強化Email 附檔資料外洩之防禦及監控

• 新增Email 偵測功能：寄/收件者(包含副本/密副本)之郵件地址、主旨、附檔之檔名/大小/數量之可視性。當發送至非授權之Email 信箱時或附檔之大小超過特定範圍時，可進行即時告警。
• 郵件附檔上傳來源、下載後之檔案歷程追踨。
  
  

Activity Replay - 可自行定義告警觸發之前後錄製時間

Activity Replay：可設定告警觸發前後之側錄方式，例如: 觸發前後側錄Metadata+Video，一般時間只側錄Metadata; 亦可設定觸發前後側錄的時間長度，有效降低所需之磁碟空間。

側錄工作階段增加端點之當地時間戳記

• Management Console 之端點日誌、檔案日誌、告警及搜尋功能，均可顯示端點之當地時間戳記。
• 報表亦增加端點當地時間欄位之選項。
  
  

告警觸發調校功能 – 規則定義更為精準

• 透過告警觸發規則之調校，減少不必要告警之發生，降低資安人員的工作負荷。
• 提供多種調校方式：
• 排除特定使用者
• 排除特定網域群組
• 取消啟動 – 特定使用者/所有使用者
• 大量刪除已觸發之告警記錄
  
  

One-Click 自動切換檔案日誌至端點日誌之顯示方式 - 加速事件調查

點選後，自動搜尋並切換至對應端點日誌

檔案活動歷程之監控條件更為細膩及多檔案統計顯示功能

提供Mac更多、更完整的支援

• Notarization status from Apple from Mojave 10.14.5 & Mac certification is for a period of 5 years
• 使用者行為監控：mouse Clicks, Keystrokes, Application Changes
• Recording Metadata: Screenshot, Window Title, URL, Application Name, Keylogging, Data Access (USB Connect, File Move/Download/Copy/Upload)
• 工作階段型態：Console Login, Remote/VNC Login, Fast User Switch, Screen Sharing
• Firefox / TOR 瀏覽器監控
• Email 活動監控 : Microsoft Outlook for Mac version 2016 to 2019 and Outlook 365, Apple Mail version 10.12 to 10.14
  
  

更多、更細膩的Metadata及告警規則，強化資料外洩防禦

新增更多可卸除式儲存裝置 (Storage, USB, Smart Phones, Tablets, SD Cards) 管理功能：

• 自動偵測載具本身之廠牌、型號、序號、標籤。
• 建立黑白名單進行管理。

更細膩之檔案活動監控政策：

• 可設定需監控檔案上下傳之URL。
• 可設定需監控檔案類型上下傳之URL。

強化Key-Logging告警/偵測/控管，防範有心人士利用特殊功能鍵進行資料竊取：

• 包括鍵盤特殊功能鍵、組合鍵 - PrtScr, [Alt-PrtScr], [Cmd-Shift-3] , CTRL-V, CMD-V 。

更多的API支援：

• RESTful API 啟動/停止 ObserveIT Agent 。
• REST API 將FAM (File Activity Monitoring) 與外部系統 (如SIEM) 整合。

應用範例：監控 USB 之使用

應用範例：監控 USB 之使用 (續一)

• 建立USB載具黑白名單進行管理。
• 載具本身之廠牌、型號、序號、標籤及使用過程進行監控、告警。
• 軌跡留存。

應用範例：監控 USB 之使用 (續二)

應用範例：管理需監控檔案之 URL

• 可設定需監控檔案上下傳之URL。

應用範例：管理需監控檔案之類型

• 可設定需監控檔案上下傳之類型。

Key Logger－鍵盤上特殊功能鍵、組合鍵之監控

• Detect special key, e.g. PrtScr, Esc, F8
• Detect key combinations, e.g. [Alt-PrtScr], [Cmd-Shift-3]
• Detect Paste operation via
  - Right Menu Paste
  - Ctrl-V
  - Shift-Insert
  - Cmd-V

優化日誌記錄顯示

• 以應用程式分組顯示
• 以操作時間依序顯示
  
  

經由瀏覽器/雲端上傳或下載檔案

• 偵測WebMail傳送檔案 - 即時告警及使用操作軌跡
• 記錄瀏覽器下載之所有檔案
• 檔案歷程軌跡記錄
  
  

完整記錄資料外洩軌跡歷程

• 檔案經網頁上傳與下載之偵測規則設定，防範蓄意或無意之資料外洩
• 完整記錄檔案作業之軌跡，並提供快速搜尋或報表分析

 

使用者生產力與資安評估之分析報表

增加 Agent 隱藏項目

ITL內部威脅告警規則資料庫 - 告警規則與清單持續更新，已逾29種分類，逾300種告警規則

強化搜尋功能 - 大量搜尋時可隨時中斷，加速顯示已搜尋到之結果

使用者活動記錄分類更為精細，包含應用程式分類、URL下載、雲端空間上傳、檔案歷程活動等

清楚明瞭且易操作的介面，分類呈現 session-level 的資訊

告警規則增加 CIDR 之支援 (Classless Inter-Domain Routing)

檔案活動監控（File Activity Monitoring, FAM)

• 追蹤並告警所有瀏覽器下載或匯出之檔案：From the internet or intranet
• 追蹤並告警檔案複製至雲端空間之local sync folder：Dropbox, Google Drive, iCloud, Box, OneDrive (last 2 are only for Windows)
• 追蹤並記錄檔案變更：Copy, move, rename, delete
• 檔案日誌 – 快速調閱及篩選檔案追蹤記錄：Print and export to Excel
• 檔案歷程 – 提供完整軌跡及回播畫面：View file history and Video playback

FAM: 記錄瀏覽器下載之所有檔案

FAM: 檔案歷程軌跡記錄

FAM: 下載檔案屬性即時告警

FAM: 下載檔案並複製雲端空間Sync Folder即時告警

Clipboard剪貼簿-複製內容即時告警

告警事件檢視報告-Alerts & Screen Shots PDF

新增報表

New Platforms

• Agent support of Windows Server 2016
• DBA Activity support for MS SQL Server Management Studio 2016
• 64-bit Application Server

強制中斷並登出

• 嚴格落實內部資安政策。
• 有效對資產或智慧財產進行保護，並防止潛在的商業損失。
• 藉由強制使用者登出以提昇安全性，強化控管流程。

強制關閉未經授權使用之應用程式

使用者行為歷程分析

• 透過新安全事件與使用者日常使用行為的掌握以縮短調查時間。
• 識別高危險使用者的活動，如：異常使用應用程式/網站/Unix指令，或在不常使用的電腦上執行程式。
• 增加對同仁與維護廠商生產力的可視性，了解他們在每個應用程式所花費時間、工作日/工時及閒置時間。

優化Web Console管理介面

• 嶄新的Web管理介面與儀表板，高解析度呈現更多細節資料。

Key-Logging告警

• 針對使用電子郵件、聊天應用程式、社交媒體網站過程，設定需要保護的關鍵字，以偵測潛在的資料外洩發生。
• 辨識於CLI工具中所執行的指令，如：Windows CMD、PowerShell、PuTTY、Mac終端機。
• 偵測同仁於工作場所使用不當暴力言語、或與客戶溝通時不當的表達。

Insider Threat Library 規則更新管理

• 無需軟體升級即可自動更新，保持最新的威脅資訊來源。
• 不影響客戶原有規則或列表設計。

優化警示機制 – 精準發出警告、降低假警報

• 超過180個隨選即用的預設警示規則 (Insider Threat Library; ITL)。
• 警示規則可針對不同族群如：特權帳號、日常使用者、第三方廠商、及離職員工等進行設定。
• 可針對特定使用群組設定統一的風險指數。

優化警示機制 – 24種內建警示規則群組

以群組分類原則、將相同屬性之警示規則進行群組、方便進行設定。

資料外洩 (12)	建立後門 (7)	安裝及移除可疑軟體 (17)
滲透行為 (4)	績效違規事項 (12)	預備攻擊 (8)
隱藏資訊及覆蓋軌跡 (15)	主機上未經授權存取行為 (4)	SHELL攻擊 (3)
未經授權登入存取 (12)	執行惡意程式 (7)	未經授權開啟SHELL (3)
未經授權資料存取 (3)	執行未經授權之管理者行為 (12)	系統破壞 (3)
安全性控管設定異動 (9)	版權侵權 (3)	特權提升行為 (4)
違規不當行為 (8)	肆意或蓄意資料搜尋 (12)	身份盜竊 (2)
濫用行為 (6)	執行未經授權之通訊工具 (3)	系統竄改 (2)

更有效的警示規則管理

• 警示規則加以群組化、方便快速設定與取消。
• 可建立使用者清單及關鍵/敏感字元清單對應不同警示規則。
• 更容易針對不同但風險程度相同的使用者設定警示規則。
• 可針對大量警示規則的改變 (如：啟用或刪除) 進行同步執行。

更有效的警示規則管理 – 名單

• 使用者名單：可用於警示規則定義或分配的用戶和/或Active Directory群組中的列表、如：部門、日常用戶、特權用戶、遠端連線維護廠商、準備離職員工等。
• 一般名單：可用於警示規則定義的關鍵字列表、如：敏感資料/檔案/內部EIP名稱、 VIP客戶、機敏應用程序、機敏關鍵字/主機名稱、網路位置等。

增加使用者活動與風險的可視性 – 網路分類

• 整合第三方惡意網站威脅資料庫服務平台、對網站分類、當偵測到使用者瀏覽非法、釣魚、或有害的網站 (超過數百億個URLs) ：
• 非系統管理員的日常使用者 (非系統管理員) 瀏覽討論網路監聽或駭客技術的網站。
• 使用者存取雲端磁碟空間。
• 當使用者存取惡意或釣魚網站時，即時顯示中斷訊息。
• 將伺服器用在與工作無關之事務，如：P2P服務、社交媒體、收看線上視訊…等。
• 在Darknet、非法藥品網站、暴力、或其他任何法律敏感網站上搜尋資料。
• 使用者將時間花費在遊戲、賭博、運動或新聞網站。
• 內建網站分類包含以下：Malicious、Infected/Malicious、Phishing、DDNS Services、Remote Proxies、Copyright Sensitive、Legal-Sensitive、Adults、Illegal Drugs、Gambling、Search Engines & Portals、Job Searching、Downloads、Music、News、Sports、Gaming、Shopping、Social Media Site、Streaming、Storage、Counter-Productivity、Web Mail、Chats、Instant Messaging、P2P、Ads。

增加使用者活動與風險的可視性 – 列印監控

新增對列印工作的監控、可以偵測到任何來自本機或網路印表機的列印工作：

• 列印檔案之使用者/電腦的相關資料。
• 列印中的文件名稱。
• 印表機名稱與製造商資訊。
• 列印文件的張數。
• 大檔案列印 (>10頁資料)

增加使用者活動與風險的可視性 – 新儀表板視圖

風險儀表板上新圖表的呈現、讓管理者能在一定的時間內更清楚地瞭解使用者風險以及行為的發展趨勢。

使用者匿名保護

• 在匿名模式下、所有使用者資訊將不會顯示在風險偵測儀表板及Web Console中、保護使用者隱私。
• 在匿名模式下、可針對特定使用者或使用族群取消匿名模式。
• 可與HR名單 (如：已離職員工) 進行整合以進行個別管理與監控。

若需針對特別對象進行調查、需提出申請並由管理者同意後始可進行非匿名化。

支援更多作業平台

1. 新增Mac Agent
2. 支援Windows 10 (含Edge瀏覽器)
3. 支援Ubuntu 16.04
4. 支援RHEL 7.2

ObserveIT v6.7版新功能介紹影片

1. 優化警示機制
2. 增加對使用者活動與風險的可視性 – 網路分類
3. 增加對使用者活動與風險的可視性 – 列印監控
4. 24種內建警示規則群組
5. 使用者匿名保護

追蹤使用者行為

協助管理者透過新使用者行為分析工具，快速掌握風險：

• 總違規數：總計所有反公司政策之行為、警示通知、中斷訊息及拒絕存取等所有事件之數量。
• 過去7日趨勢：比對本週與前一週所有警示通知訊息之趨勢走向。
• 自昨天以來的新警告：顯示自昨天以來所有發生警告通知的總數。

落實資安政策 – 柔性宣導

以即時訊息告知同仁其操作行為已違反公司資安政策，藉以進行機會教育。

落實資安政策 – 強制中斷

即時跳出中斷操作之畫面視窗，告知同仁其操作行為已違反公司資安政策，並要求輸入原因後方得繼續進行。

落實資安政策 – 強制阻絕惡意行為與未經授權活動

• 針對Unix/Linux環境，可直接強制中止並阻絕惡意行為或未經授權的活動，讓使用者無法繼續執行違反公司政策作業。
• 可針對使用者ID、指令名稱 (如：su、sudo、rm) 、電腦名稱、IP位址、作業系統…等設定強制中斷規則。

偵測式或動態式畫面側錄技術

可選擇性設定僅蒐集使用者行為之Metadata，一旦使用者觸發告警時，ObserveIT立即開始側錄違規行為過程。ObserveIT之側錄畫面與Metadata整合，可快速搜索特定行為，同時重建事件發生前、中、後的關聯性。

USB設備連接偵測

可自行設定於偵測到USB設備連接時，在側錄畫面顯示〝USBCONNECT〞文字。

資料遺失或外洩偵測

偵測在Agent主機快捷鍵或拖拉複製之檔案大小或檔案數量大於設定值時，都會顯示”LARGEFILECOPY”文字。

新搜尋介面 - 提供更快速更精準搜尋機制

大幅提升搜尋效能，提供更細膩分類式搜尋範圍與條件。

主控台「僅設定與管理」角色

主控台新增一個「僅設定與管理」角色，該角色使用者登入ObserveIT主控台後，僅能使用「設定」頁籤下之功能。