pokud jste někdy měli za úkol obnovit ztracený soubor nebo složku a museli jste přesně vysvětlit, co se stalo (kdo jej přesunul nebo odstranil? Kdy se to stalo? Proč?), víte, jak nepříjemně časově náročné to může být. A někdy prostě nemáte žádné dobré odpovědi. Vše, co můžete udělat, je obnovit ze zálohy.
jak to opravíme?
mít auditní stopu může ohromně pomoci, ale nativní audit v systémech Windows, UNIX a mnoha dalších platformách je náročný na zdroje, poskytuje příliš mnoho dat, spotřebovává úložiště a zpomaluje servery. Je snadné pochopit, proč je audit zřídka povolen.
provádění forenzních vyšetřování tvrdě
podívejme se, co je skutečně zapotřebí k provádění forenzních vyšetřování v systému Windows pomocí nativního auditu.
audit systému Windows pro přístup k souborům nejprve vyžaduje, aby byly povoleny úspěšné pokusy o přístup k objektům prostřednictvím nastavení místních nebo doménových zásad zabezpečení.
dále musí být nastavení auditu každé složky upraveno tak, aby zahrnovalo uživatele, které chcete auditovat. Obrázek níže ukazuje, že „každý“, kdo přistupuje ke složce finance, bude auditován.
jakmile je povolen audit, události se zobrazí v kontejneru událostí zabezpečení:
události musí být otevřeny jednotlivě, aby bylo možné zkontrolovat jejich obsah.
existují určité možnosti filtrování, pokud víte, o kterého uživatele máte zájem, ale ne pro název adresáře, typ souboru, mazání událostí. Takže, co můžeme dělat dál?
Vyzkoušejte Varonis ‚ DatAdvantage, pokud jste na helpdesku, děláte forenzní analýzu bezpečnosti a auditujete používání dat – budete moci rychle odpovědět na tyto Často kladené otázky:
- kdo přistupuje k této složce?
- jaká data má tento uživatel přístup?
- kdo komu poslal e-maily?
- kdo tyto soubory odstranil?
- kam tyto soubory zmizely?
další informace: stáhněte si náš Whitepaper-Accelerating audity s automatizací