簡易偵測 - 活動層級
PA File Sight Ultra 提供一個監看使用者活動的功能表。當在 X 分鐘內讀取了超過總量 n 個檔案時就通知管理者。 一般來看,正常的辦公室使用者在5分鐘內從伺服器上應該(或是)只會讀取 3 ~ 4 個文書檔案,所以當您發現一個使用者在5分鐘內竟然從伺服器上讀取了20個檔案,那這個情形應該合理的判斷為正在複製檔案了。
此種檔案複製偵測技術如下範例所示:
- 使用者 Domain\Jack 在5分鐘內讀取了超過20個檔案。
- 時間戳記:June 24, 2019 2:78pm
- IP Address:192.168.5.47
- 電腦名稱:JACK-PC
- 檔案讀取:
- \\Server\Share\Finance\Expenses.xls
- \\Server\Share\Finance\Receivable.xls
- \\Server\Share\Finance\Payable.xls
- \\Server\Share\Finance\Customers.xls
- etc ...
注意,以上範例僅是表明了有哪些檔案從伺服器上被讀取,並且進行告警。而且它們可能僅只是被讀取到Word中、或是被帶附件到mail中、或是被複製到一個USB外接磁碟中,但是並沒有辦法知道是否有檔案被複製到用戶端電腦中。
更好的偵測 - File Sight Endpoint
幫助在用戶端電腦上更好的偵測是否/如何被使用及存取,您可以將 File Sight Endpoint 安裝在使用者端的電腦上。此為一個背景執行的服務,當檔案從伺服器上被存取到的時候,此File Sight Endpoint可以提供額外的資訊,例如是用何種程序來讀取檔案(Word.exe, Explorer.exe, WinZip.exe, etc),以及該程序將檔案儲存到哪裡?
在此範例中,細體字的資訊是沒有 Endpoint 時可以提供的一般存取訊息,而粗體字是有安裝 PA File Sight Endpoint 時可以再額外提供的更多資訊:
- 使用者:Domain\Jack
- 檔案:\\Server\Share\Finance\Expenses.xls
- 時間戳記:June 24, 2019 2:78pm
- IP Address: 192.168.5.47註
- 電腦名稱:JACK-PC
- 操作:Read
- 本地端程序:Explorer.exe
- 儲存檔案:F:\stealing\Expenses.xls
- Probable Copy: true
如以上的完整資訊來看,使用者 Jack 從檔案伺服器上複製了 Expenses.xls 這個檔案,到他的本地端電腦上的 F 碟上。
註:伺服器及用戶端版本,須為 Windows 7 / 2008 R2 或更新的版本方可以提供此額外資訊(電腦名稱及IP
Probable Copy: true:
在以上的範例中,File Sight Ultra 看到了 Expenses.xls 被讀取,就會再去 Endpoint 端要更多的資訊回來。Endpoint 看到了 Expenses.xls 這個檔案從伺服器上被讀取,然後有一個相同名稱的檔案被Windows Explorer 儲存到用戶端的 F:\stealing 目錄中 (與從伺服器上讀取檔案是相同的程序)。
此行為似乎是一個檔案複製的操作行為,但是因為沒有去比對這2個檔案的內容是否想同,因此此操作行為我們不能保證100%是為檔案複製。這也就是為何我們將其定義為 "Probable Copy"。
若是此程序(process)是 WinZip.exe 而且輸出的檔案是 F:\stealing\Documents.zip,那此操作行為將不會被視為 "Probable Copy",但是此 WinZip.exe 程序的軌跡以及輸出的檔案 F:\stealing\Documents.zip,將會被完整的紀錄下來,做為日後查詢及產出報表使用。
Probable Copy: true[2]:
true[2] 是相當罕見的,此行為是類似以上的行為,Endpoint 並沒有看見檔案從伺服器上被讀取,但是它卻看見檔案被儲存。此案例發生的情形可能是,使用者是透過 RDP Session 來複製檔案並且直接存進其本地端。在此情形下,此檔案的傳輸為 "out-of-band",這代表著此檔案並不是透過 Windows SMB protocol 來進行存取。
|