預防檔案外洩
預防檔案外洩 Prevent Information Leaks
PA File Sight Ultra 可以偵測使用者複製檔案,並可阻擋使用者存取行為 (blocks access),並可即時告警管理者以立刻進行調查。
預防檔案外洩 Information Leaks

PA File Sight Ultra 可看到用戶端在伺服器上與檔案(files)的互動情形。並且在用戶端不正常的大量讀取檔案時,可以立即發告警通知管理者。
若是用戶端有安裝 File Sight Endpoint 時,可以設定封鎖外接碟(external (USB) drives),並且可以更精準的偵測檔案複製的行為。
檔案複製偵測技術 Copy Detection Techniques
簡易偵測 - 活動層級(Activity Level)
PA File Sight Ultra 提供一個監看使用者活動的功能表。當在 Y 分鐘內讀取了超過總量 X 的檔案時就通知管理者。 一般來看,正常的辦公室使用者在5分鐘內從伺服器上應該(或是)只會讀取 3 ~ 4 個文書檔案,所以當您發現一個使用者在5分鐘內竟然從伺服器上讀取了20隻檔案,那這個情形應該合理的就可判斷為正在複製檔案了。

此種檔案複製偵測技術如下範例所示:
- 使用者 Domain\Bob 在5分鐘內讀取了超過20隻檔案。
- 時間戳記:十月 30, 2017 1:48pm
- IP Address:192.168.7.22
- 電腦名稱:BOB-PC
- 檔案讀取(Files Read):
- \\Server\Share\Finance\Expenses.xls
- \\Server\Share\Finance\Receivable.xls
- \\Server\Share\Finance\Payable.xls
- \\Server\Share\Finance\Customers.xls
- etc ...
注意,以上範例,僅是表明了有哪些檔案從伺服器上被讀取,並且進行告警。而且它們可能僅只是被讀取到 Word 中、或是被帶附件到 mail 中、或是被複製到一個USB外接碟中,但是並沒有辦法知道是否有檔案被複製到用戶端電腦中。
更好的偵測 Better Detection - File Sight Endpoint
為了有更好的幫助偵測在用戶端的電腦上是否/如何被使用及存取,您可以將 File Sight Endpoint 安裝在使用者端的電腦上。此為一個背景執行的服務,當檔案從伺服器上被存取到的時候,此 File Sight Endpoinr 可以提供額外的資訊,例如是用何種程序來讀取檔案 (Word.exe, Explorer.exe, WinZip.exe, etc),以及程序將檔案儲存到哪裡 ?
在此範例中,此細體字的資訊是沒有 Endpoint 時可以提供的一般存取資訊,而粗體字是有安裝 PA File Sight Endpoint 時可以再額外提供的更多資訊:
- 使用者:Domain\Bob
- 檔案:\\Server\Share\Finance\Expenses.xls
- 時間戳記:Oct 30, 2017 1:48pm
- IP Address: 192.168.7.22*
- 電媼名稱:BOB-PC
- 操作:Read
- 本地端程序:Explorer.exe
- 儲存檔案:F:\stealing\Expenses.xls
- Probable Copy: true
如以上的完整資訊來看,使用者 Bob 從檔案伺服器上複製了 Expenses.xls 這隻檔案,到他的本地端電腦上的 F 碟上。
* ★注意:伺服器及用戶端版本,須為 Windows 7 / 2008 R2 或更新的版本方可以提供此額外資訊 (電腦名稱及IP)。
Probable Copy: true:
在以上的範例中,File Sight Ultra 看到了 Expenses.xls 被讀取,就會再去 Endpoint 端要更多的資訊回來。Endpoint 看到了 Expenses.xls 這隻檔案從伺服器上被讀取,然後有一個相同名稱的檔案被使用 Windows Explorer 儲存到用戶端的 F:\stealing 目錄中 (與從伺服器上讀取檔案是相同的程序)。
此行為似乎是一個檔案複製的操作行為,但是因為沒有去比對此2個檔案的內容是否想同,因此此操作行為我們不能保證100%是為檔案複製。這也就是為何我們將其定義為 "Probable Copy"。
若是此程序(process)是 WinZip.exe 而且輸出的檔案是 F:\stealing\Documents.zip,那此操作行為就將不會被視為 "Probable Copy",但是此 WinZip.exe 程序的軌跡以及輸出的檔案 F:\stealing\Documents.zip,將會被完整的紀錄下來,做為日後查詢及產出報表使用。
Probable Copy: true[2]:
true[2] 是相當罕見的,此行為是類似以上的行為,Endpoint 並沒有看見檔案從伺服器上被讀取,但是它卻看見檔案被儲存。此案例發生的情形可能是,使用者是透過 RDP Session 來複製檔案並且直接存近其本地端。在此情形下,此檔案傳輸是為 "out-of-band",這代表著此檔案並不是透過 Windows SMB prorocol 來進行存取。
封鎖 USB/External Drives
除了可以幫助偵測檔案複製之外,File Sight Endpoint 也可以封鎖用戶端上的外接磁碟(USB/external drives),以預防檔案被複製到這些外接磁碟上,我們也提供白名單機制,可以針對指定的磁碟設備(drives/discs)是可以被允許使用的。
封鎖使用者 Block Users
被封鎖的使用者清單是被有安裝PA File Sight Ultra 的伺服器所共享的,因此其他的伺服器也可以一起受到這些封鎖清單的共同保護。