Aplica A: WatchGuard Data Control
WatchGuard EPDR o WatchGuard EDR recopilan información sobre los procesos ejecutados en todas las estaciones de trabajo y servidores de la red. Si esos procesos obtienen acceso a archivos con información de identificación personal (PII), la información se envía al servidor de WatchGuard Data Control, donde se organiza en una tabla. Cada línea de la tabla es un evento monitorizado por Data Control y proporciona información como cuándo ocurrió el evento, la computadora donde tuvo lugar y su dirección IP, y más.
Su rol de operador determina lo que puede ver y hacer en WatchGuard Cloud. Su rol debe tener el permiso Acceder a Información de Data Control Avanzada para ver o configurar esta función. Para más información, vaya a Administrar Operadores y Roles de WatchGuard Cloud.
ops
Esta tabla de datos almacena toda la información relacionada con el seguimiento de archivos con PII.
| Campo | Descripción | Valores |
|---|---|---|
eventdate | Fecha y hora en la que se registró el evento en el servidor de Data Control. El valor en la UI de administración depende de la zona horaria configurada en la computadora. | Fecha |
serverdate | Fecha y hora en la estación de trabajo o servidor cuando se generó el evento (en formato UTC). | Fecha |
machineName | Nombre de la estación de trabajo o del servidor. | Cadena |
machineIP | Dirección IP de la estación de trabajo o del servidor. | Dirección IP |
user | Nombre de usuario del proceso que operó en el archivo. | Cadena |
exfiltrationFlag | Indica si el archivo fue objeto de una operación clasificada como exfiltración de datos, infiltración de datos o ambas. | Infiltración Exfiltración Ambos |
docSize | Tamaño del archivo con PII (en bytes). | Numérico |
op | Operación realizada sobre el fichero con PII. | Crear Modificar Abrir Eliminar Renombrar Copy-Paste OnDemand (búsqueda lanzada desde la UI de administración por el administrador) |
fatherHash | MD5 del proceso que operó en el archivo con PII. Este campo estará vacío si la operación es On Demand. | Cadena |
fatherPath | Ruta del proceso que operó en el archivo con PII. Este campo estará vacío si la operación es On Demand. | Cadena |
fatherCategory | Categoría del proceso que operó en el archivo con PII. Este campo estará vacío si la operación es On Demand. | Goodware Malware Monitorización (proceso desconocido en el proceso de clasificación) PUP (programa no deseado) |
documentPath | Unidad en la que reside el archivo con PII que se operó, y su ruta, en este formato: DEVICE TYPE|PATH | Cadena |
documentName | Nombre del archivo operado. En operaciones de cambio de nombre, este campo muestra el valor DocumentName del archivo original y el valor DocumentName del archivo cuyo nombre ha cambiado, en este formato: TARGET_NAME|ORIGINAL_NAME | Cadena Cadena | Cadena |
documentHash | Hash del archivo operado. | Cadena |
deviceType | Unidad en la que reside el archivo con PII operado. | 0: UNKNOWN 1: NO_ROOT_DIR (la ruta no es válida o no existe) 2: REMOVABLE: Dispositivo móvil (disco duro externo, lector de tarjetas, dispositivo USB, etc.) 3: FIXED: Disco duro interno 5: CDROM 6: RAMDISK Cadena |
creditCard | Indica si el tipo de datos del número de tarjeta de crédito se encontró en el archivo con PII. | Booleano |
bankAccount | Indica si el tipo de datos del número de cuenta bancaria se encontró en el archivo con PII. | Booleano |
personalID | Indica si el tipo de datos del número de tarjeta de ID se encontró en el archivo con PII. | Booleano |
driveLic | Indica si se encontró el tipo de datos del número de licencia de conducir en el archivo con PII. | Booleano |
passPort | Indica si el tipo de datos del número de pasaporte se encontró en el archivo con PII. | Booleano |
SSId | Indica si se encontró el tipo de datos del número de seguro social en el archivo con PII. | Booleano |
Indica si el tipo de datos de la dirección de correo electrónico se encontró en el archivo con PII. | Booleano | |
IP | Indica si el tipo de datos de la dirección IP se encontró en el archivo con PII. | Booleano |
nombre | Indica si se encontró el tipo de datos de nombre y apellido en el archivo con PII. | Booleano |
address | Indica si se encontró el tipo de datos de la dirección física en el archivo con PII. | Booleano |
phone | Indica si el tipo de datos del número de teléfono se encontró en el archivo con PII. | Booleano |
estimatedNumPII | Número estimado de tipos de datos encontrados. | Numérico |
Reclasificado | Verdadero: El archivo contenía PII pero ya no más. Falso: El archivo no ha sido reclasificado y por lo tanto contiene PII. | Booleano |
usrrules
Esta tabla de datos almacena toda la información recopilada de los archivos especificados en las reglas definidas por el administrador.
| Campo | Descripción | Valores |
|---|---|---|
eventdate | Fecha y hora en la que se registró el evento en el servidor de Data Control. El valor en la UI de administración depende de la zona horaria configurada en la computadora. | Fecha |
serverdate | Fecha y hora en la estación de trabajo o servidor cuando se generó el evento (en formato UTC). | Fecha |
machineName | Nombre de la estación de trabajo o del servidor. | Cadena de caracteres |
machineIP | Dirección IP de la estación de trabajo o del servidor. | Dirección IP |
user | Nombre del usuario que inició sesión cuando se registró el evento. | Cadena de caracteres |
exfiltrationFlag | Indica que el archivo ha sido objeto de una operación clasificada como exfiltración de datos, infiltración de datos o ambas. | Infiltración Exfiltración Both |
docSize | Tamaño del archivo en bytes. | Numeric |
op | Operación realizada sobre el fichero con PII. | Crear Modificar Abrir Eliminar Renombrar Copy-Paste |
fatherHash | MD5 del proceso que operó en el archivo. | Cadena de caracteres |
fatherPath | Ruta del proceso que operó en el archivo. | Cadena de caracteres |
fatherCat | Categoría del proceso que operó en el archivo. | Goodware Malware Monitoring (unknown process in the process of classification) PUP (unwanted program) |
documentPath | Unidad donde se encuentra el archivo sobre el que se trabajó, y su ruta, en este formato: DEVICE TYPE|PATH | Cadena de caracteres |
documentName | Nombre del archivo operado. En operaciones de cambio de nombre, este campo muestra el valor DocumentName del archivo original y el valor DocumentName del archivo cuyo nombre ha cambiado, en este formato: TARGET_NAME|ORIGINAL_NAME | Cadena de caracteres Cadena de caracteres | Cadena de caracteres |
documentHash | Hash del archivo operado. | Cadena de caracteres |
deviceType | Unidad en la que reside el archivo con PII operado. | 0:UNKNOWN 1:NO_ROOT_DIR (la ruta no es válida o no existe) 2:REMOVABLE (dispositivo portátil, disco duro externo, lector de tarjetas, dispositivo USB, etc.) 3: FIXED (Disco duro interno) 5: CDROM 6: RAMDISK Cadena de caracteres |
usrRules | Nombres de las reglas ingresadas en la UI de administración de WatchGuard Endpoint Security que monitorizan el archivo. Se separan con el caracter | (pleca). | Cadena de caracteres | Cadena de caracteres | Cadena de caracteres |
usrrulesmail
Esta tabla de datos almacena toda la información recopilada de los mensajes de correo electrónico que contienen archivos monitorizados según lo especificado en las reglas definidas por el administrador.
| Campo | Descripción | Valores |
|---|---|---|
eventdate | Fecha y hora en la que se registró el evento en el servidor de Data Control. El valor en la UI de administración depende de la zona horaria configurada en la computadora. | Fecha |
serverdate | Fecha y hora en la estación de trabajo o servidor cuando se generó el evento (en formato UTC). | Fecha |
machineName | Nombre de la estación de trabajo o del servidor. | Cadena de caracteres |
machineIP | Dirección IP de la estación de trabajo o del servidor. | Dirección IP |
loggeduser | Nombre del usuario que inició sesión cuando se registró el evento. | Cadena de caracteres |
msgID | Identificación única del mensaje. | Cadena de caracteres |
msgTo | Dirección de correo electrónico del destinatario del mensaje. | Cadena de caracteres |
msgFrom | Dirección de correo electrónico del remitente del mensaje. | Cadena de caracteres |
msgSentDate | Fecha en que se envió el mensaje. En los mensajes recibidos, este campo es nulo (Null). | Fecha |
msgSubject | Asunto del mensaje. | Cadena de caracteres |
msgReceivedDate | Fecha en que se recibió el mensaje. En los mensajes enviados, este campo es nulo (Null). | Cadena de caracteres |
msgElement | Elemento monitorizado en el mensaje. | Cadena de caracteres "Adjunto" |
msgElementSize | Tamaño del archivo monitorizado. | Numeric |
msgElementName | Nombre del archivo monitorizado. | Cadena de caracteres |
msgElementHash | MD5 del archivo monitorizado. | Cadena de caracteres |
msgExfiltrationFlag | Indica que el archivo ha sido objeto de una operación clasificada como exfiltración de datos, infiltración de datos o ambas. | INFILTRACIÓN EXFILTRACIÓN AMBOS |
usrRules | Nombres de las reglas ingresadas en la UI de administración de WatchGuard Endpoint Security que monitorizan el archivo. Se separan con el caracter | (pleca). | Cadena de caracteres | Cadena de caracteres | Cadena de caracteres... |
Esta tabla de datos almacena toda la información recogida de los mensajes de correo electrónico que contienen archivos clasificados como PII, así como las características de los archivos con datos personales.
| Campo | Descripción | Valores |
|---|---|---|
eventdate | Fecha y hora en la que se registró el evento en el servidor de Data Control. El valor en la UI de administración depende de la zona horaria configurada en la computadora. | Fecha |
serverdate | Fecha y hora en la estación de trabajo o servidor cuando se generó el evento (en formato UTC). | Fecha |
machineName | Nombre de la estación de trabajo o del servidor. | Cadena de caracteres |
machineIP | Dirección IP de la estación de trabajo o del servidor. | Dirección IP |
LoggedUser | Nombre del usuario conectado cuando se registró el evento. | Cadena de caracteres |
msgID | Identificación única del mensaje. | Cadena de caracteres |
msgTo | Dirección de correo electrónico del destinatario del mensaje. | Cadena de caracteres |
msgFrom | Dirección de correo electrónico del remitente del mensaje. | Cadena de caracteres |
msgSentDate | Fecha en que se envió el mensaje. En los mensajes recibidos, este campo es nulo (Null). | Fecha |
msgSubject | Asunto del mensaje. | Cadena de caracteres |
msgReceivedDate | Fecha en que se recibió el mensaje. En los mensajes enviados, este campo es nulo (Null). | Cadena de caracteres |
msgElement | Elemento monitorizado en el mensaje. | Cadena de caracteres "Adjunto" |
msgElementSize | Tamaño del archivo monitorizado. | Numérico |
msgElementName | Nombre del archivo monitorizado. | Cadena de caracteres |
msgElementHash | MD5 del archivo monitorizado. | Cadena de caracteres |
msgExfiltrationFlag | Indica que el archivo ha sido objeto de una operación clasificada como exfiltración de datos, infiltración de datos o ambas. | INFILTRACIÓN EXFILTRACIÓN AMBOS |
creditCard | Indica si el tipo de datos del número de tarjeta de crédito se encontró en el archivo con PII. | Booleano |
bankAccount | Indica si el tipo de datos del número de cuenta bancaria se encontró en el archivo con PII. | Booleano |
personalID | Indica si el tipo de datos del DNI personal se encontró en el archivo con PII. | Booleano |
driveLic | Indica si se encontró el tipo de datos del número de licencia de conducir en el archivo con PII. | Booleano |
passPort | Indica si el tipo de datos del número de Pasaporte se encontró en el archivo con PII. | Booleano |
SSId | Indica si se encontró el tipo de datos del número de seguro social en el archivo con PII. | Booleano |
Indica si el tipo de datos de la dirección de correo electrónico se encontró en el archivo con PII. | Booleano | |
IP | Indica si el tipo de datos de dirección IP se encontró en el archivo con PII. | Booleano |
nombre | Indica si se encontró el tipo de datos de nombre y apellido en el archivo con PII. | Booleano |
address | Indica si se encontró el tipo de datos de la dirección física en el archivo con PII. | Booleano |
phone | Indica si el tipo de datos número de teléfono se encontró en el archivo con PII. | Booleano |
estimatedNumPII | Número estimado de tipos de datos encontrados. | Numeric |