技術優勢
  1. Web-Based 風險儀表板提供管理者整體內部威脅可視性與關聯性,明確顯示各類使用者、部門單位、觸警風險行為累計/新增之指數與趨勢,並可自訂或套用內建320+種告警規則/逾29種分類,以進行風險指數分析。
  2. 提供使用者行為歷程進階統計分析,包括遠端連線來源、常用登入帳號/端點/裝置/應用程式/網站等分析與使用時間、平均活動或超時工作統計等。
  3. FAM (File Activity Monitoring) 檔案活動監控功能,詳細的檔案日誌與使用歷程,凡檔案複製、移動、重新命名、刪除、上傳或下載等,皆可立即告警與追蹤視覺化檔案軌跡,加速數據資料外洩事件之調查。
  4. Windows 環境可進行應用程式進階控管,針對未授權或異常應用程式使用行為進行偵測,具備強制關閉未授權之應用程式或強制登出等預防機制。
  5. 針對Linux 環境可阻絕未經授權指令、指令參數或蛙跳行為,可偵測與側錄Linux/Unix 使用者執行之命令與輸入指令後的Output 字串,包括Script 中內含之指令與系統命令產生的底層指令,及所有終端螢幕之輸出畫面。
  6. Key-Logger 功能完整記錄Windows/Mac 鍵盤輸入及組合鍵,如:PrtScr、Alt-PrtScr、Ctrl-V、Cmd-Shift-3、Cmd-V 等。
  7. 可偵測USB 儲存設備、SD Card 、iPhone、Android 行動裝置之序號、廠牌名稱、型號名稱等辨識,並建立黑白名單。當偵測到以快捷鍵複製或拖拉檔案至黑名單儲存設備時,將告警並紀錄資料外洩完整過程。
  8. 針對列印工作進行監控、偵測與記錄印表機的列印工作細節,顯示使用者、主機名稱、印表機名稱/品牌、列印檔案名稱、列印頁數與大量列印等資訊。
  9. 具備Email 的監控功能,包含Email 的主旨、收/寄件人及密件副本欄位,夾檔之檔名與檔案大小等。
  10. 具備URL 安全過濾機制,內建逾數十種分類及逾數百億筆Indexed URLs 情資資料庫並可每日更新,針對釣魚、高危險性、未被授權網站等之瀏覽行為進行偵測、告警或中斷。
  11. 可設定「匿名模式」,將風險儀表板及 Web Console 所顯示之使用者資訊加以匿名,確保使用者隱私與個資之保護。
  12. 側錄資料皆具備AES 加密保護與浮水印,並具備雙重密碼保護機制亦可整合數位簽章,並須依管理權限以ObserveIT 播放器進行回播,確保資料無法竄改同時提升證據能力。
  13. Agent 符合FIPS 國際標準。具備離線側錄功能,網路斷線時 Agent仍持續側錄,待連線恢復自動回傳檔案至資料庫。凡蓄意更改、刪除Agent 檔案或終止Agent 運作時,Agent 之Watchdog 機制將自動重啟並發送即時警示Email 通知管理者。
  14. Agent 支援Windows、Mac、Linux、Unix/HP-UX、Solaris 等平台,Windows/Linux 管理者身份或共用帳號可增設第二道認證並可與AD整合,及Windows 身份盜竊偵測與警示功能。
  15. 支援 VMwareView / RDSH、Citrix XenApp /  XenDesktop、Ericom Connect、Windows Remote Desktop、Team Viewer、PCanywhere、VNC、Telnet、SSH、Netop、Dameware、Putty、WinSCP、SFTP 等遠端連線操作側錄。
  16. ObserveIT 之 Metadata / 告警事件提供 Database API、Restful API、CSV / CEF log 供外部 SIEM 進行即時收容及分析。亦提供 Webservice 整合 Ticketing 系統,如 OITicket 工單申請覆核流程系統,以進行工單申請、核准及權限開通與視覺化覆核。


內建 320+ 隨選即用告警規則

  • 可搭配Metadata 使用,強化資安防禦。
  • 規則可依”誰”, “做了什麼”, “位於那部電腦”, “何時”及”從那個用戶端”等組合條件進行偵測及告警。



檔案活動監控政策

  • 檔案上Web 檔案上傳/下載追踨。
  • 進階設定需監控檔案上下傳之URL
  • 進階設定需監控檔案類型上下傳之URL



Email 附檔資料外洩之防禦及監控

  • 新增Email 偵測功能,包含Email 主旨、收/ 寄件人及密件副本欄位,Email 附檔之檔名、檔案數量與檔案大小等。
  • Email 檔案完整歷程追蹤紀錄
  • 發送至非授權之Email 信箱時,可進行即時告警。
  • 關閉應用程式:強制關閉未授權使用之應用程式。

USB 使用偵測

  • 自動偵測載具(Storage, USB, Smart Phones, Tablets, SD Cards)之廠牌、型號、序號、標籤。


    Web Category 內建惡意網站清單

    整合 NetStar 惡意網站威脅資料庫服務平台、對網站分類、當偵測到使用者瀏覽非法、釣魚、或有害的網站 (超過數百億個URLs) :

    • 使用者存取雲端磁碟空間。
    • 將伺服器用在與工作無關之事務,如:P2P服務、社交媒體、收看線上視訊…等。
    • 在Darknet、非法藥品網站、暴力、或其他任何法律敏感網站上搜尋資料。
    • 使用者將時間花費在遊戲、賭博、運動或新聞網站。


    內建網站分類包含以下:

    • Malicious、Infected/Malicious、Phishing、DDNS Services、Remote Proxies、Copyright Sensitive、Legal-  Sensitive、Adults、Illegal Drugs、Gambling、Search Engines & Portals、Job Searching、Downloads、Music、News、Sports、Gaming、Shopping、Social Media Site、Streaming、Storage、Counter-Productivity、Web Mail、Chats、Instant Messaging、P2P、Ads。

    Key Logging:特殊鍵/組合鍵

    • PrtScr, Alt-PrtScr, Cmd-Shift-3 , CTRL-V, CMD ….。

    Google-Like 搜尋

    • 設定各種不同的搜尋條件。
    • 依時間、使用者、內含文字、作業系統、Metadata欄位等。



      • 可使用“命令名稱”(Unix/Linux)為搜尋範圍,快速搜尋到曾執行指定命令的操作記錄。

      Windows 第二道身份認證

      • 提供Windows「共用帳號」第二道身份認證的機制,以利辨別區分使用者的身份確認與管理。



        Linux/Unix 第二道身份認證

        • 提供Linux/Unix「共用帳號」第二道身分認證的機制,以利辨別區分使用者身分與管理,提供更安全、更安心的控管機制!


          應用程式控管

          • 應用程式名稱:使用者執行的應用程式名稱。
          • 處理程序名稱:使用者執行的應用程式的處理程序名稱。
          • 關閉應用程式:強制關閉未授權使用之應用程式。

          Linux/Unix 指令

          • 針對Unix/Linux環境,可直接強制中止未經授權的行為或阻絕惡意行為,強制執行公司資安政策。
          • 可針對使用者帳號/群組、指令名稱(如:su、sudo、rm)、電腦名稱、IP位址、作業系統…等設定強制中止規則。
          • 可針對使用者帳號/群組限制 SSH至特定網路IP或網段。


          DBA 活動稽核

          • DBA活動稽核功能提供了監控DBA在資料庫中執行SQL Queries的機制。
          • 授權管理者可檢視某一指定日期所有SQL Queries之記錄,或是以資料庫、資料庫使用者、伺服器、登入帳號、日期、Queries中的文字等作為篩選條件進階查詢。
          • 在伺服器日誌與使用者日誌頁面中顯示的側錄詳細資訊中亦包含了SQL Queries。
          • 若以Metadata模式快速搜尋,可以SQL Queries文字搜尋到相關的側錄畫面。
          • 當DBA 在受ObserveIT監控的主機上使用 Microsoft SQL Server Management Studio、Toad for Oracle 或 SQL* Plus等工具時,相關之 SQL query 查詢活動的畫面亦會被側錄下來。

            Agent 安裝/移除密碼保護

            • 在安裝安全性的設定介面,對於ObserveIT Agent安裝或移除,可設定一組密碼保護,執行ObserveIT Agent安裝或移除時需輸入此組密碼才能繼續執行。


            • 藉由ObserveIT細膩的使用行為 metadata,將其整合至SIEM 進行分析,可提供更完整更具深度的事件調查軌跡記錄,並可迅速讓事件與使用者呈現關聯性。
            • ObserveIT 依使用者關鍵行為所產生之告警事件亦可整合至SIEM,大幅簡化SIEM所需要分析與分類原始日誌的時間。
            • 提供內外交織的威脅可視性與縱橫偵測的人工智慧關聯性防禦。
             



            工作階段開始及結束日期、時間、主機名稱、網域名稱、登入帳號、遠端Client主機名稱及IP。


            提供Analytic API –使用者行為統計數據




            特權帳號工單申請核准及權限開通(Authorization)

            • 統一內外部申請程序,可依資安政策與權限加以規範工單核准流程。
            • 申請人可自訂作業期間、作業時段、伺服器、工作項目,並填寫工作描述,系統自動email通知主管核准後,特權帳號工單申請人方可登入伺服器。
            • 可依作業期間及作業時段限制登入伺服器。
            • 可防制蛙跳至後端其他主機。

                工單流程記錄(Authentication)

                • 集中保存申請記錄。
                • 工單申請人依工單所核准之作業期間/作業時段內進行登入,未經核准之帳號或時段則不得登入。申請人工作完成後可自行回播並確認執行之內容,亦可列印執行結果之畫面。

                  視覺化線上稽核(Auditing)

                  • 稽核與相關主管可隨時檢視申請人執行內容畫面,並對工單記錄予以複核。
                  • 各層級主管針對「待複核」之工單,可於檢視歷程或回播後,標示為「勾選為已複核」,若認為作業內容未完成或不符合申請,主管亦可將工單變更為「失效」。

                    即時警示通知(Alerting)

                    • 可依執行應用程式、視窗標題、登入帳號、用戶端、時段等規則發送即時Email警示予管理者。