als u ooit bent belast met het herstellen van een verloren bestand of map en moest uitleggen wat er precies gebeurde (Wie heeft het verplaatst of verwijderd? Wanneer is het gebeurd? Waarom?), je weet hoe irritant tijdrovend het kan zijn. En soms heb je gewoon geen goede antwoorden. Alles wat je kunt doen is herstellen van back-up.
hoe lossen we dit op?
het hebben van een audit trail kan enorm helpen, maar native auditing op Windows, UNIX en vele andere platforms is resource-intensief, levert te veel data op, vreet opslag op en vertraagt servers. Het is gemakkelijk te zien waarom auditing zelden is ingeschakeld.
Forensisch Onderzoek op de harde manier uitvoeren
laten we eens kijken wat er echt nodig is om forensisch onderzoek uit te voeren op Windows met behulp van native auditing.
Windows-controle voor bestandstoegang vereist eerst dat succesvolle pogingen tot objecttoegang worden ingeschakeld, via de instellingen voor lokaal of domeinbeveiligingsbeleid.
vervolgens moeten de controle-instellingen van elke map worden gewijzigd om de gebruikers op te nemen die u wilt controleren. De afbeelding hieronder laat zien dat” iedereen ” die toegang heeft tot de financiële map zal worden gecontroleerd.
zodra auditing is ingeschakeld, worden gebeurtenissen weergegeven in de container voor beveiligingsgebeurtenissen:
de gebeurtenissen moeten afzonderlijk worden geopend om de inhoud ervan te kunnen bekijken.
er zijn enkele filtermogelijkheden als u weet in welke gebruiker u geïnteresseerd bent, maar niet voor de naam van de map, het bestandstype, verwijder gebeurtenissen. Wat kunnen we nu doen?
probeer Varonis’ DatAdvantage eens als u op de helpdesk bent, forensisch onderzoek doet voor beveiliging en gegevensgebruik controleert – u kunt deze veelgestelde vragen snel beantwoorden:
- Wie heeft toegang tot deze map?
- welke gegevens heeft deze gebruiker gebruikt?
- wie stuurde e-mails naar wie?
- Wie heeft deze bestanden verwijderd?
- waar zijn die bestanden naartoe?
voor meer informatie: download onze Whitepaper-versnellen van Audits met automatisering