ha valaha is megbízást kapott egy elveszett fájl vagy mappa helyreállítására, és pontosan el kellett magyaráznia, mi történt (ki helyezte át vagy törölte? Mikor történt? Miért?), tudod, milyen bosszantóan időigényes lehet. És néha egyszerűen nincsenek jó válaszaid. Csak annyit tehet, hogy visszaállítja a biztonsági másolatot.
hogyan oldjuk meg ezt?
az ellenőrzési nyomvonal óriási segítséget jelenthet, de a natív auditálás Windows, UNIX és sok más platformon erőforrás-igényes, túl sok adatot szolgáltat, felemészti a tárhelyet és lelassítja a szervereket. Könnyű belátni, hogy az auditálás miért ritkán engedélyezett.
Performing Forensic Investigations the Hard Way
lássuk, mi is kell ahhoz, hogy végre törvényszéki vizsgálatok A Windows natív auditálás.
a fájlhozzáférés Windows általi naplózásához először engedélyezni kell a sikeres objektumhozzáférési kísérleteket a helyi vagy tartományi biztonsági házirend-beállításokon keresztül.
ezután minden mappa naplózási beállításait módosítani kell, hogy azok a felhasználók is szerepeljenek, akiket ellenőrizni kíván. Az alábbi képen látható, hogy “mindenki”, aki hozzáfér a pénzügyi mappához, auditálásra kerül.
ha a naplózás engedélyezve van, az események megjelennek a biztonsági esemény tárolóban:
az eseményeket egyenként kell megnyitni a tartalmuk ellenőrzéséhez.
van néhány szűrési képesség, ha tudja, melyik felhasználó érdekli, de nem a könyvtár neve, fájltípus, események törlése. Szóval, mit tehetünk ezután?
próbálja ki a Varonis DatAdvantage-t, ha a help desk-en dolgozik, a biztonság érdekében kriminalisztikát végez, és az adatok felhasználását ellenőrzi – gyorsan válaszolhat ezekre a gyakran feltett kérdésekre:
- ki fér hozzá ehhez a mappához?
- milyen adatokhoz fér hozzá ez a felhasználó?
- ki küldött e-maileket kinek?
- ki törölte ezeket a fájlokat?
- hová kerültek azok a fájlok?
További információ: töltse le a könyvünket-auditok gyorsítása automatizálással