適用対象: WatchGuard Data Control
WatchGuard EPDR または WatchGuard EDR では、ネットワーク全体に存在するすべてのワークステーションとサーバーで実行されたプロセスに関する情報が収集されます。こうしたプロセスから個人識別情報 (PII) が含まれているファイルへのアクセスが発生すると、情報が WatchGuard Data Control サーバーに送信され、そこでテーブルに編成されます。テーブルの各行は、Data Control によって監視されるイベントです。これにより、イベントの発生時刻、イベントが発生したコンピュータ、その IP アドレスなどの情報が提供されます。
管理ユーザーのロールに応じて、WatchGuard Cloud で表示および実行できる内容が異なります。この機能を表示または構成するには、高度な Data Control 情報にアクセスする 権限のあるロールが付与されている必要があります。詳細については、次を参照してください:WatchGuard Cloud 管理ユーザーとロールを管理する。
ops
このデータ テーブルには、PII が含まれているファイルの監視に関連するすべての情報が保存されます。
| フィールド | 説明 | 値 |
|---|---|---|
|
eventdate |
イベントが Data Control サーバーに記録された日時。管理 UI の値は、コンピュータに設定されているタイム ゾーンによって異なります。 |
日付 |
|
serverdate |
イベントが生成された際のワークステーションまたはサーバーの日時 (UTC 形式)。 |
日付 |
|
machineName |
ワークステーションまたはサーバーの名前。 |
String |
|
machineIP |
ワークステーションまたはサーバーの IP アドレス。 |
IP アドレス |
|
user |
ファイルを操作したプロセスのユーザー名。 |
String |
|
exfiltrationFlag |
ファイルがデータ抽出、データ侵入、またはその両方として分類されている操作の対象となったかどうかが示されます。 |
Infiltration Exfiltration Both |
|
docSize |
PII が含まれているファイルのサイズ (バイト単位)。 |
数値 |
|
op |
PII が含まれているファイルに対して実行された操作。 |
Create Modify 開く Delete Rename Copy-Paste オンデマンド (管理者が管理 UI から起動した検索) |
|
fatherHash |
PII が含まれているファイルを操作したプロセスの MD5。操作がオンデマンドの場合は、このフィールドは空になります。 |
String |
|
fatherPath |
PII が含まれているファイルを操作したプロセスのパス。操作がオンデマンドの場合は、このフィールドは空になります。 |
String |
|
fatherCategory |
PII が含まれているファイルを操作したプロセスのカテゴリ。操作がオンデマンドの場合は、このフィールドは空になります。 |
Goodware Malware Monitoring (分類中の不明なプロセス) PUP (不要なプログラム) |
|
documentPath |
操作された PII ファイルが保存されているドライブおよびそのパス。形式:DEVICE TYPE|PATH |
String |
|
documentName |
操作されたファイルの名前。名前変更の操作の場合は、このフィールドに元のファイルの DocumentName 値および名前が変更されたファイルの DocumentName 値が以下の形式で表示されます。 TARGET_NAME|ORIGINAL_NAME |
String String | String |
|
documentHash |
操作されたファイルのハッシュ。 |
String |
|
deviceType |
操作された PII ファイルが保存されているドライブ。 |
0: 不明 1: NO_ROOT_DIR (パスが無効または不在) 2: REMOVABLE モバイル デバイス (外付けハード ドライブ、カード リーダー、USB デバイスなど) 3: FIXED: 内蔵ハード ドライブ 5: CDROM 6: RAMDISK String |
|
creditCard |
PII が含まれているファイル内に、クレジット カード番号のデータの種類が見つかったかどうかが示されます。 |
ブール値 |
|
bankAccount |
PII が含まれているファイル内に、銀行口座番号のデータの種類が見つかったかどうかが示されます。 |
ブール値 |
|
personalID |
PII が含まれているファイル内に、ID カード番号のデータの種類が見つかったかどうかが示されます。 |
ブール値 |
|
driveLic |
PII が含まれているファイル内に、運転免許証番号のデータの種類が見つかったかどうかが示されます。 |
ブール値 |
|
passPort |
PII が含まれているファイル内に、パスポート番号のデータの種類が見つかったかどうかが示されます。 |
ブール値 |
|
SSId |
PII が含まれているファイル内に、社会保障番号のデータの種類が見つかったかどうかが示されます。 |
ブール値 |
|
|
PII が含まれているファイル内に、電子メール アドレスのデータの種類が見つかったかどうかが示されます。 |
ブール値 |
|
IP |
PII が含まれているファイル内に、IP アドレスのデータの種類が見つかったかどうかが示されます。 |
ブール値 |
|
name |
PII が含まれているファイル内に、姓名のデータの種類が見つかったかどうかが示されます。 |
ブール値 |
|
address |
PII が含まれているファイル内に、住所のデータの種類が見つかったかどうかが示されます。 |
ブール値 |
|
phone |
PII が含まれているファイル内に、電話番号のデータの種類が見つかったかどうかが示されます。 |
ブール値 |
|
estimatedNumPII |
見つかったデータの種類の推定数。 |
数値 |
|
Reclassified |
True:ファイルには PII が含まれていたが、現在は含まれていない。 False:ファイルは再分類されていないため、PII が含まれている。 |
ブール値 |
usrrules
このデータ テーブルには、管理者が定義したルールで指定されているファイルから収集されたすべての情報が保存されます。
| フィールド | 説明 | 値 |
|---|---|---|
|
eventdate |
イベントが Data Control サーバーに記録された日時。管理 UI の値は、コンピュータに設定されているタイム ゾーンによって異なります。 |
日付 |
|
serverdate |
イベントが生成された際のワークステーションまたはサーバーの日時 (UTC 形式)。 |
日付 |
|
machineName |
ワークステーションまたはサーバーの名前。 |
文字列 |
|
machineIP |
ワークステーションまたはサーバーの IP アドレス。 |
IP アドレス |
|
user |
イベントが記録されたときにログインしていたユーザーの名前。 |
文字列 |
|
exfiltrationFlag |
ファイルがデータ抽出、データ侵入、またはその両方として分類されている操作の対象となったかどうかが示されます。 |
Infiltration Exfiltration Both |
|
docSize |
ファイルのサイズ (バイト単位)。 |
数値 |
|
op |
PII が含まれているファイルに対して実行された操作。 |
Create Modify 開く Delete Rename Copy-Paste |
|
fatherHash |
ファイルを操作したプロセスの MD5。 |
文字列 |
|
fatherPath |
ファイルを操作したプロセスのパス。 |
文字列 |
|
fatherCat |
ファイルを操作したプロセスのカテゴリ。 |
Goodware Malware Monitoring (unknown process in the process of classification) PUP (unwanted program) |
|
documentPath |
操作されたファイルが保存されているドライブおよびそのパス。形式:DEVICE TYPE|PATH |
文字列 |
|
documentName |
操作されたファイルの名前。名前変更の操作の場合は、このフィールドに元のファイルの DocumentName 値および名前が変更されたファイルの DocumentName 値が以下の形式で表示されます。TARGET_NAME|ORIGINAL_NAME |
文字列 Character string | Character string |
|
documentHash |
操作されたファイルのハッシュ。 |
文字列 |
|
deviceType |
操作された PII ファイルが保存されているドライブ。 |
0: 不明 1:NO_ROOT_DIR (パスが無効または不在) 2:REMOVABLE (ポータブル デバイス、外付けハード ドライブ、カード リーダー、USB デバイスなど) 3: FIXED (内蔵ハード ドライブ) 5: CDROM 6: RAMDISK 文字列 |
|
usrRules |
ファイルを監視する WatchGuard Endpoint Security 管理 UI に適用されたルールの名前。これは、| (パイプ文字) で区切られます。 |
Character string | Character string | Character string |
usrrulesmail
このデータ テーブルには、管理者が定義したルールで指定されている監視対象のファイルが含まれている電子メール メッセージから収集されたすべての情報が保存されます。
| フィールド | 説明 | 値 |
|---|---|---|
|
eventdate |
イベントが Data Control サーバーに記録された日時。管理 UI の値は、コンピュータに設定されているタイム ゾーンによって異なります。 |
日付 |
|
serverdate |
イベントが生成された際のワークステーションまたはサーバーの日時 (UTC 形式)。 |
日付 |
|
machineName |
ワークステーションまたはサーバーの名前。 |
文字列 |
|
machineIP |
ワークステーションまたはサーバーの IP アドレス。 |
IP アドレス |
|
loggeduser |
イベントが記録されたときにログインしていたユーザーの名前。 |
文字列 |
|
msgID |
メッセージの一意の ID。 |
文字列 |
|
msgTo |
メッセージ受信者の電子メール アドレス。 |
文字列 |
|
msgFrom |
メッセージ送信者の電子メール アドレス。 |
文字列 |
|
msgSentDate |
メッセージが送信された日付。受信メッセージでは、このフィールドは Null となります。 |
日付 |
|
msgSubject |
メッセージの件名。 |
文字列 |
|
msgReceivedDate |
メッセージが受信された日付。送信メッセージでは、このフィールドは Null となります。 |
文字列 |
|
msgElement |
メッセージにおける監視対象項目。 |
「添付ファイル」文字列 |
|
msgElementSize |
監視対象ファイルのサイズ。 |
数値 |
|
msgElementName |
監視対象ファイルの名前。 |
文字列 |
|
msgElementHash |
監視対象ファイルの MD5。 |
文字列 |
|
msgExfiltrationFlag |
ファイルがデータ抽出、データ侵入、またはその両方として分類されている操作の対象となったかどうかが示されます。 |
INFILTRATION EXFILTRATION BOTH |
|
usrRules |
ファイルを監視する WatchGuard Endpoint Security 管理 UI に適用されたルールの名前。これは、| (パイプ文字) で区切られます。 |
Character string | Character string | Character string... |
このデータ テーブルには、PII として分類されたファイルが含まれている電子メール メッセージから収集されたすべての情報、および個人データが含まれているファイルの特性が保存されます。
| フィールド | 説明 | 値 |
|---|---|---|
|
eventdate |
イベントが Data Control サーバーに記録された日時。管理 UI の値は、コンピュータに設定されているタイム ゾーンによって異なります。 |
日付 |
|
serverdate |
イベントが生成された際のワークステーションまたはサーバーの日時 (UTC 形式)。 |
日付 |
|
machineName |
ワークステーションまたはサーバーの名前。 |
文字列 |
|
machineIP |
ワークステーションまたはサーバーの IP アドレス。 |
IP アドレス |
|
LoggedUser |
イベントが記録されたときにログインしていたユーザーの名前。 |
文字列 |
|
msgID |
メッセージの一意の ID。 |
文字列 |
|
msgTo |
メッセージ受信者の電子メール アドレス。 |
文字列 |
|
msgFrom |
メッセージ送信者の電子メール アドレス。 |
文字列 |
|
msgSentDate |
メッセージが送信された日付。受信メッセージでは、このフィールドは Null となります。 |
日付 |
|
msgSubject |
メッセージの件名。 |
文字列 |
|
msgReceivedDate |
メッセージが受信された日付。送信メッセージでは、このフィールドは Null となります。 |
文字列 |
|
msgElement |
メッセージにおける監視対象項目。 |
「添付ファイル」文字列 |
|
msgElementSize |
監視対象ファイルのサイズ。 |
数値 |
|
msgElementName |
監視対象ファイルの名前。 |
文字列 |
|
msgElementHash |
監視対象ファイルの MD5。 |
文字列 |
|
msgExfiltrationFlag |
ファイルがデータ抽出、データ侵入、またはその両方として分類されている操作の対象となったかどうかが示されます。 |
INFILTRATION EXFILTRATION BOTH |
|
creditCard |
PII が含まれているファイル内に、クレジット カード番号のデータの種類が見つかったかどうかが示されます。 |
ブール値 |
|
bankAccount |
PII が含まれているファイル内に、銀行口座番号のデータの種類が見つかったかどうかが示されます。 |
ブール値 |
|
personalID |
PII が含まれているファイル内に、個人 ID 番号のデータの種類が見つかったかどうかが示されます。 |
ブール値 |
|
driveLic |
PII が含まれているファイル内に、運転免許証番号のデータの種類が見つかったかどうかが示されます。 |
ブール値 |
|
passPort |
PII が含まれているファイル内に、パスポート番号のデータの種類が見つかったかどうかが示されます。 |
ブール値 |
|
SSId |
PII が含まれているファイル内に、社会保障番号のデータの種類が見つかったかどうかが示されます。 |
ブール値 |
|
|
PII が含まれているファイル内に、電子メール アドレスのデータの種類が見つかったかどうかが示されます。 |
ブール値 |
|
IP |
PII が含まれているファイル内に、IP アドレスのデータの種類が見つかったかどうかが示されます。 |
ブール値 |
|
name |
PII が含まれているファイル内に、姓名のデータの種類が見つかったかどうかが示されます。 |
ブール値 |
|
address |
PII が含まれているファイル内に、住所のデータの種類が見つかったかどうかが示されます。 |
ブール値 |
|
phone |
PII が含まれているファイル内に、電話番号のデータの種類が見つかったかどうかが示されます。 |
ブール値 |
|
estimatedNumPII |
見つかったデータの種類の推定数。 |
数値 |