失われたファイルやフォルダの回復を担当していて、何が起こったのかを正確に説明しなければならなかった場合(誰がそれを移動または削除し それはいつ起こったのですか? どうして?)、あなたはそれがどのように厄介な時間がかかることができます知っています。 そして、時にはあなたは単に良い答えを持っていません。 できることは、バックアップから復元することだけです。
これをどのように修正しますか?
監査証跡を持つことは非常に役立ちますが、Windows、UNIX、および他の多くのプラットフォーム上のネイティブ監査は、リソースを大量に消費し、データを提供し、ス 監査がほとんど有効になっていない理由は簡単にわかります。
フォレンジック調査の実行難しい方法
ネイティブ監査を使用してWindows上でフォレンジック調査を実行するために実際に必要なものを見てみましょう。
Windowsのファイルアクセスの監査では、まず、ローカルまたはドメインのセキュリティポリシー設定を使用して、正常なオブジェクトアクセスの試行を有効にする必要があります。
次に、各フォルダの監査設定を変更して、監査するユーザーを含める必要があります。 下の画像は、financeフォルダにアクセスする”everyone”が監査されることを示しています。
監査が有効になると、セキュリティイベントコンテナにイベントが表示されます:
イベントの内容を検査するには、イベントを個別に開く必要があります。
あなたが興味を持っているユーザーを知っていれば、いくつかのフィルタリング機能がありますが、ディレクトリ名、ファイルタイプ、削除イベン では、次に何ができるのでしょうか?
ヘルプデスクにいて、セキュリティのためのフォレンジックを行い、データの使用を監査している場合は、VaronisのDatAdvantageを試してみてください。:
- 誰がこのフォルダにアクセスしていますか?
- このユーザーはどのようなデータにアクセスしていますか?
- 誰が誰にメールを送ったのですか?
- これらのファイルを削除したのは誰ですか?
- それらのファイルはどこに行きましたか?
詳細については、ホワイトペーパーをダウンロードしてください-自動化による監査の加速