba | 曝光事件gydF4y2Ba | 显示同步到云服务的泄露事件数。单击该值可在自定义搜索中查看详细信息。gydF4y2Ba |
| cgydF4y2Ba | 随时间变化的文件活动gydF4y2Ba | 按文件类别显示一段时间内同步到云服务的泄露事件。单击图形上的一条线以按该文件类别进行过滤。gydF4y2Ba |
| dgydF4y2Ba | 按文件类别划分的文件活动gydF4y2Ba | 按文件类别显示同步到云服务泄露事件的总数。单击图上的条形图以按该文件类别进行过滤。gydF4y2Ba |
| egydF4y2Ba | 文件活动前20名用户gydF4y2Ba | 展示同步到云服务泄露事件次数最多的用户。单击用户名,可查看gydF4y2Ba用户配置文件gydF4y2Ba在Code42控制台。单击事件数或传输字节数,可在自定义搜索中查看详细信息。gydF4y2Ba |
| fgydF4y2Ba | 最流行的桌面文件同步目的地gydF4y2Ba | 列出文件事件数量最多的同步目的地,以及与这些事件关联的唯一用户数量。gydF4y2Ba |
浏览器读取gydF4y2Ba
Browser Reads指示板提供了有关文件的数据gydF4y2Ba在网络浏览器中打开gydF4y2Ba.gydF4y2Ba
要访问“浏览器读取”仪表板,请单击gydF4y2Ba曝光仪表板>浏览器读取gydF4y2Ba在菜单栏上。gydF4y2Ba
| 项gydF4y2Ba | 描述gydF4y2Ba | |
|---|---|---|
| 一个gydF4y2Ba | 独特的用户gydF4y2Ba | 显示在web浏览器读取文件时发生文件暴露事件的唯一用户的数量。单击该值可在自定义搜索中查看详细信息。gydF4y2Ba |
| bgydF4y2Ba | 暴露的总兆字节gydF4y2Ba | 显示浏览器读取的文件的总大小。单击该值可在自定义搜索中查看详细信息。gydF4y2Ba |
| cgydF4y2Ba | 曝光事件gydF4y2Ba | 显示按浏览器暴露类型读取的文件泄露事件的数量。单击该值可在自定义搜索中查看详细信息。gydF4y2Ba |
| dgydF4y2Ba | 随时间变化的文件活动gydF4y2Ba | 显示一段时间内按浏览器文件活动、按文件类别读取的文件。单击图形上的一条线以按该文件类别进行过滤。gydF4y2Ba |
| egydF4y2Ba | 按文件类别划分的文件活动gydF4y2Ba | 按文件类别显示按浏览器暴露事件读取的总数。单击图上的条形图以按该文件类别进行过滤。gydF4y2Ba |
| fgydF4y2Ba | 文件活动前20名用户gydF4y2Ba | 显示按浏览器曝光事件读取次数最多的用户。单击用户名,可查看gydF4y2Ba用户配置文件gydF4y2Ba在Code42控制台。单击“事件数”或“已读字节数”,可在自定义搜索中查看详细信息。gydF4y2Ba |
| ggydF4y2Ba | 浏览器按域读取gydF4y2Ba | 列出浏览器文件事件读取次数最多的域,以及与这些事件相关的事件数、唯一用户和读取的字节数。gydF4y2Ba |
应用程序读取gydF4y2Ba
App Reads仪表板提供了在常用的应用程序(如Slack、AirDrop、FTP客户端或curl)中打开的文件的数据。gydF4y2Ba
要访问App Reads仪表板,请单击gydF4y2Ba曝光仪表板>应用程序读取gydF4y2Ba在菜单栏上。gydF4y2Ba
| 项gydF4y2Ba | 描述gydF4y2Ba | |
|---|---|---|
| 一个gydF4y2Ba | 独特的用户gydF4y2Ba | 显示通常用于上传文件的应用程序读取文件时发生曝光事件的唯一用户的数量。单击该值可在自定义搜索中查看详细信息。gydF4y2Ba |
| bgydF4y2Ba | 暴露的总兆字节gydF4y2Ba | 显示应用程序读取的文件的总大小。单击该值可在自定义搜索中查看详细信息。gydF4y2Ba |
| cgydF4y2Ba | 曝光事件gydF4y2Ba | 显示按应用程序曝光类型读取的文件泄露事件的数量。单击该值可在自定义搜索中查看详细信息。gydF4y2Ba |
| dgydF4y2Ba | 随时间变化的文件活动gydF4y2Ba | 显示读取应用程序文件活动,按文件类别,随着时间的推移。单击图形上的一条线以按该文件类别进行过滤。gydF4y2Ba |
| egydF4y2Ba | 按文件类别划分的文件活动gydF4y2Ba | 按文件类别显示按应用程序曝光事件读取的总数。单击图上的条形图以按该文件类别进行过滤。gydF4y2Ba |
| fgydF4y2Ba | 文件活动前20名用户gydF4y2Ba | 展示应用程序曝光事件阅读次数最多的用户。单击用户名,可查看gydF4y2Ba用户配置文件gydF4y2Ba在Code42控制台。单击“事件数”或“已读字节数”,可在自定义搜索中查看详细信息。gydF4y2Ba |
| ggydF4y2Ba | App按进程名读取gydF4y2Ba | 列出应用程序文件事件读取数量最多的域,以及事件数量、唯一用户和与这些事件相关的读取字节。单击行中的值,按该进程名进行筛选。gydF4y2Ba |
审计日志和设备运行状况gydF4y2Ba
要将审计日志和设备运行状况数据输入Splunk,gydF4y2Ba创建新的输入gydF4y2Ba.一旦创建了输入,就可以在中查看数据gydF4y2BaSplunk的搜索gydF4y2Ba.查询您的索引如下:gydF4y2Ba
sourcetype = " c42-audit-log "gydF4y2Basourcetype = " c42-device-health "gydF4y2Ba
无法使用用于审计日志和设备运行状况数据的预构建仪表板。gydF4y2Ba