Fonctionnement des analyses incrémentielles dans Endpoint Discover
Endpoint Discover
Dans le cadre d'une analyse incrémentielle, l'agent DLP se souvient de la date, de l'heure et de l'emplacement des fichiers de la dernière analyse. Ces informations sont appelées un « point de contrôle ». L'agent DLP enregistre le point de contrôle dans sa base de données locale, pour pouvoir utiliser ce point de contrôle pour reprendre l'analyse là où il s'est arrêté la dernière fois.
Les analyses incrémentielles s'exécutent selon les phases suivantes :
- Phase 1 : l'agent DLP analyse les fichiers qui n'ont pas pu être analysés lors de l'exécution précédente de la même cibleEndpoint Discover.
- Phase 2 : l'agent DLP analyse seulement les fichiers qui sont ajoutés ou modifiés depuis le dernier point de contrôle.
Les exemples suivants présentes les séquences d'une analyse incrémentielle pour deux terminaux client.
- Quand l'analyse précédente est incomplète sur le terminal client 1 et se termine sur le terminal client 2. Les analyses incrémentielles analysent en deux phases :Pour le terminal 1 :
- Phase 1 : termine l'analyse incomplète précédente.
- Phase 2 : analyse seulement les fichiers qui ont été ajoutés ou modifiés depuis le dernier point de contrôle.
Pour le terminal 2 :- La phase 1 ne s'applique pas car l'analyse précédente a été terminée.
- La phase 2 s'applique et l'analyse incrémentielle analyse seulement les fichiers qui ont été ajoutés ou modifiés depuis le dernier point de contrôle.
L'exemple ci-dessus est récapitulé dans le tableau suivant :
Phases | L'analyse précédente n'a pas été terminée sur le terminal client 1 | L'analyse précédente a été terminée sur le terminal client 2 |
|---|---|---|
Phase 1 | Applicable | Non applicable |
Phase 2 | Applicable | Applicable |
- Prenez un autre exemple, où une nouvelle analyse de cibleEndpoint Discoverest exécutée pour la première fois avec l'option d'analyse incrémentielle : dans ce cas, seule la phase 2 s'applique. L'analyse incrémentielle analyse tous les fichiers qui ont été ajoutés ou modifiés depuis le 1er janvier 1970 (temps Epoch).
Remarque : Symantec vous recommande d'exécuter une analyse complète au lieu d'une analyse incrémentielle dans les cas suivants :
- Vous exécutez une analyse sur une cibleEndpoint Discoveret modifiez ultérieurement le chemin d'accès de filtre pour inclure un fichier qui ne faisait pas partie de cette analyse de cibleEndpoint Discover. Si ce fichier n'a pas été modifié depuis le dernier point de contrôle, il n'est pas analysé si vous exécutez une analyse incrémentielle.
- Pour macOS, un horodatage fichier (l'horodatage de création, de modification ou d'accès au fichier) n'est pas modifié si vous copiez le fichier d'un emplacement à un autre. Si une analyse complèteEndpoint Discoverest exécutée et que des fichiers sont ensuite localement déplacés dans le chemin d'accès au dossier de cibleEndpoint Discover, mais que la dernière modification des fichiers a été effectuée avant l'analyse complète, la prochaine analyse incrémentielle n'analysera pas ces fichiers. Étant donné que l'horodatage des fichiers précède la période de l'analyse complète, même si les fichiers ont été ajoutés au dossier cible après l'analyse, ils ne sont pas identifiés comme des fichiers à prendre en compte pour une analyse incrémentielle.
- Vous souhaitez effectuer une classification de baseline de tout le contenu, pour donner une visibilité sur le type d'informations contenues sur le lecteur.