S'applique À : WatchGuard Data Control
WatchGuard EPDR ou WatchGuard EDR collectent des informations sur les processus exécutés sur tous les stations de travail et les serveurs du réseau. Si ces processus accèdent à des fichiers contenant des Données Personnelles Identifiables (PII), les informations sont envoyées au serveur WatchGuard Data Control, où elles sont organisées dans un tableau. Chaque ligne du tableau est un événement surveillé par Data Control et fournit des informations telles que le moment où l'événement s'est produit, l'ordinateur sur lequel il a eu lieu et son adresse IP, etc.
Votre rôle d'opérateur détermine ce que vous pouvez afficher et faire dans WatchGuard Cloud. Votre rôle doit disposer de la permission Accéder aux Informations Avancées de Data Control pour afficher ou configurer cette fonctionnalité. Pour de plus amples informations, accédez à Gérer les Opérateurs et Rôles de WatchGuard Cloud.
ops
Ce tableau de données stocke toutes les informations liées à la surveillance des fichiers avec PII.
| Champ | Description | Valeurs |
|---|---|---|
|
eventdate |
Date et heure auxquelles l'événement a été enregistré sur le serveur Data Control. La valeur dans l'UI de gestion dépend du fuseau horaire configuré sur l'ordinateur. |
Date |
|
serverdate |
Date et heure sur la station de travail ou le serveur lorsque l'événement a été généré (au format UTC). |
Date |
|
machineName |
Nom de la station de travail ou du serveur. |
Chaîne |
|
machineIP |
Adresse IP de la station de travail ou du serveur. |
Adresse IP |
|
user |
Nom d'utilisateur du processus qui a opéré sur le fichier. |
Chaîne |
|
exfiltrationFlag |
Indique si le fichier a fait l'objet d'une opération classée comme exfiltration de données, infiltration de données, ou les deux. |
Infiltration Exfiltration Both |
|
docSize |
Taille du fichier avec des PII (en octets). |
Numeric |
|
op |
Opération effectuée sur le fichier avec des PII. |
Créer Modifier Ouvrir Supprimer Renommer Copier-Coller OnDemand (recherche lancée depuis l'UI de gestion par l'administrateur) |
|
fatherHash |
MD5 du processus qui a opéré sur le fichier avec des PII. Ce champ sera vide si l'opération est à la demande (On Demand). |
Chaîne |
|
fatherPath |
Chemin d'accès du processus qui a opéré sur le fichier avec PII. Ce champ sera vide si l'opération est à la demande (On Demand). |
Chaîne |
|
fatherCategory |
Catégorie du processus qui a opéré sur le fichier avec des PII. Ce champ sera vide si l'opération est à la demande (On Demand). |
Logiciel Légitime Logiciel Malveillant Monitoring (unknown process in the process of classification) PUP (unwanted program) |
|
documentPath |
Lecteur où réside le fichier avec les PII sur lesquelles l'opération a été effectuée, ainsi que son chemin, au format : DEVICE TYPE|PATH |
Chaîne |
|
documentName |
Nom du fichier sur lequel l'opération a été effectuée. Lors des opérations de changement de nom, ce champ affiche la valeur DocumentName (Nom du Document) du fichier d'origine et la valeur DocumentName (Nom du Document) du fichier renommé, dans ce format : TARGET_NAME|ORIGINAL_NAME |
Chaîne String | String |
|
documentHash |
Hachage du fichier sur lequel l'opération a été effectuée. |
Chaîne |
|
deviceType |
Lecteur où réside le fichier avec les PII sur lesquelles l'opération a été effectuée. |
0: INCONNU 1: NO_ROOT_DIR (path is invalid or does not exist) 2 : REMOVABLE: Mobile device (external hard drive, card reader, USB device, etc.) 3 : FIXED: internal hard drive 5 : CDROM 6 : RAMDISK Chaîne |
|
creditCard |
Indique si le type de données du numéro de carte de crédit a été trouvé dans le fichier contenant les PII. |
Booléen |
|
bankAccount |
Indique si le type de données du numéro de compte bancaire a été trouvé dans le fichier contenant les PII. |
Booléen |
|
personalID |
Indique si le type de données du numéro de carte d'identité a été trouvé dans le fichier contenant les PII. |
Booléen |
|
driveLic |
Indique si le type de données du numéro de permis de conduire a été trouvé dans le fichier contenant les PII. |
Booléen |
|
passPort |
Indique si le type de données du numéro de passeport a été trouvé dans le fichier contenant les PII. |
Booléen |
|
SSId |
Indique si le type de données du numéro de sécurité sociale a été trouvé dans le fichier contenant les PII. |
Booléen |
|
|
Indique si le type de données de l'adresse e-mail a été trouvé dans le fichier contenant les informations personnelles. |
Booléen |
|
IP |
Indique si le type de données de l'adresse IP a été trouvé dans le fichier contenant les PII. |
Booléen |
|
name |
Indique si le type de données prénom et nom a été trouvé dans le fichier contenant les PII. |
Booléen |
|
address |
Indique si le type de données d'adresse physique a été trouvé dans le fichier contenant les PII. |
Booléen |
|
phone |
Indique si le type de données de numéro de téléphone a été trouvé dans le fichier contenant les PII. |
Booléen |
|
estimatedNumPII |
Nombre estimé de types de données trouvés. |
Numeric |
|
Reclassified |
True: Le fichier contenait des PII mais ne les contient plus. False: Le fichier n'a pas été reclassé et contient donc des PII. |
Booléen |
usrrules
Ce tableau de données stocke toutes les informations collectées à partir des fichiers spécifiés dans les règles définies par l'administrateur.
| Champ | Description | Valeurs |
|---|---|---|
|
eventdate |
Date et heure auxquelles l'événement a été enregistré sur le serveur Data Control. La valeur dans l'UI de gestion dépend du fuseau horaire configuré sur l'ordinateur. |
Date |
|
serverdate |
Date et heure sur la station de travail ou le serveur lorsque l'événement a été généré (au format UTC). |
Date |
|
machineName |
Nom de la station de travail ou du serveur. |
Chaîne de caractères |
|
machineIP |
Adresse IP de la station de travail ou du serveur. |
Adresse IP |
|
user |
Nom de l'utilisateur qui était connecté lorsque l'événement a été enregistré. |
Chaîne de caractères |
|
exfiltrationFlag |
Indique que le fichier a fait l'objet d'une opération classée comme exfiltration de données, infiltration de données, ou les deux. |
Infiltration Exfiltration Both |
|
docSize |
Taille du fichier en octets. |
Numeric |
|
op |
Opération effectuée sur le fichier avec des PII. |
Créer Modifier Ouvrir Supprimer Renommer Copier-Coller |
|
fatherHash |
MD5 du processus qui a opéré sur le fichier. |
Chaîne de caractères |
|
fatherPath |
Chemin d'accès du processus qui a opéré sur le fichier. |
Chaîne de caractères |
|
fatherCat |
Catégorie du processus qui a opéré sur le fichier. |
Logiciel Légitime Logiciel Malveillant Monitoring (unknown process in the process of classification) PUP (unwanted program) |
|
documentPath |
Lecteur sur lequel se trouve le fichier traité, ainsi que son chemin d'accès, au format suivant : DEVICE TYPE|PATH |
Chaîne de caractères |
|
documentName |
Nom du fichier sur lequel l'opération a été effectuée. Lors des opérations de changement de nom, ce champ affiche la valeur DocumentName (Nom du Document) du fichier d'origine et la valeur DocumentName (Nom du Document) du fichier renommé, dans ce format : TARGET_NAME|ORIGINAL_NAME |
Chaîne de caractères Chaîne de caractères | Chaîne de caractères |
|
documentHash |
Hachage du fichier sur lequel l'opération a été effectuée. |
Chaîne de caractères |
|
deviceType |
Lecteur où réside le fichier avec les PII sur lesquelles l'opération a été effectuée. |
0:UNKNOWN 1:NO_ROOT_DIR (path is invalid or does not exist) 2:REMOVABLE (portable device, external hard drive, card reader, USB device, etc.) 3 : FIXED (internal hard drive) 5 : CDROM 6 : RAMDISK Chaîne de caractères |
|
usrRules |
Noms des règles saisies dans l'UI de gestion de WatchGuard Endpoint Security qui surveillent le fichier. Ils sont séparés par le caractère | (barre verticale). |
Chaîne de caractères | Chaîne de caractères | Chaîne de caractères |
usrrulesmail
Ce tableau de données stocke toutes les informations collectées à partir des e-mails contenant des fichiers surveillés comme spécifié dans les règles définies par l'administrateur.
| Champ | Description | Valeurs |
|---|---|---|
|
eventdate |
Date et heure auxquelles l'événement a été enregistré sur le serveur Data Control. La valeur dans l'UI de gestion dépend du fuseau horaire configuré sur l'ordinateur. |
Date |
|
serverdate |
Date et heure sur la station de travail ou le serveur lorsque l'événement a été généré (au format UTC). |
Date |
|
machineName |
Nom de la station de travail ou du serveur. |
Chaîne de caractères |
|
machineIP |
Adresse IP de la station de travail ou du serveur. |
Adresse IP |
|
loggeduser |
Nom de l'utilisateur qui était connecté lorsque l'événement a été enregistré. |
Chaîne de caractères |
|
msgID |
Identifiant unique du message. |
Chaîne de caractères |
|
msgTo |
Adresse e-mail du destinataire du message. |
Chaîne de caractères |
|
msgFrom |
Adresse e-mail de l'expéditeur du message. |
Chaîne de caractères |
|
msgSentDate |
Date à laquelle le message a été envoyé. Dans les messages reçus, ce champ est Null. |
Date |
|
msgSubject |
Objet du message. |
Chaîne de caractères |
|
msgReceivedDate |
Date à laquelle le message a été reçu. Dans les messages envoyés, ce champ est Null. |
Chaîne de caractères |
|
msgElement |
Élément surveillé dans le message. |
Chaîne de caractères “Attachment” |
|
msgElementSize |
Taille du fichier surveillé. |
Numeric |
|
msgElementName |
Nom du fichier surveillé. |
Chaîne de caractères |
|
msgElementHash |
MD5 du fichier surveillé. |
Chaîne de caractères |
|
msgExfiltrationFlag |
Indique que le fichier a fait l'objet d'une opération classée comme exfiltration de données, infiltration de données, ou les deux. |
INFILTRATION EXFILTRATION BOTH |
|
usrRules |
Noms des règles saisies dans l'UI de gestion de WatchGuard Endpoint Security qui surveillent le fichier. Ils sont séparés par le caractère | (barre verticale). |
Chaîne de caractères | Chaîne de caractères | Chaîne de caractères... |
Ce tableau de données stocke toutes les informations collectées à partir des e-mails contenant des fichiers classés comme PII, ainsi que les caractéristiques des fichiers avec données personnelles.
| Champ | Description | Valeurs |
|---|---|---|
|
eventdate |
Date et heure auxquelles l'événement a été enregistré sur le serveur Data Control. La valeur dans l'UI de gestion dépend du fuseau horaire configuré sur l'ordinateur. |
Date |
|
serverdate |
Date et heure sur la station de travail ou le serveur lorsque l'événement a été généré (au format UTC). |
Date |
|
machineName |
Nom de la station de travail ou du serveur. |
Chaîne de caractères |
|
machineIP |
Adresse IP de la station de travail ou du serveur. |
Adresse IP |
|
LoggedUser |
Nom de l'utilisateur connecté lorsque l'événement a été enregistré. |
Chaîne de caractères |
|
msgID |
Identifiant unique du message. |
Chaîne de caractères |
|
msgTo |
Adresse e-mail du destinataire du message. |
Chaîne de caractères |
|
msgFrom |
Adresse e-mail de l'expéditeur du message. |
Chaîne de caractères |
|
msgSentDate |
Date à laquelle le message a été envoyé. Dans les messages reçus, ce champ est Null. |
Date |
|
msgSubject |
Objet du message. |
Chaîne de caractères |
|
msgReceivedDate |
Date à laquelle le message a été reçu. Dans les messages envoyés, ce champ est Null. |
Chaîne de caractères |
|
msgElement |
Élément surveillé dans le message. |
Chaîne de caractères “Attachment” |
|
msgElementSize |
Taille du fichier surveillé. |
Numeric |
|
msgElementName |
Nom du fichier surveillé. |
Chaîne de caractères |
|
msgElementHash |
MD5 du fichier surveillé. |
Chaîne de caractères |
|
msgExfiltrationFlag |
Indique que le fichier a fait l'objet d'une opération classée comme exfiltration de données, infiltration de données, ou les deux. |
INFILTRATION EXFILTRATION BOTH |
|
creditCard |
Indique si le type de données du numéro de carte de crédit a été trouvé dans le fichier contenant les PII. |
Booléen |
|
bankAccount |
Indique si le type de données du numéro de compte bancaire a été trouvé dans le fichier contenant les PII. |
Booléen |
|
personalID |
Indique si le type de données du numéro d'identification personnel a été trouvé dans le fichier contenant les informations personnelles. |
Booléen |
|
driveLic |
Indique si le type de données de numéro de permis de conduire a été trouvé dans le fichier contenant les PII. |
Booléen |
|
passPort |
Indique si le type de données de numéro de Passeport a été trouvé dans le fichier contenant les PII. |
Booléen |
|
SSId |
Indique si le type de données du numéro de sécurité sociale a été trouvé dans le fichier contenant les PII. |
Booléen |
|
|
Indique si le type de données de l'adresse e-mail a été trouvé dans le fichier contenant les informations personnelles. |
Booléen |
|
IP |
Indique si le type de données d'adresse IP a été trouvé dans le fichier contenant les PII. |
Booléen |
|
name |
Indique si le type de données prénom et nom a été trouvé dans le fichier contenant les PII. |
Booléen |
|
address |
Indique si le type de données d'adresse physique a été trouvé dans le fichier contenant les PII. |
Booléen |
|
phone |
Indique si le type de données de numéro de téléphone a été trouvé dans le fichier contenant les PII. |
Booléen |
|
estimatedNumPII |
Nombre estimé de types de données trouvés. |
Numeric |