資安新知

X-FORT 是結合用戶行為分析（UEBA）和資料外洩防護（DLP）的產品，能夠監控包括USB隨身碟、智慧型手機、印表機等實體裝置以及共享資料夾、電子郵件和各種即時通訊軟體等網路通訊。由於記錄的資料種類繁多，不清楚如何操作時，可透過AI協助使用自然語言查詢來提高資安監控效率。

在使用自然語言查詢X-FORT的資料前，掌握X-FORT有哪些資料類型至關重要。在X-FORT的W-Console管理操作 > 說明文件，提供了詳細的資料與欄位說明，讓管理者、主管或稽核人員可以全面了解X-FORT的所有資料類型與欄位定義。

多數資料欄位為字串型態，支援關鍵字直接搜尋。
然而，部分資料定義了事件或動作類別，以下介紹一些代表性資料：

本機操作部分

1. 本機寫出檔案:
   此項記錄涵蓋了使用者對外部儲存裝置的檔案活動，包含本機寫出、本機讀入、光碟燒錄、內建燒錄等多種模式，而寫出磁碟機型態: 包含光碟裝置、網路磁碟、固定式磁碟、外接式儲存裝置、MTP 裝置
   查詢：上週有哪些檔案寫出到外接儲存裝置。
   
   
2. 檔案操作(使用者):
   該記錄包含了使用者對檔案及資料夾進行的各種操作，動作類型包含新增、刪除、複製、更名、搬移檔案或資料夾的記錄。
   查詢：業務部的Kenny，最近1個月的刪除檔案記錄。
   
   
3. 註冊碟操作:
   本記錄追蹤了使用者插入和拔除外接儲存裝置的行為，如：行動硬碟、USB隨身碟等，並包括裝置的識別信息。其中註冊類型分為已註冊(即公司購置並分配，或IT部門批准使用的設備)和未註冊(即員工私人裝置)。
   查詢：最近3個月，使用未註冊隨身碟的記錄。
   
   
4. Office檔案存取:
   本記錄包括使用者對Microsoft Word、Excel、PowerPoint檔案，開啟、存檔、另存新檔、關閉的操作。
   查詢：本週被開啟的所有Word檔名稱
   
   
5. 使用者登入:
   記錄了使用者電腦的開關機、登出入時間。
   查詢：本週使用者登入的記錄

網路通訊相關

1. 郵件傳送記錄:
   此項涵蓋了使用者透過本機Outlook，或外部Gmail、com、Yahoo Mail平台發送郵件的活動記錄。
   查詢：使用Gmail發送並有附加檔案的郵件記錄。
   
   
2. 即時通訊交談:
   記錄了使用者通過LINE、QQ、阿里旺旺、WhatsApp、微信、Skype等即時通訊工具的交談活動。
   查詢：包含“報價單”關鍵字的LINE和微信交談記錄。
   
   
3. 用戶端網路流量:
   追蹤所有前台和背景程式產生的傳送和接收網路流量記錄。
   查詢：上週總傳送流量超過1GB的應用程式。
   
   
4. FTP操作:
   記錄使用者進行的FTP操作，包括上傳和下載的檔案名稱、FTP伺服器和相關人員資訊。
   查詢：通過FTP上傳的檔案名稱。
   
   
5. 網頁瀏覽記錄(使用者日誌)
   該記錄追蹤使用者的網頁瀏覽活動，包含瀏覽的網站資訊、搜尋引擎使用記錄以及關鍵字搜尋情況。支援包括Yahoo、Google、Baidu、Bing等常見搜尋引擎，以及Youtube影音、Momo購物平台。
   查詢：上週在Youtube網站輸入的搜尋關鍵字。
   
   
6. 系統寫出檔案:
   此項記錄了使用者電腦上分享的資料夾被讀取或寫入(上傳)檔案的情況。
   查詢：上週Youfu-NB電腦上被寫入檔案的分享資料夾記錄。
   
   

先告訴AI你的定義

在開始查詢之前，某些問題需要向AI定義特定的前置條件，例如

1. 若搜尋寄給外部人員的郵件，需先定義公司的網域名稱
   例如：公司的郵件網域為@fineart-tech.com，
   查詢：寄送給外部收件者的郵件記錄。
   
   
2. 查詢私人Wi-Fi無線基地台時，應指定Wi-Fi基地台SSID的命名規則
   例如：公司的Wi-Fi基地台SSID名稱皆為FA-開頭。
   查詢：使用非公司無線基地台的連線記錄。
   
   
3. 查詢非公司印表機列印文件時，需要知道公司印表機的型號
   例如：公司的印表機名稱為Canon PIXMA TR4520、HP LaserJet Pro M404dn，
   查詢：使用非公司印表機列印文件的記錄。
   
   
4. 特定條件的搜尋，如使用遠端遙控軟體、瀏覽購物網站，需要明確指出搜尋對象
   例如: 使用Anydesk、TeamViewer軟體、瀏覽PCHOME、Momo購物網站
   
   
5. 搜尋特定對象，需要指出對象類型
   例如: 查詢Gloria的登入時間，AI雖然能理解Gloria是特定對象名稱，但不知道Gloria是使用者還是電腦，可能會誤解而給出錯誤答覆。因此請指明查詢：使用者Gloria的登入時間

要注意的是，自然語言搜尋是W-Console篩選條件的一種操作介面，其搜尋結果無法超出篩選條件所能提供的功能範圍。

像是可以指定搜尋的日期時間範圍，例如查詢3月1日以後。或者是3月15日到3月31日的記錄。

但不支援未定義的指定時段，例如: 搜尋下班後的檔案操作記錄，或是半夜時段的檔案操作記錄。

查找資料小撇步

分享自然語言查詢的進階技巧

1. 統計計算功能：
   允許直接對數值欄位進行統計計算，而不僅僅是顯示每一筆記錄，將原本需自行設定的累計資料，也可以輕鬆呈現。
   例如：查詢過去3個月，印表機的累計列印張數
   
   
   除了加總之外，還有資料筆數、平均值、最大值、最小值、筆數百分比、加總百分比等計算模式
   
   
2. 排序功能:當資料眾多時，可要求依指定欄位排序，以突出異常值
   例如：超過2天沒關機的電腦，依照延續時間由大到小排序
   即可優先看出最久沒關機的電腦群
   
   
   
3. 前幾名、前幾%功能:
   在資料量大時，可以只顯示前幾名或前幾%的結果
   例如：查詢開機時間超過2天的電腦，依照延續時間由大到小排序，並只顯示前3名
    
   
   
4. 一次查詢多種資料類型
   支援同時查詢多種資料類型，以全面掌握情況
   例如想盤點有哪些Word檔案被列印成紙本，或上傳到網路詢問：在文件列印、網路上傳檔案，查詢檔案名稱包含”docx”的所有記錄
   

總而言之，X-FORT提供了詳細的端點記錄，而W-Console管理介面則提供了更簡易的資料搜尋方式。結合AI的自然語言處理技術，大大降低了非技術人員的操作門檻，使得管理層、稽核人員和人力資源部門能夠輕鬆利用X-FORT強大的記錄功能，有效監控員工的工作狀況和資料安全。