更好的偵測 Better Detection - File Sight Endpoint

為了有更好的幫助偵測在用戶端的電腦上是否/如何被使用及存取，您可以將 File Sight Endpoint 安裝在使用者端的電腦上。此為一個背景執行的服務，當檔案從伺服器上被存取到的時候，此 File Sight Endpoinr 可以提供額外的資訊，例如是用何種程序來讀取檔案 (Word.exe, Explorer.exe, WinZip.exe, etc)，以及程序將檔案儲存到哪裡 ?

在此範例中，此細體字的資訊是沒有 Endpoint 時可以提供的一般存取資訊，而粗體字是有安裝 PA File Sight Endpoint 時可以再額外提供的更多資訊:

• 使用者：Domain\Bob
• 檔案：\\Server\Share\Finance\Expenses.xls
• 時間戳記：Oct 30, 2017 1:48pm
• IP Address: 192.168.7.22*
• 電媼名稱：BOB-PC
• 操作：Read
• 本地端程序：Explorer.exe
• 儲存檔案：F:\stealing\Expenses.xls
• Probable Copy: true

如以上的完整資訊來看，使用者 Bob 從檔案伺服器上複製了 Expenses.xls 這隻檔案，到他的本地端電腦上的 F 碟上。

* ★注意：伺服器及用戶端版本，須為 Windows 7 / 2008 R2 或更新的版本方可以提供此額外資訊 (電腦名稱及IP)。

Probable Copy: true:

在以上的範例中，File Sight Ultra 看到了 Expenses.xls 被讀取，就會再去 Endpoint 端要更多的資訊回來。Endpoint 看到了 Expenses.xls 這隻檔案從伺服器上被讀取，然後有一個相同名稱的檔案被使用 Windows Explorer 儲存到用戶端的 F:\stealing 目錄中 (與從伺服器上讀取檔案是相同的程序)。 

此行為似乎是一個檔案複製的操作行為，但是因為沒有去比對此2個檔案的內容是否想同，因此此操作行為我們不能保證100%是為檔案複製。這也就是為何我們將其定義為 "Probable Copy"。 

若是此程序(process)是 WinZip.exe 而且輸出的檔案是 F:\stealing\Documents.zip，那此操作行為就將不會被視為 "Probable Copy"，但是此 WinZip.exe 程序的軌跡以及輸出的檔案 F:\stealing\Documents.zip，將會被完整的紀錄下來，做為日後查詢及產出報表使用。

Probable Copy: true[2]:

true[2] 是相當罕見的，此行為是類似以上的行為，Endpoint 並沒有看見檔案從伺服器上被讀取，但是它卻看見檔案被儲存。此案例發生的情形可能是，使用者是透過 RDP Session 來複製檔案並且直接存近其本地端。在此情形下，此檔案傳輸是為 "out-of-band"，這代表著此檔案並不是透過 Windows SMB prorocol 來進行存取。