ルックアップパラメータの選択
[システム]>[ルックアッププラグイン]>[ルックアッププラグインパラメータの編集]
ページに表示される[ルックアップパラメータキー]
から、属性値のルックアップをトリガするパラメータキーを選択します。ルックアップパラメータキーは属性グループごとに分類されています。この画面で行った選択は、Enforce Server に配備されているすべてのルックアッププラグインに適用されます。ルックアップを実行するためには、少なくとも 1 つのルックアップパラメータキーを外部データソースのフィールドにマップする必要があります。有効にする各ルックアップパラメータグループは、Enforce Server が実行する個別のデータベースクエリーです。すべてのデータベースクエリーはルックアップ前にインシデントごとに実行されます。不要なデータベースクエリによるパフォーマンスの低下を防ぐために、ルックアッププラグインが必要とする属性グループだけを有効にしてください。
プラグインは一致する最初のルックアップパラメータキーと値のペアを見つけた後で検索を停止するため、属性マップにリストする
キー
の順序が重要となります。詳しくは、実装するプラグインの種類に対応する属性マップの例を参照してください。- 1 つまたは複数のルックアップパラメータキーを有効にするには
- Enforce Server 管理コンソールで[システム]>[ルックアッププラグイン]に移動します。
- [ルックアッププラグインリストページ]の[ルックアップパラメータ]をクリックします。
- [ルックアッププラグインパラメータの編集]ページで、1 つまたは複数の属性グループを選択 (チェックマーク付け) します。[プロパティの表示]をクリックして、その属性グループのすべてのキーを表示します。
- 添付ファイル添付ファイルルックアップパラメータ
- インシデントインシデントルックアップパラメータ
- メッセージメッセージルックアップパラメータ
- ポリシーポリシールックアップパラメータ
- サーバーサーバールックアップパラメータ
- クラウドアプリケーションと API アプライアンスクラウドアプリケーションと API アプライアンスルックアップパラメータ
- [保存]をクリックして設定を保存します。有効にしたすべてのプラグインが再ロードされたことを示す成功メッセージを確認します。
ルックアップパラメータキー | 説明とコメント |
|---|---|
attachment-nameX | 添付ファイルの名前。X は複数の添付ファイルを区別するための重複のないインデックスです。たとえば、 attachment-name1 、attachment-size1 、attachment-name2 、attachment-size2 などとなります。 |
attachment-sizeX | 添付ファイルの元のサイズ。X は複数の添付ファイルを区別するための重複のないインデックスです。上の例を見てください。 |
ルックアップパラメータキー | 説明 |
|---|---|
date-detected | インシデントが検出された日時。たとえば、 date-detected=Tue May 15 15:08:23 PDT 2012 などとなります。 |
incident-id | Enforce Server によって割り当てられたインシデント ID。同じ ID がインシデントレポートに表示されます。例: incident-id=35 |
protocol | 違反メッセージを転送するために使われたネットワークプロトコルの名前 (SMTP、HTTP など)。例: protocol=Email/SMTP |
data-owner-name | インシデントの修復に責任を持つ人。この属性はシステムによってポピュレートされません。代わりに、 [インシデントスナップショット] 画面の[インシデントの詳細] セクションで手動で設定するか、ルックアッププラグインを使用して自動的に設定します。この属性に基づくレポートは修復のためにデータ所有者に自動的に送信できます。 |
data-owner-email | インシデントの修復に責任を持つ人の電子メールアドレス。この属性はシステムによってポピュレートされません。代わりに、 [インシデントスナップショット] 画面の[インシデントの詳細] セクションで手動で設定するか、ルックアッププラグインを使用して自動的に設定します。 |
ルックアップパラメータキー | 説明 |
|---|---|
date-sent | 電子メールの場合、メッセージが送信された日時。例: date-sent=Mon Aug 15 11:46:55 PDT 2011 |
subject | 電子メールインシデントの場合はメッセージの件名。 |
file-create-date | ファイルが最初にその場所で作成されたか、別の場所からコピーされたかにかかわらず、そのファイルが現在の場所で作成された日付。オペレーティングシステムから取得されました。 |
file-access-date | ファイルが検査された日付。 |
file-created-by | エンドポイントにファイルを配置したユーザー。 |
file-modified-by | 違反するコピー処理が発生したコンピュータの完全修飾のユーザークレデンシャル。 |
file-owner | 違反ファイルが見つかったユーザーまたはコンピュータの名前。 |
discover-content-root-path | 発見インシデントの原因となったファイルのパスのルート。 |
discover-location | 発見インシデントの原因となったファイルの絶対パス。 |
discover-name | 違反ファイルの名前。 |
discover-extraction-date | 発見スキャン時にカプセル化ファイルからサブファイルが抽出された日付。 |
discover-server | スキャンするリポジトリの名前。 |
discover-notes-database | Lotus Notes リポジトリの発見スキャンの特定の属性。 |
discover-notes-url | Lotus Notes リポジトリの発見スキャンの特定の属性。 |
endpoint-volume-name | エンドポイントインシデントが発生したローカルドライブの名前。 |
endpoint-dos-volume-name | エンドポイントインシデントが発生したローカルドライブの Windows 名。 |
endpoint-application-name | 違反ファイルを開く (または作成する) ために最近使われたアプリケーションの名前。 |
endpoint-application-path | 違反ファイルを作成するか開くために使われたアプリケーションのパス。 |
endpoint-file-name | 違反ファイルの名前。 |
endpoint-file-path | ファイルのコピー先の場所。 |
ルックアップパラメータキー | 説明とコメント |
|---|---|
policy-name | 違反されたポリシーの名前。たとえば、 policy-name=Keyword Policy となります。 |
ルックアップパラメータキー | 説明 |
|---|---|
recipient-emailX | 受信者の電子メールアドレス。X は複数の受信者を区別するための重複のないインデックスです。たとえば、 recipient-email1 、recipient-ip1 、recipient-url1 、recipient-email2 、recipient-ip2 、recipient-url2 などとなります。 |
recipient-ipX | 受信者の IP アドレス。X は複数の受信者を区別するための重複のないインデックスです。上の例を見てください。 |
recipient-urlX | 受信者の URL。X は複数の受信者を区別するための重複のないインデックスです。上の例を見てください。 |
ルックアップパラメータキー | 説明 |
|---|---|
sender-email | Network Prevent (Email)(SMTP) インシデントの送信者の電子メールアドレス。 |
sender-ip | SMTP 以外のプロトコルにおけるエンドポイントおよびネットワークインシデントの送信者の IP アドレス。 |
sender-port | SMTP 以外のプロトコルにおけるネットワークインシデントの送信者のポート。 |
endpoint-user-name | 違反が発生したときにエンドポイントにログオンしていたユーザー。 |
endpoint-machine-name | 違反ファイルが存在するエンドポイントの名前。 |
ルックアップパラメータキー | 説明とコメント |
|---|---|
server-name | インシデントをレポートした検出サーバーの名前。この名前は、検出サーバー配備時にユーザーが定義および入力したものです。例: server-name=My Network Monitor |
ルックアップパラメータキー | 説明 |
|---|---|
monitor-name | インシデントをレポートした検出サーバーの名前。この名前は、検出サーバー配備時にユーザーが定義および入力したものです。例: server-name=My Network Monitor |
monitor-host | インシデントをレポートした検出サーバーの IP アドレス。例: monitor-host=127.0.0.1 |
monitor-id | システムによって定義された検出サーバーの数値識別子。例: monitor-id=1 |
ルックアップパラメータキー | 説明とコメント |
|---|---|
incident-status | インシデントの現在の状態。例: incident-status=incident.status.New |
ルックアップパラメータキー | 説明 |
|---|---|
acl-principalX | ACL が適用されるユーザーまたはグループを示す文字列。 |
acl-typeX | ACL がファイルに適用されるのか、共有に適用されるのかを示す文字列。 |
acl-grant-or-denyX | ACL が権限を与えるか拒否するかを示す文字列。 |
acl-permissionX | ACL が読み込みアクセスと書き込みアクセスのどちらを表すかを示す文字列。 |
ルックアップパラメータキー | 説明 |
|---|---|
common-user-name | レポートに表示されるユーザーの名前を表す文字列です。 |
common-user-id | ユーザーの重複のない識別子を表す文字列です。 |
client-user-id | 検出の要求を行うクライアントドメイン内のユーザーの識別子を表す文字列です。 |
client-domain | 検出の要求を行う REST クライアントのドメインを表す文字列です。 |
common-owner | データ所有者のユーザー ID を表す文字列です。保存されたデータ (DAR) 要求でのみ使用されます。 |
common-sharedwith | ファイルが共有されるすべてのユーザーのユーザー識別子の配列です。DAR 要求でのみ使用されます。 |