Una società consente ai suoi sviluppatori di accedere a istantanee dell'intero codebase tramite una condivisione di rete locale. Per svolgere il proprio lavoro, gli sviluppatori compilano quotidianamente il codice, in cui ogni compilazione legge un insieme di file dalla base di codice, trasferendo i dati all'interno della condivisione di rete al loro computer di sviluppo locale. Ai fini della convenienza, l'azienda consente ai suoi sviluppatori l'accesso dell'amministratore ai loro computer di sviluppo locali e l'accesso alla porta USB è illimitato.
In questo ambiente, uno sviluppatore malintenzionato può leggere ogni file dalla condivisione di rete e archiviarli su un'unità esterna in locale, il che rappresenta (ovviamente) un rischio per la sicurezza. Se la società desidera essere avvisata di pattern di accesso ai dati sospetti sulla condivisione di rete, utilizzando solo strumenti sul server che ospita la condivisione, come farebbero per farlo?
Idealmente, questo sistema potrebbe essere esteso a qualsiasi grande insieme di file ospitati su una condivisione di rete. In un esempio, il server riconoscerebbe che i file .h e .cpp per una particolare parte del codice sono frequentemente accessibili insieme, e che non verranno lanciati flag rossi se entrambi sono accessibili in un breve intervallo. Tuttavia, se si accede a un numero elevato di file non collegati in un breve periodo di tempo, questo dovrebbe generare una bandiera rossa.