jos olet joskus saanut tehtäväksesi palauttaa kadonneen tiedoston tai kansion ja joutunut selittämään tarkasti, mitä tapahtui (kuka siirsi tai poisti sen? Milloin se tapahtui? Miksi?), tiedät kuinka ärsyttävän aikaa vievää se voi olla. Joskus ei ole hyviä vastauksia. Kaikki mitä voit tehdä on palauttaa varmuuskopiosta.
miten tämä korjataan?
kirjausketjun käyttäminen voi auttaa valtavasti, mutta Windowsin, Unixin ja monien muiden alustojen natiiviauditointi on resurssitehokasta, tarjoaa liikaa dataa, syö tallennustilaa ja hidastaa palvelimia. On helppo nähdä, miksi auditointi on harvoin käytössä.
Forensic Investigations the Hard Way
Let ’ s see what it really takes to performing forensic investigations on Windows using native auditing.
Windowsin tiedostojen käytön valvonta edellyttää ensin, että onnistuneet objektin käyttöoikeusyritykset on otettu käyttöön paikallisten tai toimialueen suojauskäytäntöasetusten kautta.
Seuraava, jokaisen kansion valvontaasetuksia on muutettava sisältämään käyttäjät, jotka haluat tarkastaa. Alla olevasta kuvasta näkyy, että” kaikki”, jotka pääsevät rahoituskansioon, tarkastetaan.
kun tarkastus on otettu käyttöön, tapahtumat näkyvät turvatapahtuman säiliössä:
tapahtumat on avattava yksilöllisesti niiden sisällön tarkastamiseksi.
on olemassa joitakin suodatus kykyjä, jos tiedät, kuka käyttäjä olet kiinnostunut, mutta ei hakemiston nimi, tiedostotyyppi, Poista tapahtumia. Mitä voimme tehdä seuraavaksi?
Anna Varonis ’ DatAdvantage kokeilla, jos olet help desk, doing forensics for security, ja auditing data use-voit nopeasti vastata näihin usein kysyttyihin kysymyksiin:
- kuka on tutkinut kansiota?
- mitä tietoja tämä käyttäjä on käyttänyt?
- kuka lähetti sähköposteja kenelle?
- kuka poisti nämä tiedostot?
- minne ne tiedostot menivät?
Lue lisää: lataa Whitepaper-nopeuttavat auditoinnit automaatiolla