Fonctionnement des analyses incrémentielles dans
Endpoint Discover

Dans le cadre d'une analyse incrémentielle, l'agent DLP se souvient de la date, de l'heure et de l'emplacement des fichiers de la dernière analyse. Ces informations sont appelées un « point de contrôle ». L'agent DLP enregistre le point de contrôle dans sa base de données locale, pour pouvoir utiliser ce point de contrôle pour reprendre l'analyse là où il s'est arrêté la dernière fois.
Les analyses incrémentielles s'exécutent selon les phases suivantes :
  • Phase 1 : l'agent DLP analyse les fichiers qui n'ont pas pu être analysés lors de l'exécution précédente de la même cible
    Endpoint Discover
    .
  • Phase 2 : l'agent DLP analyse seulement les fichiers qui sont ajoutés ou modifiés depuis le dernier point de contrôle.
Les exemples suivants présentes les séquences d'une analyse incrémentielle pour deux terminaux client.
  • Quand l'analyse précédente est incomplète sur le terminal client 1 et se termine sur le terminal client 2. Les analyses incrémentielles analysent en deux phases :
    Pour le terminal 1 :
    • Phase 1 : termine l'analyse incomplète précédente.
    • Phase 2 : analyse seulement les fichiers qui ont été ajoutés ou modifiés depuis le dernier point de contrôle.
    Pour le terminal 2 :
    • La phase 1 ne s'applique pas car l'analyse précédente a été terminée.
    • La phase 2 s'applique et l'analyse incrémentielle analyse seulement les fichiers qui ont été ajoutés ou modifiés depuis le dernier point de contrôle.
L'exemple ci-dessus est récapitulé dans le tableau suivant :
Analyse incrémentielle s'exécutant en deux phases
Phases
L'analyse précédente n'a pas été terminée sur le terminal client 1
L'analyse précédente a été terminée sur le terminal client 2
Phase 1
Applicable
Non applicable
Phase 2
Applicable
Applicable
  • Prenez un autre exemple, où une nouvelle analyse de cible
    Endpoint Discover
    est exécutée pour la première fois avec l'option d'analyse incrémentielle : dans ce cas, seule la phase 2 s'applique. L'analyse incrémentielle analyse tous les fichiers qui ont été ajoutés ou modifiés depuis le 1er janvier 1970 (temps Epoch).
Remarque : Symantec vous recommande d'exécuter une analyse complète au lieu d'une analyse incrémentielle dans les cas suivants :
  • Vous exécutez une analyse sur une cible
    Endpoint Discover
    et modifiez ultérieurement le chemin d'accès de filtre pour inclure un fichier qui ne faisait pas partie de cette analyse de cible
    Endpoint Discover
    . Si ce fichier n'a pas été modifié depuis le dernier point de contrôle, il n'est pas analysé si vous exécutez une analyse incrémentielle.
  • Pour macOS, un horodatage fichier (l'horodatage de création, de modification ou d'accès au fichier) n'est pas modifié si vous copiez le fichier d'un emplacement à un autre. Si une analyse complète
    Endpoint Discover
    est exécutée et que des fichiers sont ensuite localement déplacés dans le chemin d'accès au dossier de cible
    Endpoint Discover
    , mais que la dernière modification des fichiers a été effectuée avant l'analyse complète, la prochaine analyse incrémentielle n'analysera pas ces fichiers. Étant donné que l'horodatage des fichiers précède la période de l'analyse complète, même si les fichiers ont été ajoutés au dossier cible après l'analyse, ils ne sont pas identifiés comme des fichiers à prendre en compte pour une analyse incrémentielle.
  • Vous souhaitez effectuer une classification de baseline de tout le contenu, pour donner une visibilité sur le type d'informations contenues sur le lecteur.