Gilt für: WatchGuard Data Control
WatchGuard EPDR oder WatchGuard EDR sammeln Informationen über die auf allen Workstations und Servern im gesamten Netzwerk ausgeführten Prozesse. Falls diese Prozesse auf Dateien mit personenbezogenen Daten (PII) zugreifen, werden die Informationen an den WatchGuard Data Control-Server gesendet, wo sie in einer Tabelle organisiert werden.Jede Zeile der Tabelle stellt ein von Data Control überwachtes Ereignis dar und enthält Informationen zum Beispiel darüber, wann das Ereignis stattfand, auf welchem Computer es stattfand und die IP-Adresse dieses Computers.
Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Zugriff auf erweiterte Data Control-Informationen haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.
ops
Diese Datentabelle speichert alle Informationen im Zusammenhang mit der Überwachung von Dateien mit personenbezogenen Daten.
| Feld | Beschreibung | Werte |
|---|---|---|
|
eventdate |
Datum und Uhrzeit, als das Ereignis auf dem Data Control-Server protokolliert wurde. Der Wert in der Verwaltungsoberfläche hängt von der auf dem Computer konfigurierten Zeitzone ab. |
Datum |
|
serverdate |
Datum und Uhrzeit auf Workstation oder Server, als das Ereignis generiert wurde (im Format UTC). |
Datum |
|
machineName |
Name von Workstation oder Server. |
Zeichenfolge |
|
machineIP |
IP-Adresse von Workstation oder Server. |
IP-Adresse |
|
user |
Benutzername des Prozesses, der einen Vorgang an der Datei ausgeführt hat. |
Zeichenfolge |
|
exfiltrationFlag |
Zeigt an, ob die Datei von einem Vorgang betroffen war, der als Datenexfiltration, Dateninfiltration oder beides klassifiziert ist. |
Infiltration Exfiltration Beide |
|
docSize |
Größe der Datei mit PII (in Bytes). |
Numerisch |
|
op |
An der Datei mit PII durchgeführter Vorgang. |
Erstellen Modify Open Löschen Umbenennen Copy-Paste OnDemand (vom Administrator in der Verwaltungsoberfläche gestartete Suche) |
|
fatherHash |
MD5 des Prozesses, der einen Vorgang an der Datei mit PII ausgeführt hat. Dieses Feld ist leer, wenn der Vorgang On Demand ist. |
Zeichenfolge |
|
fatherPath |
Pfad des Prozesses, der einen Vorgang an der Datei mit PII ausgeführt hat. Dieses Feld ist leer, wenn der Vorgang On Demand ist. |
Zeichenfolge |
|
fatherCategory |
Kategorie des Prozesses, der einen Vorgang an der Datei mit PII ausgeführt hat. Dieses Feld ist leer, wenn der Vorgang On Demand ist. |
Goodware Malware Überwachung (unbekannter Prozess im Klassifizierungsprozess) PUP (unerwünschtes Programm) |
|
documentPath |
Laufwerk, auf dem die Datei mit PII, an der ein Vorgang ausgeführt wurde, gespeichert ist und ihr Pfad im folgendem Format: GERÄTETYP|PFAD |
Zeichenfolge |
|
documentName |
Name der Datei, an der ein Vorgang ausgeführt wurde. Bei Umbenennungsvorgängen zeigt dieses Feld den DocumentName-Wert der ursprünglichen Datei und den DocumentName-Wert der umbenannten Datei im folgendem Format an: TARGET_NAME|ORIGINAL_NAME |
Zeichenfolge Zeichenfolge | Zeichenfolge |
|
documentHash |
Hash der Datei, an der ein Vorgang ausgeführt wurde. |
Zeichenfolge |
|
devicetype |
Laufwerk, auf dem sich die Datei mit PII befindet, an der ein Vorgang ausgeführt wurde. |
0: UNBEKANNT 1: NO_ROOT_DIR (Pfad ist ungültig oder existiert nicht) 2: REMOVABLE: Mobile device (externe Festplatte, Kartenleser, USB-Gerät usw.) 3: FIXED: Interne Festplatte 5: CDROM 6: RAMDISK Zeichenfolge |
|
creditCard |
Zeigt an, ob der Datentyp Kreditkartennummer in der Datei mit PII gefunden wurde. |
Boolesch |
|
bankAccount |
Zeigt an, ob der Datentyp Bankkontonummer in der Datei mit PII gefunden wurde. |
Boolesch |
|
personalID |
Zeigt an, ob der Datentyp Ausweisnummer in der Datei mit PII gefunden wurde. |
Boolesch |
|
driveLic |
Zeigt an, ob der Datentyp Führerscheinnummer in der Datei mit PII gefunden wurde. |
Boolesch |
|
passPort |
Zeigt an, ob der Datentyp Reisepassnummer in der Datei mit PII gefunden wurde. |
Boolesch |
|
SSID |
Zeigt an, ob der Datentyp Sozialversicherungsnummer in der Datei mit PII gefunden wurde. |
Boolesch |
|
|
Zeigt an, ob der Datentyp E-Mail-Adresse in der Datei mit PII gefunden wurde. |
Boolesch |
|
IP |
Zeigt an, ob der Datentyp IP-Adresse in der Datei mit PII gefunden wurde. |
Boolesch |
|
name |
Zeigt an, ob der Datentyp Vor- und Nachname in der Datei mit PII gefunden wurde. |
Boolesch |
|
address |
Zeigt an, ob der Datentyp Anschrift in der Datei mit PII gefunden wurde. |
Boolesch |
|
phone |
Zeigt an, ob der Datentyp Telefonnummer in der Datei mit PII gefunden wurde. |
Boolesch |
|
estimatedNumPII |
Geschätzte Zahl der gefundenen Datentypen. |
Numerisch |
|
Reclassified |
Richtig: Die Datei hat zuvor PII enthalten, aber enthält sie nicht mehr. Falsch: Die Datei wurde nicht neu klassifiziert und beinhaltet somit PII. |
Boolesch |
usrrules
Diese Datentabelle speichert alle Informationen, die aus Dateien erfasst wurden, die in den vom Administrator festgelegten Richtlinien angegeben wurden.
| Feld | Beschreibung | Werte |
|---|---|---|
|
eventdate |
Datum und Uhrzeit, als das Ereignis auf dem Data Control-Server protokolliert wurde. Der Wert in der Verwaltungsoberfläche hängt von der auf dem Computer konfigurierten Zeitzone ab. |
Datum |
|
serverdate |
Datum und Uhrzeit auf Workstation oder Server, als das Ereignis generiert wurde (im Format UTC). |
Datum |
|
machineName |
Name von Workstation oder Server. |
Zeichenkette |
|
machineIP |
IP-Adresse von Workstation oder Server. |
IP-Adresse |
|
user |
Name des Benutzers, der angemeldet war, als das Ereignis protokolliert wurde. |
Zeichenkette |
|
exfiltrationFlag |
Zeigt an, dass die Datei von einem Vorgang betroffen war, der als Datenexfiltration, Dateninfiltration oder beides klassifiziert ist. |
Infiltration Exfiltration Beide |
|
docSize |
Größe der Datei in Bytes. |
Numerisch |
|
op |
An der Datei mit PII durchgeführter Vorgang. |
Erstellen Modify Open Löschen Umbenennen Copy-Paste |
|
fatherHash |
MD5 des Prozesses, der einen Vorgang an der Datei ausgeführt hat. |
Zeichenkette |
|
fatherPath |
Pfad des Prozesses, der einen Vorgang an der Datei ausgeführt hat. |
Zeichenkette |
|
fatherCat |
Kategorie des Prozesses, der einen Vorgang an der Datei ausgeführt hat. |
Goodware Malware Monitoring (unknown process in the process of classification) PUP (unerwünschtes Programm) |
|
documentPath |
Laufwerk, auf dem die Datei, an der ein Vorgang ausgeführt wurde, gespeichert ist und ihr Pfad im folgendem Format: GERÄTETYP|PFAD |
Zeichenkette |
|
documentName |
Name der Datei, an der ein Vorgang ausgeführt wurde. Bei Umbenennungsvorgängen zeigt dieses Feld den DocumentName-Wert der ursprünglichen Datei und den DocumentName-Wert der umbenannten Datei im folgendem Format an: TARGET_NAME|ORIGINAL_NAME |
Zeichenkette Zeichenkette | Zeichenkette |
|
documentHash |
Hash der Datei, an der ein Vorgang ausgeführt wurde. |
Zeichenkette |
|
devicetype |
Laufwerk, auf dem sich die Datei mit PII befindet, an der ein Vorgang ausgeführt wurde. |
0 (Unbekannt) 1:NO_ROOT_DIR (path is invalid or does not exist) 2:REMOVABLE(portable device, external hard drive, card reader, USB device, etc.) 3: FIXED (internal hard drive) 5: CDROM 6: RAMDISK Zeichenkette |
|
usrrules |
Namen der in der WatchGuard Endpoint Security-Verwaltungsoberfläche eingegebenen Richtlinien, die die Datei überwachen. Sie werden durch einen senkrechten Strich | (Pipe) getrennt. |
Zeichenkette | Zeichenkette | Zeichenkette |
usrrulesmail
Diese Datentabelle speichert alle Informationen, die aus E-Mail-Nachrichten stammen, die Dateien enthalten, die gemäß den vom Administrator festgelegten Richtlinien überwacht werden.
| Feld | Beschreibung | Werte |
|---|---|---|
|
eventdate |
Datum und Uhrzeit, als das Ereignis auf dem Data Control-Server protokolliert wurde. Der Wert in der Verwaltungsoberfläche hängt von der auf dem Computer konfigurierten Zeitzone ab. |
Datum |
|
serverdate |
Datum und Uhrzeit auf Workstation oder Server, als das Ereignis generiert wurde (im Format UTC). |
Datum |
|
machineName |
Name von Workstation oder Server. |
Zeichenkette |
|
machineIP |
IP-Adresse von Workstation oder Server. |
IP-Adresse |
|
loggeduser |
Name des Benutzers, der angemeldet war, als das Ereignis protokolliert wurde. |
Zeichenkette |
|
msgID |
Eindeutige ID der Nachricht. |
Zeichenkette |
|
msgTo |
E-Mail-Adresse des Empfängers der Nachricht. |
Zeichenkette |
|
msgFrom |
E-Mail-Adresse des Absenders der Nachricht. |
Zeichenkette |
|
msgSentDate |
Datum, an dem die Nachricht gesendet wurde. Bei empfangenen Nachrichten ist dieses Feld Null. |
Datum |
|
msgSubject |
Betreff der Nachricht. |
Zeichenkette |
|
msgReceivedDate |
Datum, an dem die Nachricht empfangen wurde. Bei gesendeten Nachrichten ist dieses Feld Null. |
Zeichenkette |
|
msgElement |
Überwachtes Element in der Nachricht. |
“Anhang” Zeichenkette |
|
msgElementSize |
Größe der überwachten Datei. |
Numerisch |
|
msgElementName |
Name der überwachten Datei. |
Zeichenkette |
|
msgElementHash |
MD5 der überwachten Datei. |
Zeichenkette |
|
msgExfiltrationFlag |
Zeigt an, dass die Datei von einem Vorgang betroffen war, der als Datenexfiltration, Dateninfiltration oder beides klassifiziert ist. |
INFILTRATION EXFILTRATION Beide |
|
usrrules |
Namen der in der WatchGuard Endpoint Security-Verwaltungsoberfläche eingegebenen Richtlinien, die die Datei überwachen. Sie werden durch einen senkrechten Strich | (Pipe) getrennt. |
Zeichenkette | Zeichenkette | Zeichenkette... |
Diese Datentabelle speichert alle Informationen aus E-Mail-Nachrichten, die als PII klassifizierte Dateien enthalten, sowie die Merkmale der Dateien mit personenbezogenen Daten.
| Feld | Beschreibung | Werte |
|---|---|---|
|
eventdate |
Datum und Uhrzeit, als das Ereignis auf dem Data Control-Server protokolliert wurde. Der Wert in der Verwaltungsoberfläche hängt von der auf dem Computer konfigurierten Zeitzone ab. |
Datum |
|
serverdate |
Datum und Uhrzeit auf Workstation oder Server, als das Ereignis generiert wurde (im Format UTC). |
Datum |
|
machineName |
Name von Workstation oder Server. |
Zeichenkette |
|
machineIP |
IP-Adresse von Workstation oder Server. |
IP-Adresse |
|
loggedUser |
Name of the logged-in user when the event was logged. |
Zeichenkette |
|
msgID |
Eindeutige ID der Nachricht. |
Zeichenkette |
|
msgTo |
E-Mail-Adresse des Empfängers der Nachricht. |
Zeichenkette |
|
msgFrom |
E-Mail-Adresse des Absenders der Nachricht. |
Zeichenkette |
|
msgSentDate |
Datum, an dem die Nachricht gesendet wurde. Bei empfangenen Nachrichten ist dieses Feld Null. |
Datum |
|
msgSubject |
Betreff der Nachricht. |
Zeichenkette |
|
msgReceivedDate |
Datum, an dem die Nachricht empfangen wurde. Bei gesendeten Nachrichten ist dieses Feld Null. |
Zeichenkette |
|
msgElement |
Überwachtes Element in der Nachricht. |
“Anhang” Zeichenkette |
|
msgElementSize |
Größe der überwachten Datei. |
Numerisch |
|
msgElementName |
Name der überwachten Datei. |
Zeichenkette |
|
msgElementHash |
MD5 der überwachten Datei. |
Zeichenkette |
|
msgExfiltrationFlag |
Zeigt an, dass die Datei von einem Vorgang betroffen war, der als Datenexfiltration, Dateninfiltration oder beides klassifiziert ist. |
INFILTRATION EXFILTRATION Beide |
|
creditCard |
Zeigt an, ob der Datentyp Kreditkartennummer in der Datei mit PII gefunden wurde. |
Boolesch |
|
bankAccount |
Zeigt an, ob der Datentyp Bankkontonummer in der Datei mit PII gefunden wurde. |
Boolesch |
|
personalID |
Zeigt an, ob der Datentyp Personalausweisnummer in der Datei mit PII gefunden wurde. |
Boolesch |
|
driveLic |
Zeigt an, ob der Datentyp Führerscheinnummer in der Datei mit PII gefunden wurde. |
Boolesch |
|
passPort |
Zeigt an, ob der Datentyp Reisepassnummer in der Datei mit PII gefunden wurde. |
Boolesch |
|
SSID |
Zeigt an, ob der Datentyp Sozialversicherungsnummer in der Datei mit PII gefunden wurde. |
Boolesch |
|
|
Zeigt an, ob der Datentyp E-Mail-Adresse in der Datei mit PII gefunden wurde. |
Boolesch |
|
IP |
Zeigt an, ob der Datentyp IP-Adresse in der Datei mit PII gefunden wurde. |
Boolesch |
|
name |
Zeigt an, ob der Datentyp Vor- und Nachname in der Datei mit PII gefunden wurde. |
Boolesch |
|
address |
Zeigt an, ob der Datentyp Anschrift in der Datei mit PII gefunden wurde. |
Boolesch |
|
phone |
Zeigt an, ob der Datentyp Telefonnummer in der Datei mit PII gefunden wurde. |
Boolesch |
|
estimatedNumPII |
Geschätzte Zahl der gefundenen Datentypen. |
Numerisch |