- Prévention des fuites de données
- Évaluation des risques liés aux données
- Analyse des dossiers
- Audit des dossiers
Audit des fichiers
Qu'est-ce que l'audit de fichiers ?
Une inspection de tous les événements qui se produisent au sein des serveurs de fichiers est appelée un audit de fichier. Ceci inclut la surveillance de l'accès aux fichiers avec des données indiquant qui a accédé à quel fichier, quand et d'où, une analyse des fichiers les plus consultés et modifiés, les tentatives d'accès aux fichiers réussies et échouées, et autres. L'objectif principal du processus d'audit des serveurs de fichiers est de garder une trace de toutes les opérations qui se déroulent dans les environnements de serveurs configurés et d'assurer la sécurité et la visibilité des données tout au long de leur cycle de vie.
Comment fonctionne l'audit des fichiers ?
Le cadre suivant s’applique au processus d'audit des fichiers.
-
Configuration
Les SACL nécessaires pour les serveurs de fichiers, les clusters de repli et les serveurs de groupe de travail pour un audit précis et complet. -
Audit
Opérations sur les fichiers et les dossiers en temps réel, selon les stratégies d'audit spécifiées dans les serveurs configurés. -
Rapport
Opérations sur fichier telles que la lecture, l'écriture, les modifications d'autorisations de sécurité, et autres, à des fins d'audit interne et externe. -
Alerte
Techniciens lorsque le système capture les activités qui ne sont pas conformes aux politiques d'utilisation prescrites. -
Enquête
Déterminer la cause première des anomalies et mettre en œuvre des actions correctives pour corriger les lacunes qui permettent les failles de sécurité.
ID d'événement d'audit de fichier important
Les événements suivants doivent être surveillés afin d'accélérer la détection de toute action susceptible d'endommager les environnements de serveurs de fichiers.
| ID d'événement | Description | Signification |
|---|---|---|
| 4656 | Un handle vers un objet a été demandée. | Surveille les requêtes d'accès aux fichiers et aux dossiers. |
| 4658 | Le handle d'un objet a été fermé. | Permet de connaître la durée d’ouverture d’un handle. |
| 4660 | Un objet a été supprimé. | Généré lorsqu'un objet est supprimé. |
| 4663 | Une tentative d'accès à un objet a été effectuée. | Indique qu'une action a été tentée sur un objet. |
| 4670 | Les autorisations sur un objet ont été modifiées. | Détecte lorsque les listes de contrôle d'accès (ACL) sont modifiées sur un objet. |
| 4907 | Les paramètres d'audit d'un objet ont été modifiés. | Surveille les modifications apportées à la SACL d'un objet. |
Limites de l'audit de fichiers natif
Bien que l'audit de fichiers natif dispose de suffisamment d'outils pour aider les organisations à construire un système d'audit de base, il est loin de la réalité du terrain. Il est quasiment impossible de mettre en œuvre un système d'audit de fichiers exploitable avec méthodes natives, et encore moins un système qui respecte les mandats prescrits par les lois réglementaires.
Parmi les inconvénients notables de l'audit de fichiers natif, on trouve :
- Il n’est adapté qu'aux petits environnements. Il ne peut pas se développer pour répondre aux rigueurs d'audit d'une grande organisation, ce qui entraîne des problèmes de performance.
- Les journaux d'événements générés dans l'outil d'audit natif seront écrasés une fois la capacité de stockage sur disque pleine.
- Créer des rapports depuis une console unique est impossible. Tous les événements sont consignés au hasard et nécessitent des scripts et des corrélations intelligents pour extraire des rapports de type « qui a fait quoi » et sur quel fichier.
- L’identification des données d'audit importantes est difficile en raison de la faiblesse des capacités de recherche.
- Le même événement peut avoir un ID différent dans les différentes versions des serveurs de fichiers Windows, ce qui fait que la tâche de les couvrir tous incombe au rédacteur du script.
- Le nombre d'entrées de journal générées pour chaque action est trop élevé. Par conséquent, la recherche d'événements à risque susceptibles d'entraîner des incidents de sécurité prend du temps et requiert de nombreuses tâches.
- Toute activité suspecte effectuée dans le système de fichiers passerait inaperçue et il serait difficile d'explorer la cause des incidents, le cas échéant, en raison de l'absence de capacités d'alerte ou de notification par e-mail.
- Il ne prend pas en charge les rapports spécifiques à la conformité.
Comment DataSecurity Plus peut-il répondre à vos besoins en audit de fichiers ?
DataSecurity Plus, la solution d'audit de fichiers de ManageEngine, vous permet de :
- Surveiller en permanence les modifications de fichiers et de dossiers, telles que la lecture, l'écriture, la suppression, le copier, le coller, le déplacement, et autres. Grâce à l'audit de l'accès aux fichiers, vous pouvez rapidement détecter les menaces potentielles qui pèsent sur vos données.
- Gardez un œil sur les modifications non autorisées des fichiers et des dossiers après les heures d'ouverture, les pics soudains du nombre de modifications des fichiers, les tentatives d'accès infructueuses répétées et d'autres événements suspects avec la surveillance de l'intégrité des fichiers.
- Configurez des alertes de modification en temps réel et des réponses instantanées aux menaces pour intercepter les utilisateurs malveillants, et exécutez des scripts personnalisés pour arrêter les attaques avec un logiciel de détection des rançongiciels.
- Conformez-vous aux réglementations informatiques spécifiques à l'industrie et à la région, telles que le RGPD, HIPAA, PCI DSS, FISMA, GLBA, et autres, et résolvez rapidement les problèmes avec un logiciel d'audit de conformité.
- Planifiez une grande variété de rapports consolidés sur les utilisateurs, les partages, les hôtes et les emplacements spécifiques.