se você já foi encarregado de recuperar um arquivo ou pasta perdido e teve que explicar exatamente o que aconteceu (quem o moveu ou excluiu? Quando aconteceu? Por quê?), você sabe o quão irritantemente demorado pode ser. E às vezes você simplesmente não tem boas respostas. Tudo o que você pode fazer é restaurar a partir do backup.
como consertamos isso?Ter uma trilha de auditoria pode ajudar tremendamente, mas a auditoria nativa no Windows, UNIX e muitas outras plataformas consome muitos recursos, fornece muitos dados, consome armazenamento e diminui a velocidade dos servidores. É fácil ver por que a auditoria raramente é ativada.
realizando investigações forenses da maneira mais difícil
vamos ver o que realmente é preciso para realizar investigações forenses no Windows usando auditoria nativa.
a auditoria do Windows para acesso a arquivos requer primeiro que as tentativas de acesso a objetos bem-sucedidas sejam ativadas, por meio das configurações de política de segurança local ou de domínio.
em seguida, as configurações de auditoria de cada pasta devem ser modificadas para incluir os usuários que você deseja auditar. A imagem abaixo mostra que “todos” que acessam a pasta finanças serão auditados.
uma Vez que a auditoria é habilitada, os eventos serão exibidos no evento de segurança do recipiente:
Os eventos devem ser abertos individualmente para inspecionar seu conteúdo.
existem algumas habilidades de filtragem se você souber em qual usuário está interessado, mas não para nome de diretório, tipo de arquivo, excluir eventos. Então, o que podemos fazer a seguir?
Dar Varonis’ DatAdvantage uma tentativa se você estiver no help desk, fazendo forense para segurança e auditoria de uso de dados – você será capaz de rapidamente responder a estas perguntas frequentes:
- Quem foi ao acessar esta pasta?
- quais dados esse usuário acessou?
- quem enviou e-mails para quem?
- quem excluiu esses arquivos?
- para onde esses arquivos foram?
para saber mais: faça o download do nosso Whitepaper – acelerando auditorias com automação