om du någonsin har fått i uppdrag att återställa en förlorad fil eller mapp och var tvungen att förklara exakt vad som hände (vem flyttade eller raderade den? När hände det? Varför?), du vet hur irriterande tidskrävande det kan vara. Och ibland har du helt enkelt inga bra svar. Allt du kan göra är att återställa från säkerhetskopiering.
Hur fixar vi detta?
att ha en verifieringskedja kan hjälpa enormt, men inbyggd revision på Windows, UNIX och många andra plattformar är resurskrävande, ger för mycket data, äter upp lagring och saktar ner servrarna. Det är lätt att se varför revision sällan aktiveras.
utföra rättsmedicinska undersökningar på det hårda sättet
Låt oss se vad som verkligen krävs för att utföra rättsmedicinska undersökningar på Windows med inbyggd revision.
Windows-granskning för filåtkomst kräver först att framgångsrika objektåtkomstförsök aktiveras via inställningarna för lokal eller domänsäkerhet.
Därefter måste varje mapps granskningsinställningar ändras för att inkludera de användare du vill granska. Bilden nedan visar att ”alla” som kommer åt finansmappen kommer att granskas.
när granskning har aktiverats visas händelser i säkerhetshändelsebehållaren:
händelserna måste öppnas individuellt för att inspektera innehållet.
det finns vissa filtreringsförmågor om du vet vilken användare du är intresserad av, men inte för katalognamn, filtyp, radera händelser. Så, vad kan vi göra härnäst?
ge Varonis ’ Dataadvantage ett försök om du är på helpdesk, gör kriminalteknik för säkerhet, och granska dataanvändning-du kommer att kunna snabbt svara på dessa vanliga frågor:
- Vem har åtkomst till den här mappen?
- vilka data har den här användaren åtkomst till?
- vem skickade e-post till vem?
- vem raderade dessa filer?
- Vart tog dessa filer vägen?
för att lära dig mer: ladda ner vårt Whitepaper-Accelerating revisions with Automation