Примеры отображения информации в Staffcop Enterprise¶
Зачастую необходимо понять как определённый файл и откуда был отправлен изначально, через какие протоколы и узлы он ещё прошёл и мог-ли быть куда-то отправлен далее?
Или какие учётные записи используются на стороне у пользователя и куда он отсылал информацию с этих учётных записей.
Лучше всего для визуализации подобной информации подойдёт вид отображения - граф взаимосвязи событий.
В этом типе отображения информации можно в качестве начальной точки подставить значение какого-либо события и выбрать дополнительные события как вторые и третьи уровни детализации информации.
При посотроении графов целесообразно использовать от трёх уровней связи необходимой информации.
Исходные данные - лучше фильтровать дополнительными фильтрами на входные данные.
Давайте попробуем на примере показать каким образом можно использовать все эти преимущества и отобразить информативный граф.
Например - мы узнали, что к чувствительному файлу был получен доступ, и нам необходимо посмотреть распространение файла через компьютеры, за которыми работают пользователи.
Входные данные уже можно ограничить «именем файла» который можно найти в панели измерений - «Файл - Имя файла» в нашем случае имя файла было - «Миграция.docx», мы увидели, что у файла было 9 событий.
Далее, чтобы получить полное понимание картины можно проанализировать события, связанные с этим именем файла, но можно визуализировать полученные данные и получить более понятную картину.
Для этого выбираем в верхнем меню вид отображения - «Анализ» в меню измерений выбираем Фаил - «Имя файла», затем дополнительно выбираем измерение - «Дата - Минуты», и наконец детали для отображения «Отправителей» и «Получателей» в меню измерения «Диалоги».
Получим примерно такую картинку:
Как можно интерпретировать полученную картину?
Во первых, в центре графа расположен файл сосвоим названием, который мы нашли ранее, из предварительного анализа перехваченных файлов.
От него следующими в цепочке отходят даты перемещения файла по различным протоколам. Первой датой появления события связанных с этим файлом будет дата 11.09.2017 в 20.41, это событие отправки файла через учётную запись Skype от отправителя - « live:zigzag18_1» к получателю «live:at_1174».
Затем этот же файл был отправел в «20:42» по почте от отправителя «ph.vochmincev@staffcop.ru» получателю «at@staffcop.ru».
Следующее событие было в 20:44, когда отправитель «at@staffcop.ru» отправил письмо по почте с вложением файла «Миграция» получателю - «vs@staffcop.ru».
После этого отправитель «vs@staffcop.ru» отправил письмо адресату «da@staffcop.ru».
Эти события могли быть вполне легитимными, но они показательно демонстрируют возможности визуализации движения файлов внутри компании и за её пределами, видно кто получилсоздал исходный файл, когда его передал коллегам или в интернет и что с этим файлом ещё происходило после того как источник создания файла уже не участвовал в цепочке передачи его куда-либо ещё.