Sélection des paramètres de consultation
La page
Système > Plug-ins de consultation > Modifier les paramètres du plug-in de consultation
répertorie les Clés de paramètre de consultation
que vous sélectionnez pour déclencher la consultation des valeurs d'attribut. Des clés de paramètre de consultation sont organisées en groupes d'attribut. Les sélections faites sur cet écran s'appliquent à tous les plug-ins de consultation déployés sur le serveur Enforce.Pour effectuer une consultation, vous devez mapper au moins une clé de paramètre de consultation à un champ dans votre source de données externe. Chaque groupe de paramètres de consultation que vous activez est une requête distincte de base de données pour activer le serveur Enforce. Des requêtes de base de données sont exécutées pour chaque incident avant consultation. Afin d'éviter une baisse des performances en raison de requêtes de bases de données inutiles, n'activez que les groupes d'attributs dont vos plug-ins de consultation ont besoin.
Le plug-in arrêtant la recherche dès qu'il trouve la première paire valeur-clé de paramètre de consultation correspondante, l'ordre dans lequel vous répertoriez les valeurs
keys
dans votre mappage d'attributs est important. Pour davantage de détails, consultez les exemples de mappage d'attributs pour le type spécifique de plug-in que vous mettez en application.- Pour activer une ou plusieurs clés de paramètre de consultation
- Naviguez versSystème > Plug-ins de consultationdans la console d'administration du serveur Enforce.
- Cliquez surParamètres de consultationsur lapage de la liste des plug-ins de consultation.
- Sélectionnez (cochez) un ou plusieurs groupes d'attribut sur la page desModifier les paramètres du plug-in de consultation.Cliquez surAfficher les propriétéspour afficher toutes les clés pour ce groupe d'attribut.
- Pièce jointe Paramètres de consultation de pièce jointe
- Politique Paramètre de consultation de politique
- Destinataire Paramètres de consultation de destinataire
- Expéditeur Paramètres de consultation d'expéditeur
- Applications cloud et appliance d'API Paramètres de consultation d'applications cloud et d'appliance d'API
- Enregistrezla configuration.Vérifiez le message de réussite indiquant que tous les plug-ins activés ont été rechargés.
Clé de paramètre de consultation | Description et commentaires |
|---|---|
attachment-nameX | Le nom du fichier joint, où X est le seul index à distinguer entre plusieurs pièces jointes, par exemple : attachment-name1 , attachment-size1 ; attachment-name2 , attachment-size2 ; etc. |
attachment-sizeX | La taille d'origine du fichier joint, où X est le seul index à distinguer entre plusieurs pièces jointes. Voir l'exemple ci-dessus. |
Clé de paramètre de consultation | Description |
|---|---|
date-detected | Date et moment où l'incident a été détecté, par exemple : date-detected=Tue May 15 15:08:23 PDT 2012 . |
incident-id | ID de l'incident attribué par le serveur Enforce. Le même ID peut être consulté dans le rapport d'incident. Par exemple : incident-id=35 . |
protocole | Le nom du protocole réseau utilisé pour transférer le message de violation, tel que SMTP et HTTP. Par exemple : protocol=Email/SMTP . |
data-owner-name | Personne chargée de résoudre l'incident. Cet attribut n'est pas rempli par le système. Au lieu de cela, il est défini manuellement dans la section Données d'incident de l'écran Cliché d'incident ou automatiquement à l'aide d'un plug-in de consultation.Les rapports basés sur cet attribut peuvent être automatiquement envoyés au propriétaire des données pour remédiation. |
data-owner-email | Adresse électronique de la personne chargée de résoudre l'incident. Cet attribut n'est pas rempli par le système. Au lieu de cela, il est défini manuellement dans la section Données d'incident de l'écran Cliché d'incident ou automatiquement à l'aide d'un plug-in de consultation. |
Clé de paramètre de consultation | Description |
|---|---|
date-sent | Date et moment où le message a été envoyé s'il s'agit d'un courrier électronique. Par exemple : date-sent=Mon Aug 15 11:46:55 PDT 2011 . |
objet | Objet du message s'il s'agit d'un incident de courrier électronique. |
file-create-date | Date à laquelle le fichier a été créé dans son emplacement actuel, s'il y a été initialement créé ou copié à partir d'un autre emplacement. Récupéré du système d'exploitation. |
file-access-date | Date à laquelle le fichier a été examiné. |
file-created-by | Utilisateur qui a placé le fichier sur le terminal client. |
file-modified-by | Informations d'authentification de l'utilisateur pleinement qualifié pour l'ordinateur sur lequel l'acte de violation de copie s'est produit. |
file-owner | Nom d'utilisateur ou ordinateur sur lequel se trouve le fichier en infraction. |
discover-content-root-path | Racine du chemin d'accès au fichier qui a entraîné un incident Discover. |
discover-location | Chemin d'accès au fichier qui a entraîné un incident Discover. |
discover-name | Nom du fichier en violation. |
discover-extraction-date | Datez un sous-fichier a été extrait à partir d'un fichier encapsulé pendant l'analyse Discover. |
discover-server | Nom du référentiel à analyser. |
discover-notes-database | Attribut spécifique pour l'analyse Discover du référentiel Lotus Notes. |
discover-notes-url | Attribut spécifique pour l'analyse Discover du référentiel Lotus Notes. |
endpoint-volume-name | Le nom du lecteur local où un incident Endpoint s'est produit. |
endpoint-dos-volume-name | Le nom de Windows du lecteur local où un incident Endpoint s'est produit. |
endpoint-application-name | Nom de la dernière application utilisée pour ouvrir (ou créer) le fichier en violation. |
endpoint-application-path | Chemin d'accès de l'application utilisée pour créer ou ouvrir le fichier en violation. |
endpoint-file-name | Nom du fichier en violation. |
endpoint-file-path | Emplacement vers lequel le fichier a été copié. |
Clé de paramètre de consultation | Description et commentaires |
|---|---|
policy-name | Le nom de la politique qui a été violée, par exemple : policy-name=Keyword Policy . |
Clé de paramètre de consultation | Description |
|---|---|
recipient-emailX | L'adresse électronique du destinataire, où X est le seul à distinguer entre plusieurs destinataires ; par exemple : recipient-email1 , recipient-ip1 , recipient-url1 ; recipient-email2 , recipient-ip2 , recipient-url2 ; etc. |
recipient-ipX | L'adresse IP du destinataire, où X est le seul index à distinguer entre plusieurs destinataires. Voir l'exemple ci-dessus. |
recipient-urlX | L'URL du destinataire, où X est le seul index à distinguer entre plusieurs destinataires. Voir l'exemple ci-dessus. |
Clé de paramètre de consultation | Description |
|---|---|
sender-email | L'adresse électronique de l'expéditeur pour Network Prevent pour des incidents du courrier électronique (SMTP). |
sender-ip | L'adresse IP de l'expéditeur pour des incidents Endpoint et Network sur des protocoles autres que le SMTP. |
sender-port | Le port de l'expéditeur pour des incidents Network sur des protocoles autres que le SMTP. |
endpoint-user-name | L'utilisateur qui était connecté au terminal client quand la violation s'est produite. |
endpoint-machine-name | Nom du terminal client sur lequel réside le fichier en violation. |
Clé de paramètre de consultation | Description et commentaires |
|---|---|
server-name | Le nom du serveur de détection qui a signalé l'incident Ce nom est défini par l'utilisateur et entré quand le serveur de détection est déployé. Par exemple : server-name=My Network Monitor . |
Clé de paramètre de consultation | Description |
|---|---|
monitor-name | Le nom du serveur de détection qui a signalé l'incident Ce nom est défini par l'utilisateur et entré quand le serveur de détection est déployé. Par exemple : server-name=My Network Monitor . |
monitor-host | L'adresse IP du serveur de détection qui a signalé l'incident. Par exemple : monitor-host=127.0.0.1 |
monitor-id | L'identifiant numérique défini par le système du serveur de détection. Par exemple : monitor-id=1 . |
Clé de paramètre de consultation | Description et commentaires |
|---|---|
incident-status | Etat actuel de l'incident. Par exemple : incident-status=incident.status.New . |
Clé de paramètre de consultation | Description |
|---|---|
acl-principalX | Une chaîne qui indique l'utilisateur ou le groupe auquel l'ACL s'applique. |
acl-typeX | Une chaîne qui indique si l'ACL s'applique au fichier ou au partage. |
acl-grant-or-denyX | Une chaîne qui indique si l'ACL accorde ou refuse l'autorisation. |
acl-permissionX | Chaîne qui indique si l'ACL dénote l'accès en écriture ou en lecture. |
Clé de paramètre de consultation | Description |
|---|---|
common-user-name | Une chaîne représentant le nom de l'utilisateur tel qu'il apparaît dans les rapports. |
common-user-id | Une chaîne représentant l'identifiant unique de l'utilisateur. |
client-user-id | Une chaîne représentant l'identifiant de l'utilisateur dans le domaine client effectuant la demande de détection. |
client-domain | Une chaîne représentant le domaine du client REST effectuant une demande de détection. |
common-owner | Une chaîne représentant l'identification de l'utilisateur du propriétaire de données. Utilisé dans les demandes de données au repos (DAR) uniquement. |
common-sharedwith | Un tableau d'identifiants de l'utilisateur pour tous les utilisateurs avec lesquels le fichier est partagé. Utilisé dans les demandes DAR uniquement. |