Alguien Borró Mi Archivo. ¿Cómo Puedo Averiguar Quién?

Si alguna vez se le ha encargado recuperar un archivo o carpeta perdidos y tuvo que explicar exactamente lo que sucedió (¿Quién lo movió o eliminó? ¿Cuándo sucedió? ¿Por qué?), ya sabes lo molesto que puede llevar mucho tiempo. Y a veces simplemente no tienes buenas respuestas. Todo lo que puede hacer es restaurar desde la copia de seguridad.

¿Cómo solucionamos esto?

Tener una pista de auditoría puede ayudar enormemente, pero la auditoría nativa en Windows, UNIX y muchas otras plataformas consume muchos recursos, proporciona demasiados datos, consume almacenamiento y ralentiza los servidores. Es fácil ver por qué la auditoría rara vez se habilita.

Realizar investigaciones forenses de la Manera Difícil

Veamos lo que realmente se necesita para realizar investigaciones forenses en Windows utilizando la auditoría nativa.

La auditoría de Windows para el acceso a archivos primero requiere que se habiliten los intentos de acceso a objetos correctos, a través de la configuración de la directiva de seguridad local o de dominio.

configuración de seguridad de dominio predeterminada

A continuación, la configuración de auditoría de cada carpeta debe modificarse para incluir a los usuarios que desea auditar. La siguiente imagen muestra que» todos » que accedan a la carpeta de finanzas serán auditados.

finanzas

Una vez habilitada la auditoría, los eventos se mostrarán en el contenedor de eventos de seguridad:

Visor de eventos

Los eventos deben abrirse individualmente para inspeccionar su contenido.

4

Hay algunas capacidades de filtrado si sabe en qué usuario está interesado, pero no para el nombre de directorio, el tipo de archivo o los eventos de eliminación. Entonces, ¿qué podemos hacer a continuación?

5

Pruebe DatAdvantage de Varonis si está en la mesa de ayuda, haciendo análisis forenses para seguridad y auditando el uso de datos: podrá responder rápidamente a estas preguntas frecuentes:

  • ¿Quién ha estado accediendo a esta carpeta?
  • ¿A qué datos ha estado accediendo este usuario?
  • ¿Quién envió correos electrónicos a quién?
  • ¿Quién eliminó estos archivos?
  • ¿A dónde fueron esos archivos?

audit

Para obtener más información: descargue nuestro documento técnico: Aceleración de auditorías con automatización

Leave a Reply

Deja una respuesta

Tu dirección de correo electrónico no será publicada.