Sélection des paramètres de consultation

La page
Système > Plug-ins de consultation > Modifier les paramètres du plug-in de consultation
répertorie les
Clés de paramètre de consultation
que vous sélectionnez pour déclencher la consultation des valeurs d'attribut. Des clés de paramètre de consultation sont organisées en groupes d'attribut. Les sélections faites sur cet écran s'appliquent à tous les plug-ins de consultation déployés sur le serveur Enforce.
Pour effectuer une consultation, vous devez mapper au moins une clé de paramètre de consultation à un champ dans votre source de données externe. Chaque groupe de paramètres de consultation que vous activez est une requête distincte de base de données pour activer le serveur Enforce. Des requêtes de base de données sont exécutées pour chaque incident avant consultation. Afin d'éviter une baisse des performances en raison de requêtes de bases de données inutiles, n'activez que les groupes d'attributs dont vos plug-ins de consultation ont besoin.
Le plug-in arrêtant la recherche dès qu'il trouve la première paire valeur-clé de paramètre de consultation correspondante, l'ordre dans lequel vous répertoriez les valeurs
keys
dans votre mappage d'attributs est important. Pour davantage de détails, consultez les exemples de mappage d'attributs pour le type spécifique de plug-in que vous mettez en application.
  1. Pour activer une ou plusieurs clés de paramètre de consultation
  2. Naviguez vers
    Système > Plug-ins de consultation
    dans la console d'administration du serveur Enforce.
  3. Cliquez sur
    Paramètres de consultation
    sur la
    page de la liste des plug-ins de consultation
    .
  4. Sélectionnez (cochez) un ou plusieurs groupes d'attribut sur la page des
    Modifier les paramètres du plug-in de consultation
    .
  5. Enregistrez
    la configuration.
    Vérifiez le message de réussite indiquant que tous les plug-ins activés ont été rechargés.
Paramètres de consultation de pièce jointe
Clé de paramètre de consultation
Description et commentaires
attachment-nameX
Le nom du fichier joint, où X est le seul index à distinguer entre plusieurs pièces jointes, par exemple :
attachment-name1
,
attachment-size1
 ;
attachment-name2
,
attachment-size2
; etc.
attachment-sizeX
La taille d'origine du fichier joint, où X est le seul index à distinguer entre plusieurs pièces jointes. Voir l'exemple ci-dessus.
Paramètres de consultation d'incident
Clé de paramètre de consultation
Description
date-detected
Date et moment où l'incident a été détecté, par exemple :
date-detected=Tue May 15 15:08:23 PDT 2012
.
incident-id
ID de l'incident attribué par le serveur Enforce. Le même ID peut être consulté dans le rapport d'incident. Par exemple :
incident-id=35
.
protocole
Le nom du protocole réseau utilisé pour transférer le message de violation, tel que SMTP et HTTP. Par exemple :
protocol=Email/SMTP
.
data-owner-name
Personne chargée de résoudre l'incident. Cet attribut n'est pas rempli par le système. Au lieu de cela, il est défini manuellement dans la section
Données d'incident
de l'écran
Cliché d'incident
ou automatiquement à l'aide d'un plug-in de consultation.
Les rapports basés sur cet attribut peuvent être automatiquement envoyés au propriétaire des données pour remédiation.
data-owner-email
Adresse électronique de la personne chargée de résoudre l'incident. Cet attribut n'est pas rempli par le système. Au lieu de cela, il est défini manuellement dans la section
Données d'incident
de l'écran
Cliché d'incident
ou automatiquement à l'aide d'un plug-in de consultation.
Paramètres de consultation de message
Clé de paramètre de consultation
Description
date-sent
Date et moment où le message a été envoyé s'il s'agit d'un courrier électronique. Par exemple :
date-sent=Mon Aug 15 11:46:55 PDT 2011
.
objet
Objet du message s'il s'agit d'un incident de courrier électronique.
file-create-date
Date à laquelle le fichier a été créé dans son emplacement actuel, s'il y a été initialement créé ou copié à partir d'un autre emplacement. Récupéré du système d'exploitation.
file-access-date
Date à laquelle le fichier a été examiné.
file-created-by
Utilisateur qui a placé le fichier sur le terminal client.
file-modified-by
Informations d'authentification de l'utilisateur pleinement qualifié pour l'ordinateur sur lequel l'acte de violation de copie s'est produit.
file-owner
Nom d'utilisateur ou ordinateur sur lequel se trouve le fichier en infraction.
discover-content-root-path
Racine du chemin d'accès au fichier qui a entraîné un incident Discover.
discover-location
Chemin d'accès au fichier qui a entraîné un incident Discover.
discover-name
Nom du fichier en violation.
discover-extraction-date
Datez un sous-fichier a été extrait à partir d'un fichier encapsulé pendant l'analyse Discover.
discover-server
Nom du référentiel à analyser.
discover-notes-database
Attribut spécifique pour l'analyse Discover du référentiel Lotus Notes.
discover-notes-url
Attribut spécifique pour l'analyse Discover du référentiel Lotus Notes.
endpoint-volume-name
Le nom du lecteur local où un incident Endpoint s'est produit.
endpoint-dos-volume-name
Le nom de Windows du lecteur local où un incident Endpoint s'est produit.
endpoint-application-name
Nom de la dernière application utilisée pour ouvrir (ou créer) le fichier en violation.
endpoint-application-path
Chemin d'accès de l'application utilisée pour créer ou ouvrir le fichier en violation.
endpoint-file-name
Nom du fichier en violation.
endpoint-file-path
Emplacement vers lequel le fichier a été copié.
Paramètre de consultation de politique
Clé de paramètre de consultation
Description et commentaires
policy-name
Le nom de la politique qui a été violée, par exemple :
policy-name=Keyword Policy
.
Paramètres de consultation de destinataire
Clé de paramètre de consultation
Description
recipient-emailX
L'adresse électronique du destinataire, où X est le seul à distinguer entre plusieurs destinataires ; par exemple :
recipient-email1
,
recipient-ip1
,
recipient-url1
 ;
recipient-email2
,
recipient-ip2
,
recipient-url2
 ; etc.
recipient-ipX
L'adresse IP du destinataire, où X est le seul index à distinguer entre plusieurs destinataires. Voir l'exemple ci-dessus.
recipient-urlX
L'URL du destinataire, où X est le seul index à distinguer entre plusieurs destinataires. Voir l'exemple ci-dessus.
Paramètres de consultation d'expéditeur
Clé de paramètre de consultation
Description
sender-email
L'adresse électronique de l'expéditeur pour Network Prevent pour des incidents du courrier électronique (SMTP).
sender-ip
L'adresse IP de l'expéditeur pour des incidents Endpoint et Network sur des protocoles autres que le SMTP.
sender-port
Le port de l'expéditeur pour des incidents Network sur des protocoles autres que le SMTP.
endpoint-user-name
L'utilisateur qui était connecté au terminal client quand la violation s'est produite.
endpoint-machine-name
Nom du terminal client sur lequel réside le fichier en violation.
Paramètres de consultation de serveur
Clé de paramètre de consultation
Description et commentaires
server-name
Le nom du serveur de détection qui a signalé l'incident Ce nom est défini par l'utilisateur et entré quand le serveur de détection est déployé. Par exemple :
server-name=My Network Monitor
.
Paramètres de consultation d'écran
Clé de paramètre de consultation
Description
monitor-name
Le nom du serveur de détection qui a signalé l'incident Ce nom est défini par l'utilisateur et entré quand le serveur de détection est déployé. Par exemple :
server-name=My Network Monitor
.
monitor-host
L'adresse IP du serveur de détection qui a signalé l'incident. Par exemple :
monitor-host=127.0.0.1
monitor-id
L'identifiant numérique défini par le système du serveur de détection. Par exemple :
monitor-id=1
.
Paramètre de consultation d'état
Clé de paramètre de consultation
Description et commentaires
incident-status
Etat actuel de l'incident. Par exemple :
incident-status=incident.status.New
.
Paramètres de consultation ACL
Clé de paramètre de consultation
Description
acl-principalX
Une chaîne qui indique l'utilisateur ou le groupe auquel l'ACL s'applique.
acl-typeX
Une chaîne qui indique si l'ACL s'applique au fichier ou au partage.
acl-grant-or-denyX
Une chaîne qui indique si l'ACL accorde ou refuse l'autorisation.
acl-permissionX
Chaîne qui indique si l'ACL dénote l'accès en écriture ou en lecture.
Paramètres de consultation Applications cloud et appliance d'API
Clé de paramètre de consultation
Description
common-user-name
Une chaîne représentant le nom de l'utilisateur tel qu'il apparaît dans les rapports.
common-user-id
Une chaîne représentant l'identifiant unique de l'utilisateur.
client-user-id
Une chaîne représentant l'identifiant de l'utilisateur dans le domaine client effectuant la demande de détection.
client-domain
Une chaîne représentant le domaine du client REST effectuant une demande de détection.
common-owner
Une chaîne représentant l'identification de l'utilisateur du propriétaire de données. Utilisé dans les demandes de données au repos (DAR) uniquement.
common-sharedwith
Un tableau d'identifiants de l'utilisateur pour tous les utilisateurs avec lesquels le fichier est partagé. Utilisé dans les demandes DAR uniquement.