使用法证搜索搜索文件活动
这篇文章是给谁看的?
Incydr专业,企业,地平线和政府F2
Incydr基础,高级,和政府F1
老师,不。
Incydr Professional, Enterprise, Horizon和Gov F2,是的。
Incydr基础,高级和Gov F1,是的。
概述
法医搜索是一个强大的搜索界面,使安全团队监视和调查可疑的文件活动。betway365法医搜索提供文件的详细可见性:
- 存储在用户设备上
- 存储在企业云服务中,如谷歌Drive和Microsoft OneDrive
- 已同步到个人云服务,如Box、Dropbox、iCloud和OneDrive
- 移动到可移动媒体
- 在Microsoft Office 365和Gmail中以电子邮件附件形式发送
- 发送到打印机(仅Mac和Linux)
这使安全人员能够更清楚地了betway365解整个组织中的文件活动。
有关搜索示例,请参见法医搜索用例.
视频
观看下面的视频,了解如何使用取证搜索执行文件活动的搜索。
在开始之前
检查您的检测设置:
- Incydr基础,高级,和政府F1:按照下面的步骤操作启用端点监控和文件元数据收集对于Code42环境中的至少一个组织。
- Incydr专业,企业,地平线和政府F2:文件元数据收集始终开启,但请参阅端点数据收集参考指南启用或禁用对特定渗出载体的检测。
执行搜索
复习参考指南
有关每种类型的搜索条件的所有可能搜索选项和所需语法的详细信息,请参见文件事件元数据引用
有关每种类型的搜索条件的所有可能搜索选项和所需语法的详细信息,请参见文件事件元数据引用
法证搜查报告文件事件由Code42检测。文件事件是对文件观察到的任何活动。例如,创建、修改、重命名、移动或删除文件都会为该文件生成一个事件。为用户和系统操作报告事件。
查询文件事件。
- 登录到Code42控制台.
你必须有一个角色,具有允许访问取证搜索的权限。 - 选择法医搜索>搜索.
- 选择一个日期范围。
- 选择搜索筛选器、操作符和搜索值。
- (可选)单击+图标以添加其他搜索条件,然后重复步骤4-6。单击x图标,删除搜索条件。
搜索结果只返回匹配的事件所有选择的标准。 - 点击搜索.如果已显示搜索结果,请单击更新搜索.
查看搜索结果
- 在搜索结果列表中,单击查看详细信息显示文件事件的所有详细信息。看到文件事件元数据引用有关特定事件属性的详细信息。
- 点击精确匹配或最新版本下载文件内容。
- 点击菜单图标在可用操作的任何字段旁边。
- 为标识符,选择:
- 复制链接到事件详细信息将指向这些事件详细信息的链接复制到剪贴板。此链接使您能够轻松地与其他人(拥有所需的人员)共享特定的事件权限),或保存网址,以供日后参考。
- 复制事件ID方法的字符串值标识符本身。稍后使用此值再次搜索此事件。
- 对于所有其他字段,请选择:
- 为当前搜索添加价值将当前搜索更新为只包含与此值匹配的结果
- 为新搜索增加价值启动包含此值的新搜索
- 复制的价值将值复制到剪贴板
- 为标识符,选择:
可选的附加操作
- 属性中添加事件情况下.
- 如需添加单个事件,单击添加到案例用于要添加的事件。
- 一次添加多个事件:
- 关闭事件详细信息.
- 为要添加的每个事件选择复选框。
- 单击添加到案例图标在右上角。
- 选择修改列来选择哪些列出现在结果中。
- 点击另存为保存当前搜索过滤器和条件(search . search .结果没有保存)。如果您计划稍后再次执行搜索,这将非常有用。
- 点击导出的结果下载当前搜索结果的CSV文件,以作进一步分析。
额外的注意事项
搜索结果
- 搜索结果返回Code42环境中所有组织的文件事件。
- 文件事件详细信息将保留并可根据事件数据保留你的产品计划.例如,如果您的保留期为90天,则活动在观察到的日期.
- 搜索允许每个请求最多1,024个值。
- 文件事件的观察时间以协调世界时(UTC)报告。类似地,在对特定时间范围进行搜索时,用户输入的时间将被计算为UTC,而不是本地时间。
- 在对搜索结果进行分页时,每次加载页面都会刷新搜索结果。如果您的搜索查询包含当前日期,则搜索结果可能会随着页面的更改而更改。
- 从设备上检测到文件事件起,该事件通常需要30分钟才能出现在搜索结果中。但是,如果将文件上传到未知目的地,则可能需要长达75分钟的时间才会出现文件事件云数据连接配置为Code42监控,或如果目的地名称列出多种可能性.有关不同事件类型的计时的详细信息,请参见事件出现的预期时间范围.
- 每个用户设备上的Code42应用程序被配置为每五分钟向Code42云发送一次文件事件。这对搜索结果有几个影响:
- 如果一个文件在5分钟窗口内被修改了多次,那么搜索结果只显示一个修改事件。
- 如果在5分钟内创建并删除了一个文件创建而且删除事件被捕获并确实出现在搜索结果中,但一些文件元数据可能不会被收集。如果在5分钟内多次创建和删除同一个文件,则该文件最多捕获25个事件。
- 设备元数据,例如IP地址而且主机名,对于每批文件事件,每隔5分钟收集一次。同一批报告的文件事件总是报告相同的设备元数据。
- 对文件名的更改在搜索结果中作为删除事件(用于旧的文件名),后面紧跟一个创建事件(用于新文件名)。
- 在一秒内发生的文件更改可能无法检测到。例如,如果一个文件在不到一秒钟的时间内创建并删除,这些事件可能不会出现在搜索结果中。这因操作系统的不同而有所不同:Windows设备比Mac设备更有可能快速连续捕捉事件(在毫秒内)。
- 更新用户的Code42用户名不会更新现有事件的搜索结果(在更改之前创建的事件报告旧用户名)。
- 在一些罕见的情况下,用户名可能是空白或可以显示NAME_NOT_AVAILABLE.
- 由于一些云服务提供按需文件流,用户设备可能为用户在整个组织中访问的每个文件包含一个快捷方式文件。由于这些快捷方式文件没有内容,因此不会计算MD5和SHA256哈希值。但是,如果您的产品计划包括一个或多个云服务数据源(例如,谷歌Drive或Microsoft OneDrive),则存储在云服务中的实际文件可以使用散列。
- 谷歌驱动器云文件事件在与未配置Code42的谷歌域共享时不会立即出现。
文件除外
为了减少不重要文件的文件事件搜索结果,一些文件位置被排除在监视之外。此外,文件活动仅在C:Windows设备上的驱动器和Mac和Linux设备上文件系统的根目录,但是/卷在mac上不受监控。
如果你有关于豁免的具体问题,联系我们的技术支持工程师.
若要通过Code42控制台添加自己的自定义排除,请参见文件事件排除.
为了减少不重要文件的文件事件搜索结果,一些文件位置被排除在监视之外。此外,文件活动仅在C:Windows设备上的驱动器和Mac和Linux设备上文件系统的根目录,但是/卷在mac上不受监控。
如果你有关于豁免的具体问题,联系我们的技术支持工程师.
若要通过Code42控制台添加自己的自定义排除,请参见文件事件排除.
用户设备
- 不支持文件元数据收集每用户安装.必须为设备上的所有用户帐户安装Code42应用程序的单个实例。(不适用于Incydr Professional、Enterprise、Horizon和Gov F2;这些产品计划中不提供按用户安装。)
- 上监视文件活动C:Windows设备上的驱动器和Mac和Linux设备上文件系统的根目录,但是/卷在mac上不受监控。
- Linux设备对允许应用程序监视的文件和目录数量有默认限制。这可能会影响Code42应用程序捕获设备上所有位置的文件事件的能力。要增加这个默认限制,请执行下面的步骤Linux实时文件监视错误.
- 的创建日期对于Linux设备上的文件事件不可用。
- 当设备离线时,文件事件被收集并存储在设备本地。脱机设备可以在本地存储高达1gb的文件事件,大约是100万个事件。对于正常的设备使用,这足以捕获最多100天的脱机文件事件。一旦网络连接可用,这些事件就被发送到Code42云。如果设备离线时间长到产生超过1gb的文件事件,可能会导致部分事件无法上报。