혹시 손실 된 파일이나 폴더를 복구하는 임무와 정확히 무슨 일이 있었는지 설명해야 한 경우(누가 이동 또는 삭제? 그것은 언제 일어났는가? 왜?),당신은 얼마나 귀찮게 시간이 많이 걸릴 수 있는지 알고 있습니다. 그리고 때때로 당신은 단순히 좋은 대답이 없습니다. 당신이 할 수있는 모든 백업에서 복원입니다.
이 문제를 어떻게 해결합니까?
감사 추적을 갖는 것은 엄청난 도움이 될 수 있지만,윈도우,유닉스,그리고 많은 다른 플랫폼에서 네이티브 감사는 리소스를 많이 사용하고,너무 많은 데이터를 제공하고,스토리지를 먹고,서버 속도가 느려집니다. 감사를 거의 사용하지 않는 이유를 쉽게 알 수 있습니다.
포렌식 조사 수행 어려운 방법
네이티브 감사를 사용하여 윈도우에서 포렌식 조사를 수행하는 데 정말로 필요한 것이 무엇인지 살펴보겠습니다.
파일 액세스를 감사하려면 먼저 로컬 또는 도메인 보안 정책 설정을 통해 성공적인 개체 액세스 시도를 사용하도록 설정해야 합니다.
다음으로 감사할 사용자를 포함하도록 각 폴더의 감사 설정을 수정해야 합니다. 아래 이미지는 재무 폴더에 액세스하는”모든 사람”이 감사된다는 것을 보여줍니다.
감사가 활성화되면 보안 이벤트 컨테이너에 이벤트가 표시됩니다:
이벤트를 개별적으로 열어 내용을 검사해야 합니다.
관심있는 사용자를 알고 있지만 디렉토리 이름,파일 유형,삭제 이벤트에 대해서는 필터링 기능이 있습니다. 그래서,우리는 다음에 무엇을 할 수 있습니까?
헬프 데스크에서 보안을 위해 포렌식을 수행하고 데이터 사용을 감사하는 경우 바로니스의 데이터 이점을 사용해 보십시오.:
- 이 폴더에 누가 액세스 했습니까?
- 이 사용자가 액세스한 데이터는 무엇입니까?
- 누가 누구에게 이메일을 보냈습니까?
- 이 파일을 누가 삭제 했습니까?
- 그 파일은 어디로 갔습니까?
자세히 알아보기:백서 다운로드–자동화를 통한 감사 가속화