Как отследить перемещения файла в сети

Представьте, что вам нужно отследить путь файла в корпоративной сети.

В Staffcop Enterprise для этого предусмотрен специальный инструмент — граф взаимосвязи событий. Это визуальная схема, которая наглядно показывает весь путь файла: от создания до последней точки назначения.

Как построить граф

1. Выбираем файл.

2. Уточняем даты, отправителей, получателей и другие измерения.

3. Строим граф перемещений.

Пример: перемещения файла Миграция.docx

Допустим, кто-то получил доступ к чувствительному файлу Миграция.docx. Мы хотим выяснить, как это произошло.

Сначала мы находим файл в Конструкторе через измерение Файл → Имя файла.

При выборе файла в Линзе отразятся связанные с файлом события. Например, файл связан с пятью событиями. Можно анализировать их по списку, но удобнее построить визуализировать путь на графе.

Чтобы построить граф:

1. В Конструкторе дополнительно к Файл → Имя файла выберите Дата → Минуты.

2. В измерении Переписка выберите Отправители и Получатели.

3. В верхнем меню выберите Анализ → Граф.

В результате получим примерно такой граф:

В центре графа расположен файл Миграция.docx. От него отходит время перемещения файла с отправителями и получателями:

• 20:41 — отправка через Skype от live:zigzag18_1 к live:at_1174;

• 20:42 — пересылка по почте от ph.vochmincev@staffcop.ru к at@staffcop.ru и pv@staffcop.ru;

• 20:44 — at@staffcop.ru отправил письмо по почте с вложением файла Миграция получателю vs@staffcop.ru;

• 21:20 — пересылка по почте от vs@staffcop.ru к da@staffcop.ru.

Такой подход помогает увидеть последовательность действий, выявить нестандартные перемещения и установить источник доступа.

См.также

Подробнее об анализе данных