Wissensdatenbank zur Datensicherheit

Dateiauditing

Was ist Dateiauditing?

Eine Inspektion aller Ereignisse, die in Dateiservern auftreten, wird als Dateiauditing bezeichnet. Dazu gehört vorallem die Überwachung von Dateizugriffen – mit Details dazu, wer wann und von wo aus auf welche Datei zugegriffen hat; einer Analyse der am häufigsten aufgerufenen und geänderten Dateien; erfolgreiche und fehlgeschlagene Zugriffsversuche; und mehr. Das Hauptziel beim Dateiserver-Auditing ist es, alle Operationen zu verfolgen, die in der konfigurierten Serverumgebung auftreten, um Datensicherheit und Transparenz im gesamten Datenlebenszyklus sicherzustellen.

Wie funktioniert Dateiauditing?

Das folgende Framework wird verwendet, um Audits von Dateien durchzuführen.

  •  
    Konfiguration
    Der notwendigen System-Zugriffssteuerlisten (SACL, von System Access-Control List) für Dateiserver, Failover-Cluster und Workgroup-Server, um akkurate und umfassende Audits zu ermöglichen.
  •  
    Audits
    von Datei- und Ordneroperationen in Echtzeit, abhängig von den Auditrichtlinien, die für die konfigurierten Server angegeben wurden.
  •  
    Berichte
    Zu Dateioperationen (wie „Lesen“ und „Schreiben“), zu Änderungen an Sicherheitsberechtigungen und mehr zum Zweck des internen und externen Auditings.
  •  
    Alarmierung
    Der Techniker, wenn das System Aktivitäten erfasst, die nicht mit den beschriebenen Nutzungsrichtlinien übereinstimmen.
  •  
    Untersuchung
    Der Ursache von Anomalien, und Implementierung von Gegenmaßnahmen, um Schlupflöcher zu stopfen, durch die Sicherheitsverstöße möglich werden.

In diesen Best Practices für das Dateiserver-Auditing erfahren Sie mehr Einzelheiten zu effektiven Audits von Dateiservern.

Wichtige Ereignis-IDs im Dateiauditing

Überwachen Sie die folgenden Ereignisse, um Aktionen schneller zu erkennen, die Schäden an der Ihrer Dateiserver-Umgebung anrichten können.

Ereignis-IDs Beschreibung Was die ID bedeutet
4656 Ein Handle zu einem Objekt wurde angefragt. Überwacht Anfragen zum Zugriff auf Dateien und Ordner.
4658 Das Handle für ein Objekt wurde geschlossen. Zeigt auf, wie lange ein Handle geöffnet war.
4660 Ein Objekt wurde gelöscht. Wird erzeugt, wenn ein Objekt gelöscht wird.
4663 Ein Zugriffsversuch auf ein Objekt ist erfolgt. Gibt an, dass zu einem Objekt eine Aktion versucht wurde.
4670 An einem Objekt wurden Berechtigungen geändert. Erkennt, wenn sich ACLs für ein Objekt ändern.
4907 An einem Objekt wurden Auditing-Einstellungen geändert. Überwacht Änderungen am SACL eines Objekts.

Begrenzungen nativer Dateiaudits

Auch wenn das native Dateiauditing ausreichend Tools bietet, damit Organisationen ein grundlegendes Auditingsystem aufbauen können – in der Praxis reicht das bei weitem nicht aus. Es ist schier unmöglich, mit nativen Methoden ein tatsächlich nutzbares System für Dateiaudits aufzusetzen, von der Einhaltung aller gesetzlichen Vorgaben ganz zu schweigen.

Hier einige wichtige Nachteile des nativen Dateiauditings:

  • Es eignet sich nur für kleinere Umgebungen. Die nativen Tools skalieren nicht gut mit den Auditing-Anforderungen großer Organisationen, was zu Performance-Problemen führt.
  • Die im nativen Auditing-Tool erzeugten Ereignisprotokolle werden überschrieben, wenn der Festplattenspeicher voll ist.
  • Reporting über eine einzige Konsole ist nicht möglich. Alle Ereignisse werden willkürlich protokolliert. Daher benötigen Sie clevere Skripte, um Berichte dazu zu korrelieren und zu extrahieren, wer was mit welcher Datei getan hat.
  • Aufgrund der ungenügenden Suchfunktionen gehen wichtige Auditdetails in der Masse an Einträgen unter.
  • Das gleiche Ereignis kann in verschiedenen Versionen von Windows-Dateiservern unterschiedliche IDs erhalten, und der Skriptschreiber muss sie alle abdecken.
  • Außerdem werden für jede Aktion einfach zu viele Protokolleinträge erstellt. Daher gestaltet sich die Suche nach riskanten Ereignissen, die zu Sicherheitsvorfällen führen können, äußerst zeit- und arbeitsintensiv.
  • Im Dateisystem durchgeführte verdächtige Aktivitäten bleiben eventuell unbemerkt, und die Suche nach der Ursache von etwaigen Problemen gestaltet sich ohne Alarmierungen und E-Mail-Benachrichtigungen sehr schwierig.
  • Schließlich werden keine compliance-spezifischen Berichte unterstützt.

Wie erfüllt DataSecurity Plus Ihrer Auditing-Anforderungen?

Mit DataSecurity Plus, der Lösung für das Dateiauditing von ManageEngine, können Sie:

  • Änderungen an Dateien und Ordnern fortlaufend überwachen, darunter die Vorgänge „Lesen“, „Schreiben“, „Löschen“, „Kopieren“, Einfügen“, „Verschieben“ und mehr. Das Auditing von Dateizugriffenerlaubt es Ihnen, potenzielle Bedrohungen für Ihre Daten schnell auszumachen.
  • Mit der berwachung der Datei-Integrität behalten Sie verschiedene verdächtige Ereignisse im Auge, wie unbefugte Änderungen an Dateien und Ordnern außerhalb der Geschäftszeiten, plötzliche Spitzen an Dateiänderungen, wiederholte fehlgeschlagene Zugriffsversuche und mehr.
  • Mit Software zur Ransomware-Erkennung konfigurieren Sie Echtzeit-Alarmierungen für Änderungen und sofortige Bedrohungsreaktionen, um böswillige Nutzer zu erwischen. Anschließend können Sie spezifische Skripte ausführen, um Angriffen einen Riegel vorzuschieben.
  • Mit Software für das Compliance-Auditing halten Sie branchen- und regionsspezifische IT-Vorschriften ein (wie DSGVO, HIPAA, PCI DSS, FISMA oder GLBA), und lösen Probleme im Handumdrehen.
  • Planen Sie viele verschiedene, konsolidierte Berichte zu Nutzern, Freigaben, Hosts und Standorten.
Kostenlose 30-Tage-Testversion herunterladen