Примеры отображения информации в Staffcop Enterprise

Зачастую необходимо понять как определённый файл и откуда был отправлен изначально, через какие протоколы и узлы он ещё прошёл и мог-ли быть куда-то отправлен далее?

Или какие учётные записи используются на стороне у пользователя и куда он отсылал информацию с этих учётных записей.

Лучше всего для визуализации подобной информации подойдёт вид отображения - граф взаимосвязи событий.

В этом типе отображения информации можно в качестве начальной точки подставить значение какого-либо события и выбрать дополнительные события как вторые и третьи уровни детализации информации.

При посотроении графов целесообразно использовать от трёх уровней связи необходимой информации.

Исходные данные - лучше фильтровать дополнительными фильтрами на входные данные.

Давайте попробуем на примере показать каким образом можно использовать все эти преимущества и отобразить информативный граф.

Например - мы узнали, что к чувствительному файлу был получен доступ, и нам необходимо посмотреть распространение файла через компьютеры, за которыми работают пользователи.

Входные данные уже можно ограничить «именем файла» который можно найти в панели измерений - «Файл - Имя файла» в нашем случае имя файла было - «Миграция.docx», мы увидели, что у файла было 9 событий.

Далее, чтобы получить полное понимание картины можно проанализировать события, связанные с этим именем файла, но можно визуализировать полученные данные и получить более понятную картину.

Для этого выбираем в верхнем меню вид отображения - «Анализ» в меню измерений выбираем Фаил - «Имя файла», затем дополнительно выбираем измерение - «Дата - Минуты», и наконец детали для отображения «Отправителей» и «Получателей» в меню измерения «Диалоги».

Получим примерно такую картинку:

../_images/cases_49.png

Как можно интерпретировать полученную картину?

Во первых, в центре графа расположен файл сосвоим названием, который мы нашли ранее, из предварительного анализа перехваченных файлов.

От него следующими в цепочке отходят даты перемещения файла по различным протоколам. Первой датой появления события связанных с этим файлом будет дата 11.09.2017 в 20.41, это событие отправки файла через учётную запись Skype от отправителя - « live:zigzag18_1» к получателю «live:at_1174».

Затем этот же файл был отправел в «20:42» по почте от отправителя «ph.vochmincev@staffcop.ru» получателю «at@staffcop.ru».

Следующее событие было в 20:44, когда отправитель «at@staffcop.ru» отправил письмо по почте с вложением файла «Миграция» получателю - «vs@staffcop.ru».

После этого отправитель «vs@staffcop.ru» отправил письмо адресату «da@staffcop.ru».

Эти события могли быть вполне легитимными, но они показательно демонстрируют возможности визуализации движения файлов внутри компании и за её пределами, видно кто получилсоздал исходный файл, когда его передал коллегам или в интернет и что с этим файлом ещё происходило после того как источник создания файла уже не участвовал в цепочке передачи его куда-либо ещё.