Quelqu’Un A Supprimé Mon Fichier. Comment Puis-Je Savoir Qui?

Si vous avez déjà été chargé de récupérer un fichier ou un dossier perdu et que vous deviez expliquer exactement ce qui s’est passé (Qui l’a déplacé ou supprimé? Quand est-ce arrivé? Pourquoi?), vous savez à quel point cela peut prendre beaucoup de temps. Et parfois, vous n’avez tout simplement pas de bonnes réponses. Tout ce que vous pouvez faire est de restaurer à partir d’une sauvegarde.

Comment pouvons-nous résoudre ce problème?

Avoir une piste d’audit peut aider énormément, mais l’audit natif sur Windows, UNIX et de nombreuses autres plates-formes consomme beaucoup de ressources, fournit trop de données, consomme du stockage et ralentit les serveurs. Il est facile de comprendre pourquoi l’audit est rarement activé.

Effectuer des enquêtes médico-légales à la dure

Voyons ce qu’il faut vraiment pour effectuer des enquêtes médico-légales sur Windows en utilisant l’audit natif.

L’audit Windows pour l’accès aux fichiers nécessite d’abord que les tentatives d’accès aux objets réussies soient activées, via les paramètres de stratégie de sécurité locale ou de domaine.

paramètres de sécurité du domaine par défaut

Ensuite, les paramètres d’audit de chaque dossier doivent être modifiés pour inclure les utilisateurs que vous souhaitez auditer. L’image ci-dessous montre que « tout le monde » qui accède au dossier finances sera audité.

finance

Une fois l’audit activé, les événements s’affichent dans le conteneur d’événements de sécurité:

Observateur d'événements

Les événements doivent être ouverts individuellement pour inspecter leur contenu.

4

Il existe des capacités de filtrage si vous savez quel utilisateur vous intéresse, mais pas pour le nom du répertoire, le type de fichier, les événements de suppression. Alors, que pouvons-nous faire ensuite?

5

Essayez DatAdvantage de Varonis si vous êtes au service d’assistance, que vous faites de la criminalistique pour la sécurité et que vous auditez l’utilisation des données – vous serez en mesure de répondre rapidement à ces questions fréquemment posées:

  • Qui a accédé à ce dossier ?
  • À quelles données cet utilisateur a-t-il accédé ?
  • Qui a envoyé des courriels à qui ?
  • Qui a supprimé ces fichiers ?
  • Où sont passés ces fichiers ?

audit

Pour en savoir plus : téléchargez notre Livre blanc – Accélérer les audits avec l’automatisation

Leave a Reply

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.