- Preventie van gegevenslekken
- Risicobeoordeling van gegevens
- Bestandsanalyse
- Controle van bestand
Bestandscontrole
Wat is bestandscontrole?
Een inspectie van alle gebeurtenissen die optreden binnen de bestandsservers, wordt bestandscontrole genoemd. Dit omvat de bewaking van bestandstoegang met details over wie welk bestand heeft geopend en vanaf waar; een analyse van de meest geopende en gewijzigde bestanden; gelukte en mislukte bestandstoegangspogingen; en meer. Het hoofddoel van het controleproces van de bestandsserver is het volgen van alle bewerkingen die plaatsvinden binnen de geconfigureerde serveromgevingen en het garanderen van de gegevensbeveiliging en zichtbaarheid gedurende de volledige levenscyclus.
Hoe werkt bestandscontrole?
Het volgende framework is voor het bestandscontroleproces.
-
Configureren
De benodigde SACL's voor bestandsservers, failover-clusters en werkgroepservers voor een nauwkeurige en uitgebreide controle. -
Controle
Bestand- en mapbewerkingen in realtime, gebaseerd op de controlebeleidslijnen die zijn opgegeven in de geconfigureerde servers. -
Rapport
Op bestandsbewerkingen, zoals lezen, schrijven, wijzigingen van bestandsmachtigingen en meer voor interne en externe controledoeleinden. -
Waarschuwing
Technici wanneer het systeem activiteiten vastlegt die niet overeenkomen met de voorgeschreven gebruiksbeleidslijnen. -
Onderzoeken
De hoofdoorzaak van afwijkingen, implementeer corrigerende acties om de achterpoortjes waardoor beveiligingsinbreuken kunnen optreden, op te lossen.
Raadpleeg deze best practices voor de controle van bestandsservers om de nuances te kennen van de controle van bestandsservers en hoe het effectief gebeurt.
Belangrijke gebeurtenis-ID's van bestandscontrole
De volgende gebeurtenissen moeten worden bewaakt om de detectie te versnellen van eventuele acties die schade kunnen veroorzaken binnen bestandsserveromgevingen.
| Gebeurtenis-ID's | Beschrijving | Wat het betekent |
|---|---|---|
| 4656 | Er is een objectgreep gevraagd. | Bewaakt aanvragen om toegang te krijgen tot bestanden en mappen. |
| 4658 | Er is een objectgreep gesloten. | Helpt om te weten hoe lang een greep open was. |
| 4660 | Een object werd verwijderd. | Wordt gegenereerd wanneer een object wordt verwijderd. |
| 4663 | Er is een poging ondernomen om toegang te krijgen tot een object. | Geeft aan dat er is geprobeerd een actie uit te voeren op een object. |
| 4670 | De machtigingen op een object zijn gewijzigd. | Detecteert wanneer ACL's zijn gewijzigd op een object. |
| 4907 | Controle-instellingen op object zijn gewijzigd. | Monitors wijzigingen in de SACL van een object. |
Beperkingen van de controle van native bestand
Terwijl de controle van een native bestand voldoende middelen heeft om organisatie te helpen bij het bouwen van een standaard controlesysteem, is het ver verwijderd van de basisrealiteit. Het is nagenoeg onmogelijk om een uitvoerbaar bestandscontrolesysteem te implementeren met systeemeigen methodes, laat staan een systeem dat voldoet aan de mandaten die worden voorgeschreven door regelgevende wetten.
Enkele opvallende nadelen van het controleren van native bestanden zijn:
- Het is alleen geschikt voor kleinere omgevingen. Het kan niet omhoog worden geschaald om te voldoen aan de strikte controles van een grote organisatie, waardoor prestatieproblemen worden veroorzaakt.
- De gebeurtenislogboeken die worden gegenereerd in het systeemeigen controlehulpprogramma, zullen worden overschreven zodra de schijfopslagcapaciteit vol is.
- Rapportage van één console is niet mogelijk. Alle gebeurtenissen worden lukraak in het logboek geregistreerd en vereist slimmere scripts en correlatie voor het extraheren van rapporten van wie-deed-wat-en-over-welke-bestandsstijl.
- Het is moeilijk om belangrijke auditgegevens te selecteren vanwege de slechte zoekcapaciteiten.
- Dezelfde gebeurtenis kan een andere ID hebben in verschillende versies van Windows-bestandsservers, zodat de taak om ze allemaal te dekken, bij de schrijver van het script ligt.
- Er zijn teveel logboekgegevens gegenereerd voor elke actie. Hierdoor is het zoeken van risicovolle gebeurtenissen die kunnen leiden tot beveiligingsincidenten, tijdrovend en taakintensief.
- Verdachte activiteiten die worden uitgevoerd binnen het bestandssysteem zouden onopgemerkt blijven en het zou moeilijk zijn om inzoomen op de oorzaak van de fouten, als die er zijn, zou moeilijk zijn door een gebrek aan waarschuwingen of capaciteiten voor meldingen via e-mail.
- Dit ondersteunt geen nalevingsspecifieke rapportage.
Hoe kan DataSecurity Plus voldoen aan uw behoeften op het gebied van controles?
DataSecurity Plus, de bestandscontroleoplossing van ManageEngine, biedt u de mogelijkheid om:
- Bewaak continu bestands- en mapwijzigingen, zoals lezen, schrijven, verwijderen, kopiëren, plakken, verplaatsen enz. Met bestandstoegangscontrole kunt u snel potentiële bedreigingen voor uw gegevens detecteren.
- Controleer ongemachtigde wijzigingen aan bestanden en mappen na kantooruren, plotselinge pieken in het aantal wijzigingen aan bestanden, herhaalde mislukte toegangspogingen en andere verdachte gebeurtenissen met Bewaking van bestandsintegriteit.
- Configureer realtime wijzigingswaarschuwingen en onmiddellijke reacties op bedreigingen om kwaadwillende gebruikers te vangen en aangepaste scripts uit te voeren om aanvallen uit te schakelen met de hulp van ransomware-detectiesoftware.
- Voldoe aan de industriespecifieke IT-regelgevingen, zoals de GDPR, HIPAA, PCI DSS, FISMA, GLBA, enz. en los problemen snel op met software voor de controle op naleving.
- Plan een groot aantal geconsolideerde gebruikers-, share-, host- en locatiespecifieke rapporten.