Qualcuno ha cancellato il mio file. Come faccio a scoprire chi?

Se sei mai stato incaricato di recuperare un file o una cartella persi e hai dovuto spiegare esattamente cosa è successo (chi lo ha spostato o cancellato? Quando e ‘ successo? Perché?), sai quanto possa essere fastidiosamente dispendioso in termini di tempo. E a volte semplicemente non hai buone risposte. Tutto quello che puoi fare è ripristinare dal backup.

Come possiamo risolvere questo problema?

Avere una traccia di controllo può aiutare enormemente, ma il controllo nativo su Windows, UNIX e molte altre piattaforme richiede molte risorse, fornisce troppi dati, consuma spazio di archiviazione e rallenta i server. È facile capire perché l’auditing è raramente abilitato.

Esecuzione di indagini forensi nel modo più duro

Vediamo cosa serve davvero per eseguire indagini forensi su Windows utilizzando il controllo nativo.

Il controllo di Windows per l’accesso ai file richiede innanzitutto che i tentativi di accesso agli oggetti siano abilitati, tramite le impostazioni dei criteri di sicurezza locali o del dominio.

impostazioni di sicurezza dominio predefinite

Successivamente, le impostazioni di controllo di ogni cartella devono essere modificate per includere gli utenti che si desidera controllare. L’immagine qui sotto mostra che “tutti” che accedono alla cartella finanza saranno controllati.

finanza

Una volta abilitato il controllo, gli eventi verranno visualizzati nel contenitore eventi di sicurezza:

Visualizzatore eventi

Gli eventi devono essere aperti singolarmente per controllarne il contenuto.

4

Ci sono alcune abilità di filtraggio se sai a quale utente sei interessato, ma non per il nome della directory, il tipo di file, elimina eventi. Quindi, cosa possiamo fare dopo?

5

Prova DatAdvantage di Varonis se sei nell’help desk, fai analisi forensi per la sicurezza e controlla l’uso dei dati, sarai in grado di rispondere rapidamente a queste domande frequenti:

  • Chi ha avuto accesso a questa cartella?
  • A quali dati ha accesso questo utente?
  • Chi ha inviato email a chi?
  • Chi ha cancellato questi file?
  • Dove sono finiti quei file?

audit

Per saperne di più: scarica il nostro Whitepaper – Accelerare gli audit con l’automazione

Leave a Reply

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.