检测和响应内部风险- Code42支持

概述

Code42帮助您识别内部风险，并通过以下方式保护您的数据免受威胁:

持续监控端点和云文件活动，以检测风险
突出可疑和异常行为
捕获全面的文件元数据以及文件内容

这种端点和云文件活动的可见性可帮助您快速检测并响应威胁您的知识产权、敏感数据和整体安全的恶意和无意活动。betway365

本文提供了检测和响应内部风险的最佳实践。

注意事项

此功能仅在您的产品计划．请与您的客户成功经理(CSM)联系，以获得许可或升级到Incydr产品计划的协助。如果你不知道你的CSM，请联系我们的技术支持工程师．
要使用此功能，必须为Incydr用户分配特定的角色。有关更多信息，请参见Incydr的权限．

第1部分:捕获文件活动

步骤1:确认端点监控设置

Incydr专业，企业，地平线和政府F2

为确保捕获所有检测类型的文件活动，请检查端点监控设置:

登录到Code42控制台．
选择管理>环境>组织．
查看层次结构顶部的父组织的详细信息:
1. 点击查看组织详细信息．
2. 选择端点数据收集．
验证组织不从父组织继承设置。如有需要，请按编辑和取消选择从父组织继承设置．
验证所有检测类型(可移动媒体，云同步应用程序，浏览器和其他应用程序活动，打印机,所有文件活动)。
点击保存．

Incydr基础，高级，和政府F1

为确保捕获所有检测类型的文件活动，请检查端点监控设置:

登录到Code42控制台．
选择管理>环境>组织．
查看层次结构顶部的父组织的详细信息:
1. 选择组织。
2. 从操作菜单中,选择编辑．
3. 选择端点检测．
验证组织不从父组织继承设置。如有必要，请取消勾选从父节点继承设置．
验证启用端点监控被选中。
验证所有检测类型(可移动媒体，云同步应用，浏览器和其他应用程序活动,打印机)。
验证文件元数据收集被选中。
点击保存．

Incydr基础，高级和政府F1仅:看到端点监控设置参考获取更多信息。

步骤2:设置警报，通知您可疑的文件活动

警报允许您定义触发警报的特定文件活动行为和阈值。提醒可以以电子邮件的形式发送，也可以显示在仪表板上，或者两者兼而有之。例如，您可以创建一个警报，每当用户将一定数量的文件传输到可移动媒体或云同步文件夹时，该警报就会向您发送电子邮件。

要为Code42环境自定义警报条件:

登录到Code42控制台．
选择>管理规则．
选择创建规则．
定义规则标准。有关所有选项的详细说明，请参见创建和管理警报规则．

第三步:监控高风险员工

观察名单中提供对您认为存在风险的员工的文件活动的全面洞察(例如，离职员工、具有更高权限的用户、敏感数据的访问、绩效改进计划等)。的用户活动>监视列表部分的Code42控制台允许您:

快速识别高风险员工的可疑文件活动
将员工分配到一个或多个监视名单中，以提供更多的调查背景
为每个监视列表分配自定义警报，以通知您定义为关键的活动
轻松审查端点和云同步文件活动

要开始监控高风险员工:

登录到Code42控制台．
选择用户活动>监视列表．
如果不存在监视列表，请创建监视列表。有关如何创建监视列表的详细信息，请参见管理观察名单中．
点击添加用户来将用户放在现有的监视列表中．
输入有关用户的任何相关信息，例如出发或开始工作的日期。
点击保存．

步骤4:定义可信活动以减少文件事件量

数据的偏好设置使您可以定义域、Slack工作区和您信任的IP地址，这有助于将调查重点放在可能具有较高风险的文件活动上。受信任的活动被排除在仪表板、用户配置文件和警报之外，但仍然可以在取证搜索中进行搜索。

添加可信活动:

登录到Code42控制台．
选择管理>环境>数据首选项．
在信任的活动选项卡上,单击添加可信活动添加可信域和Slack工作区。
在IP地址选项卡上,单击添加IP地址定义您的网络内IP地址。

看到数据连接参考欲知详情。

步骤5:增加云数据连接，减少文件事件量

添加数据连接授权Code42从云服务(例如谷歌Drive、Microsoft OneDrive或Box)收集信息。此外，Incydr使用这些连接来识别在任何不受信任的云目的地中发生的文件活动。

一旦连接，这些源中的所有文件活动都可以在取证搜索中搜索到。但是，只有不受信任的活动显示在Incydr仪表板、用户配置文件和警报上。

看到添加数据连接的介绍获取每个数据源的具体说明。

步骤6:定义文件备份策略

(不适用于Incydr Professional, Enterprise, Horizon和Gov F2)

文件备份是内部风险检测和响应的重要组成部分，因为它使您能够在调查可疑活动期间轻松地查看实际文件内容。只要备份了文件，就可以随时下载，即使备份文件的设备处于脱机状态。有关备份内容的详细说明，请参见定义备份策略的注意事项．

步骤7:配置第三方集成(可选)

Code42提供了多种工具来利用我们在其他系统中的内部风险特征和数据，包括:betway提款

Code42 API、Python SDK和命令行界面(CLI)
与SOAR和SIEM安全分析工具的第三方集成，包括Cortex XSOAR、IBM Rebetway365silient、lorhythm、Sumo Logic和Splunk。

详情请参见Code42集成资源．

第2部分:审查可疑的文件活动

Code42控制台提供了各种选项来帮助您快速识别可疑或意外的文件活动。并不是所有选项都适用于所有情况，所以选择下面的部分适用于您的具体情况。

观看下面的视频，了解如何使用Code42 Incydr审查可疑的文件活动。更多视频，请访问Code42大学．

查看Risk Exposure仪表板

检查风险暴露仪表盘查看Code42环境中所有端点和云文件活动的高级视图，这些活动可能会使数据处于危险之中。风险暴露仪表板突出显示文件活动:

可移动媒体
同步到云服务
通过浏览器和其他应用程序读取(上传和下载)
在.zip文件和其他存档格式

在仪表板上，单击任何数据点以深入到细节，或在法医搜索中进一步调查。

检查警告

在你定义生成警报所需的特定文件活动行为和阈值，你可以查看现有警报迅速发现可能的内部风险。

检查观察名单中

后创建监视列表您的高风险员工，导航到用户活动>观察名单中查看这些用户的文件活动。这个视图根据用户的关键文件活动在监视列表中显示用户，以便您可以轻松地发现有风险的文件活动。

看到观察名单中参考欲知详情。

审核所有用户列表

使用“所有用户”列表，导航到用户活动>所有用户检查Code42环境中所有用户的关键文件活动。此视图根据关键文件活动显示所有用户，以便您可以轻松地从您可能没有密切监视的用户中发现有风险的文件活动。

看到所有用户参考获取更多信息。

审查特定用户

从用户活动>所有用户，搜索特定用户，以轻松查看他们的文件活动。拜访他们用户配置文件欲知详情。

看到所有用户参考获取更多信息。

执行临时文件活动搜索

法医搜索提供有关端点和云文件活动的详细可见性，并帮助您快速回答以下问题:

是否有可疑的文件活动?
有证据表明他掩盖了可疑的文件活动吗?
个人是否有特定的文件，或者个人之前有过?

取证搜索允许您查看大量文件事件，包括文件的创建、修改、重命名、移动或删除。搜索结果返回整个Code42环境的文件事件。文件事件详细信息提供了关于文件的大量元数据，并提供了下载实际文件内容的选项。

看到法医搜索用例对于特定的用例，或观看下面的视频了解更多细节。

第三部分:应对内部风险

没有一种响应适用于所有情况，因为风险因所涉及的文件和用户的不同而有很大差异。因此，我们专注于为您提供所需的信息，以快速、适当地应对内部风险，其中可能包括自动行动、纠正对话、法律行动、让组织中的其他利益相关者参与，或介于两者之间的任何事情。

虽然不能取代现有的响应协议，但以下操作可以帮助您响应内部风险并减轻威胁:

下载和审查文件内容

Code42提供了检索调查中涉及的文件的能力。能够明确地看到这些文件中包含哪些内容可以帮助您确定适当的响应。您可以通过以下几种方式恢复文件内容:

从法医搜索下载文件:在许多情况下，档案可从搜寻结果下载。下载的链接出现在文件>文件名事件详细信息的部分。
从Code42控制台恢复文件(不适用于Incydr Professional, Enterprise, Horizon和Gov F2):管理员可以恢复用户备份的文件从任何网页浏览器或恢复文件到任何运行Code42应用程序的设备。
从合法的地方收集文件(不适用于Incydr Professional, Enterprise, Horizon和Gov F2):如果用户已经是合法持有的托管人，您可以使用Code42控制台来收集文件．

搜索相关风险

与法医搜索，您可以在整个Code42环境中搜索其他相关风险。例如，如果您正在通过云服务响应一个未经批准的文件共享，则可以通过搜索文件散列(MD5或SHA256)或文件名来识别环境中该文件的其他实例，以确定可能涉及的其他人。

创建一个案例来组织调查

使用情况下作为一种编译、记录和分享内部风险细节的有效方式。这有助于您就如何响应做出更明智的决定，并提供与调查相关的文件活动和用户的永久记录。

具体地说,情况下使你:

收集与调查有关的证据
从取证搜索中添加文件事件
添加注释以提供额外的上下文
总结并与组织中的其他人分享发现

看到管理案例欲知详情。

利用第三方集成(可选)

如果你已经知道了配置的第三方集成，您可以使用code42特定的操作和工作流作为响应的一部分。例如，您可以使用IBM Resilient从用户的备份中下载文件，使用Splunk Phantom隔离设备，或使用Cortex XSOAR阻止用户。