Baza wiedzy o zabezpieczeniach danych

Inspekcje plików

Czym jest inspekcja plików?

Kontrola wszystkich zdarzeń występujących na serwerach plików nazywana jest inspekcją plików. Obejmuje to monitorowanie dostępu do plików ze szczegółowymi informacjami o tym, kto uzyskał dostęp do jakiego pliku, kiedy i skąd, analizę najczęściej używanych i modyfikowanych plików, informacje o udanych i nieudanych próbach uzyskania dostępu do plików i nie tylko. Głównym celem procesu inspekcji serwera plików jest śledzenie wszystkich operacji zachodzących w skonfigurowanych środowiskach serwerowych oraz zapewnienie bezpieczeństwa i widoczności danych w całym cyklu ich życia.

Jak działa inspekcja plików?

Poniższa struktura dotyczy procesu inspekcji plików.

  •  
    Konfiguracja
    Niezbędne listy SACL dla serwerów plików, klastrów trybu failover i serwerów grup roboczych w celu przeprowadzenia dokładnej i kompleksowej inspekcji.
  •  
    Inspekcja
    Operacje na plikach i folderach w czasie rzeczywistym, w oparciu o zasady inspekcji określone na skonfigurowanych serwerach.
  •  
    Raport
    Operacje na plikach, takie jak odczyt, zapis, zmiany uprawnień bezpieczeństwa i inne, do celów inspekcji wewnętrznej i zewnętrznej.
  •  
    Alert
    Technicy, gdy system rejestruje działania, które nie są zgodne z zalecanymi zasadami użytkowania.
  •  
    Dochodzenie
    Ustalenie pierwotnej przyczyny anomalii i wdrożenie działań naprawczych w celu załatania luk, przez które może dojść do naruszenia bezpieczeństwa.

Zapoznaj się z najlepszymi praktykami dotyczącymi inspekcji serwera plików, aby poznać niuanse inspekcji serwera plików i dowiedzieć się, jak to zrobić skutecznie.

Ważne identyfikatory zdarzeń inspekcji plików

Poniższe zdarzenia powinny być monitorowane, aby przyspieszyć wykrywanie wszelkich działań, które mogą spowodować uszkodzenia w środowiskach serwerów plików.

ID zdarzenia Opis Co to oznacza
4656 Zażądano uchwytu do obiektu. Monitoruje żądania dostępu do plików i folderów.
4658 Uchwyt do obiektu został zamknięty. Pomaga dowiedzieć się, jak długo uchwyt był otwarty.
4660 Obiekt został usunięty. Generowane, gdy obiekt zostanie usunięty.
4663 Podjęto próbę uzyskania dostępu do obiektu. Wskazuje, że podjęto próbę wykonania działania na obiekcie.
4670 Uprawnienia do obiektu zostały zmienione. Wykrywa zmiany list ACL na obiekcie.
4907 Ustawienia inspekcji obiektu zostały zmienione. Monitoruje zmiany w SACL obiektu.

Ograniczenia natywnej inspekcji plików

Chociaż natywna inspekcja plików ma wystarczające narzędzia, aby ułatwić organizacjom zbudowanie podstawowego systemu audytu, jest to dalekie od rzeczywistości. Wdrożenie skutecznego systemu inspekcji plików przy użyciu natywnych metod jest prawie niemożliwe, nie mówiąc już o systemie spełniającym wymogi określone w przepisach.

Oto kilka znaczących wad natywnej inspekcji plików:

  • Nadaje się tylko do mniejszych środowisk. Nie skaluje się, aby sprostać rygorom inspekcji dużej organizacji, powodując problemy z wydajnością.
  • Dzienniki zdarzeń wygenerowane w narzędziu natywnej inspekcji zostaną nadpisane, gdy pojemność dysku zostanie zapełniona.
  • Raportowanie na jednej konsoli jest niemożliwe. Wszystkie zdarzenia są rejestrowane chaotycznie i wymagają sprytnego skryptowania i korelacji w celu wyodrębnienia raportów w stylu „kto co zrobił i na jakim pliku”.
  • Ważne dane dotyczące inspekcji są trudne do wyodrębnienia ze względu na słabe możliwości wyszukiwania.
  • To samo zdarzenie może mieć inny identyfikator w różnych wersjach serwerów plików Windows, więc zadanie uwzględnienia ich wszystkich spada na twórcę skryptu.
  • Liczba wpisów do dziennika generowanych dla każdej akcji jest zbyt duża. W związku z tym znalezienie ryzykownych zdarzeń, które mogą prowadzić do incydentów związanych z bezpieczeństwem, jest czasochłonne i wymaga dużego nakładu pracy.
  • Wszelkie podejrzane działania wykonywane w systemie plików pozostałyby niezauważone, a dociekanie przyczyn ewentualnych awarii byłoby trudne ze względu na brak funkcji alertów lub powiadomień e-mail.
  • Nie obsługuje raportów związanych ze zgodnością z przepisami.

W jaki sposób DataSecurity Plus może sprostać Twoim potrzebom w zakresie inspekcji plików?

DataSecurity Plus, rozwiązanie do inspekcji plików ManageEngine, umożliwia:

  • Ciągłe monitorowanie zmian w plikach i folderach, takich jak odczyt, zapis, usuwanie, kopiowanie, wklejanie, przenoszenie itp. Dzięki inspekcji dostępu do plików można szybko wykryć potencjalne zagrożenia dla danych.
  • Kontrolowanie nieautoryzowanych zmian dokonywanych w plikach i folderach po godzinach pracy, nagłych skoków liczby modyfikacji dokonywanych w plikach, powtarzających się nieudanych prób dostępu i innych podejrzanych zdarzeń za pomocą monitorowania integralności plików.
  • Konfigurowanie alertów o zmianach w czasie rzeczywistym i natychmiastowych reakcji na zagrożenia w celu wyłapywania nieuczciwych użytkowników oraz wykonywanie niestandardowych skryptów w celu zamykania ataków przy użyciu oprogramowania do wykrywania oprogramowania ransomware.
  • Zapewnienie zgodności z branżowymi i regionalnymi przepisami IT, takimi jak RODO, HIPAA, PCI DSS, FISMA, GLBA itp. oraz szybkie rozwiązywanie problemów przy użyciu oprogramowania do audytu zgodności.
  • Planowanie szerokiej gamy skonsolidowanych raportów dotyczących użytkowników, udziałów, hostów i lokalizacji.
Pobierz bezpłatną 30-dniową wersję próbną