- Prevenzione della fuga di dati
- Valutazione dei rischi relativi ai dati
- Analisi dei file
- Controllo file
Controllo dei file
Che cosa si intende per controllo dei file?
Un’ispezione di tutti gli eventi che si verificano all’interno di file server è denominata controllo dei file. Vi sono inclusi il monitoraggio dell’accesso ai file con i dettagli di chi ha eseguito l’accesso a quale file, quando e da dove; un’analisi dei file con più accessi e modifiche; tentativi di accesso ai file riusciti e non riusciti; ed altro. L’obiettivo principale del processo di controllo dei file server è quello di tenere traccia di tutte le operazioni che vengono svolte negli ambienti configurati del server, nonché garantire la sicurezza e visibilità dei dati per tutto il loro ciclo di vita.
Come funziona il controllo dei file?
Il seguente è il framework per il processo di controllo dei file.
-
Configura
le necessarie liste SACL per file server, cluster di failover e server dei gruppi di lavoro per un controllo preciso e completo. -
Controlla
le operazioni su file e cartelle in tempo reale, in base a criteri di controllo specificati nei server configurati. -
Segnala
le operazioni sui file, come lettura, scrittura, modifiche alle autorizzazioni di sicurezza, ecc., eseguendo report, per finalità di controllo interno ed esterno. -
Avvisa
i tecnici quando il sistema assegna attività che non sono in linea con i criteri di utilizzo prescritti. -
Indaga
la causa radice delle anomalie e implementa azioni correttive, per applicare patch alle lacune che possono dare luogo a violazioni della sicurezza.
Esplora le seguenti migliori procedure di controllo dei file server, per conoscere le sfumature del controllo dei file server e sapere come viene svolto in maniera efficace.
ID eventi di controllo file importanti
È necessario che i seguenti eventi vengano monitorati per accelerare il rilevamento di azioni che possono provocare danni negli ambienti dei file server.
| ID eventi | Descrizione | Che cosa significa |
|---|---|---|
| 4656 | Richiesta di un punto di controllo di un oggetto. | Monitora le richieste di accesso a file e cartelle. |
| 4658 | Chiusura del punto di controllo di un oggetto. | Aiuta a sapere per quanto tempo un punto di controllo è rimasto aperto. |
| 4660 | Eliminazione di un oggetto. | È generato quando un oggetto viene eliminato. |
| 4663 | Tentativo di accesso a un oggetto. | Indica che è stata tentata un’azione su un oggetto. |
| 4670 | Modifica delle autorizzazioni su un oggetto. | Rileva le eventuali modifiche alle ACL su un oggetto. |
| 4907 | Modifica delle impostazioni di controllo su un oggetto. | Monitora le modifiche alla SACL di un oggetto. |
Limiti del controllo di file nativi
Anche se il controllo dei file nativi prevede strumenti sufficienti ad aiutare le organizzazioni a generare un sistema di controllo di base, la realtà dei fatti è ben diversa. È praticamente impossibile implementare un sistema di controllo dei file operativo utilizzando metodi nativi, senza parlare di un sistema che adempie ai mandati prescritti dai regolamenti.
Alcuni aspetti negativi da notare rispetto al controllo dei file nativi sono:
- È adatto solo ad ambienti di dimensioni relativamente piccole. Non arriva a soddisfare il rigore dei controlli di una grande organizzazione, causando problemi di prestazioni.
- I log eventi generati nello strumento di controllo nativo saranno sovrascritti una volta che la capacità di archiviazione del disco sarà piena.
- Il reporting console singola è impossibile. Tutti gli eventi hanno una registrazione casuale e richiedono uno scripting intelligente, nonché una correlazione per l’estrazione di report in stile chi-ha-fatto-cosa-su-quale-file.
- I dati di controllo importanti sono difficili da individuare per via delle scadenti funzionalità di ricerca.
- Lo stesso evento potrebbe avere un ID diverso in diverse versioni dei file server Windows, quindi il compito di selezionarli tutti ricade su chi ha creato lo script.
- Il numero di annotazioni log generate per ciascuna azione è troppo alto. Pertanto, trovare eventi rischiosi che potrebbero portare a incidenti di sicurezza è faticoso e intenso dal punto del tempo e dell’attività coinvolta.
- Eventuali attività sospette eseguite nel file system rimarrebbero inosservate e andare a fondo di eventuali inconvenienti sarebbe difficile, per l’assenza di avvisi o funzionalità di notifiche e-mail.
- Non supporta il reporting specifico per la conformità.
Come può DataSecurity Plus tener conto delle tue esigenze di controllo dei file?
DataSecurity Plus, la soluzione di controllo dei file di ManageEngine, consente di:
- Eseguire il monitoraggio continuo delle modifiche a file e cartelle, come lettura, scrittura, eliminazione, copia/incolla, spostamento, ecc. Con il controllo degli accessi ai file, puoi rilevare velocemente potenziali minacce ai tuoi dati.
- Tieni controllate le modifiche non autorizzate eseguite a file e cartelle dopo l’orario di ufficio, i picchi improvvisi nel numero di modifiche eseguite nei file, i tentativi ripetuti di accesso non riusciti e altri eventi sospetti, utilizzando il monitoraggio dell’integrità dei file.
- Configura avvisi di modifica in tempo reale e risposte istantanee alle minacce per trovare utenti fraudolenti ed esegui script personalizzati per arrestare gli attacchi, utilizzando il software di rilevamento ransomware.
- Osserva i regolamenti IT specifici per settore e area geografica, quali GDPR, HIPAA, PCI DSS, FISMA, GLBA, ecc., e risolvi rapidamente le problematiche utilizzando il software di controllo della conformità.
- Pianifica una grande varietà di report consolidati di utenti, condivisione, host e specifici della posizione.