威脅偵測範例項目

ObserveIT ITM 應用

• 非正常時段遠端或本機登入行為。
• 非正常遠端來源 IP之登入行為。

• 內部機敏資訊平台及高風險外部網站URL瀏覽行為(可匯入自訂黑白名單，或整合NetStar Intersafe 網站分類資料庫)。

• 使用FTP應用程式、指令或FTP網址之行為。
• 檔案拖拉/快捷鍵複製至外接儲存裝置或雲端硬碟等行為。

• 連結雲端硬碟、Dropbox等URL、Email收件者帳號、主旨關鍵字、Email夾檔點選動作及大量複製檔案等觸警行為。

• 非白名單之應用程式與執行序之使用行為。
• 執行Setup、Installer等應用程式之行為。
• 使用管理工具建立帳號之行為。

• 非授權帳號存取特定資料夾、或開啟/複製特定文件與圖片之行為。

• 於應用程式、機敏資料夾、網站URL等搜尋機敏字串之行為 ( In-App分析技術)。
• 鍵盤輸入敏感性字串之行為 (Key-Logger)。

• 登入應用程式行為。
• 傳送與複製特定檔案等觸警行為。
• 鍵盤輸入敏感性字串之行為 (Key-Logger)。

DLP範例項目

ObserveIT ITM應用 – 偵測、告警、阻絕及視覺化側錄

• 雲端空間 – Dropbox、Google Drive、iCloud。
• Office365、OWA、Gmail、Webmail等。

• 內/外部Portal，如 : 醫療網、網路銀行、企業SharePoint、Salesforce、CRM 等。

• 偵測可卸除式儲存裝置廠牌、型號、序號及標籤。
• 偵測下載至可卸除式儲存裝置檔案之軌跡與來源。
• 建立可卸除式儲存裝置黑白名單及告警規則。

• 寄/收件者郵件地址、主旨、夾檔之可視性。
• 網域名稱、檔案大小之黑名白單監控政策。
• 郵件夾檔上傳來源及下載後歷程追踨。

• 非上班時段大量列印、複製/貼上。
• 未授權檔案列印、複製/貼上、滑鼠右鍵貼上。

• 鍵盤特殊功能鍵、組合鍵 - PrtScr, [Alt-PrtScr], [Cmd-Shift-3] , CTRL-V, CMD-V。

• 複製/貼上疑似信用卡號碼或機敏檔案內文字。

• 存取未授權資料夾、UNC路徑。

• 使用惡意工具之即時告警 : Nessus、Netsparker、Maltego等。

• 使用隱碼術工具之即時告警：xiao_steg、camouflage等。

• 偵測Linux傳送指令，如ftp、scp、rsync、GET。

• 偵測P2P工具使用。

資安事件調查需求

ObserveIT ITM 應用

• 細膩的 Metadata + 智慧型 Screenshot Capture 側錄技術 + User Session Log，完整的使用者活動軌跡留存。
• 以 Metadata 關鍵字快速精確搜尋事件每一關聯行為發生點之側錄畫面軌跡。
• 側錄工作階段增加端點之當地時間戳記，方便管理人員校對時間。
• One-Click 自動切換檔案日誌至端點日誌之顯示方式。
• 多元化Agent：Windows、Mac、Linux、AIX、Unix。

• 所有Metadata及視覺化記錄除了MS SQL本身之加密機制法，再以AES Like方式存放，確保證據無法竄改。
• 提供專屬加密播放器回播加密格式側錄資料，確保證據之不可否認性。
• 資料傳輸過程中可採SSL或TLS加密機制，強化資料不被盜取或竄改。
• 所有Agent均符合FIPS規範。

• 設定各種不同的搜尋條件。
• 可依時間、使用者、內含文字、作業系統、Metadata欄位快速搜尋相關Session並回播完整操作過程。

• 個資去識別化。
• 可自訂管理者瀏覽項目之權限。
• 回播操作過程時可額外設定回播密碼。
• 第二道身份驗證機制，確保查核者身份之真實性。

遠距/分散/居家辦公之需求

ObserveIT ITM 應用

• 於使用者電腦或虛擬主機等裝置安裝Agent，進行所有接觸機敏資料與資料庫之授權使用者的行為偵測、分析、即時告警、異常阻絕與側錄，加強前端設備與後端機房之資安防護與內部威脅可視性與回應機制，落實風險管理措施，有助於針對已知風險及未知內部威脅進行: 風險辨識、風險分析、風險評量、風險處理。
• 具備內部威脅進階分析能力，完整操作過程之稽核報表如：使用者操作行為報表、核准工單操作報表、重要變更事項報表，非上班時段登入操作行為報表等，並提供Google like搜尋機制針對稽核抽查時，可依關鍵動作、Metadata、核准之工單快速精準搜尋相關Session與關聯性歷程，並回播完整操作過程。
• ObserveIT ITM 提供完整操作過程之稽核報表。

ISO27001 控制項目 (部份)

ObserveIT ITM應用

• A.14.2 開發與支援過程的安全：確保資訊安全被整合至資訊系統開發生命週期之設計與實施過程之中。
• A.14.2.7 委外開發：組織應監督與監視委外系統開發的活動。
• A.16.1 資訊安全事故與改進的管理：確保資訊安全事故管理之一致與有效的作法。
• A.16.1.7 證據的收集：組織應對可作為證據之資訊，明訂適用的識別、收集、獲取及保存程序。
• A.18.1.3 記錄的保護：應依據法律、法規、契約及營運要求，保護記錄免於遺失、毁損、偽造、未授權的存取與發佈。
• A.18.1.4 個人可識別資料隱私及保護：應遵循相關的適用法令與法規要求，確保隱私權及人識別資訊的保護。

• ObserveIT ITM 具備記錄使用者於伺服器、應用系統或終端設備上所有活動之完整軌跡的能力。
• ObserveIT ITM 可藉由介面訊息告知使用者正在進行側錄與分析，有助於內規與法令之宣導。
• ObserveIT ITM 之工作階段與記錄均加密保護以防範未經授權之存取，管理人員對於側錄資料之存取均內建有稽核資訊。
• ObserveIT ITM 之記錄為不可否認之鑑識資料，可增強證據能力。

SWIFT國際組織CSP控制項目 (部份)

• 1.1 SWIFT Environment Protection  SWIFT 環境保護 [必要]
• 1.2 Operating System Privileged Account Control 作業系統最高權限帳戶控制 [必要]
• 2.6 A Operator Session Confidentiality and Integrity 操作人員作業機密與完整性 [建議]
• 4.1 Password Policy 密碼政策 [必要]
• 5.1 Logical Access Control  邏輯存取控制 [必要]
• 6.1 Malware Protection  預防惡意軟體 [必要]
• 6.4 Logging and Monitoring 記錄與監控 [必要]