什么是文件审核
对文件服务器中发生的所有事件的检查称为文件审核。这包括监视文件访问,其中包含谁访问了什么文件、何时以及从何处访问的详细信息;对访问最多和修改的文件的分析;成功和失败的文件访问尝试;等等。文件服务器审核过程的主要目标是跟踪在配置的服务器环境中发生的所有操作,并确保整个数据生命周期中的数据安全性和可见性。
文件审核如何工作
以下框架适用于文件审核过程:
- 配置:文件服务器、故障转移群集和工作组服务器所需的 SACL,用于准确、全面的审核。
- 审计:根据配置的服务器中指定的审核策略实时执行文件和文件夹操作。
- 报告:用于内部和外部审核目的的文件操作,例如读取、写入、安全权限更改等。
- 警报:当系统捕获不符合规定的使用策略的活动时,技术人员。
- 调查:异常的根本原因,并实施纠正措施以修补可能发生安全漏洞的漏洞。
本机文件审核的限制
虽然本机文件审计有足够的工具来帮助组织构建基本的审计系统,但它与实际情况相去甚远,使用本机方法实施可操作的文件审核系统几乎是不可能的,更不用说满足监管法律规定的命令的系统了。
本机文件审核的一些显着缺点
- 它仅适用于较小的环境,无法纵向扩展以满足大型组织的审计严格要求,从而导致性能问题。
- 磁盘存储容量已满后,本机审核工具中生成的事件日志将被覆盖。
- 单控制台报告是不可能的,所有事件都是随意记录的,需要巧妙的脚本和关联来提取谁做了什么以及哪个文件样式的报告。
由于搜索能力差,很难挑出重要的审计数据。 - 同一事件在不同版本的 Windows 文件服务器中可能具有不同的 ID,因此覆盖它们的任务落在脚本编写器身上。
- 为每个操作生成的日志条目数过多,因此,查找可能导致安全事件的风险事件既耗时又任务密集。
- 文件系统内执行的任何可疑活动都不会被注意到,并且由于缺乏警报或电子邮件通知功能,很难深入了解事故的原因(如果有)。
- 它不支持特定于合规性的报告。
文件审计解决方案
- 持续监控文件和文件夹更改,例如读取、写入、删除、复制、粘贴、移动等,通过文件访问审核,管理员可以快速检测数据的潜在威胁。
- 使用文件完整性监控检查在工作时间后对文件和文件夹所做的未经授权的更改、文件中修改数量的突然激增、重复失败的访问尝试以及其他可疑事件。
- 配置实时更改警报和即时威胁响应以捕获流氓用户,并使用勒索软件检测软件执行自定义脚本以阻止攻击。
- 遵守行业特定和区域特定的 IT 法规,如 GDPR、HIPAA、PCI DSS、FISMA、GLBA 等,并使用合规性审计软件快速解决问题。
- 安排各种整合的用户、共享、主机和特定于位置的报告。
文件完整性监控(FIM)
FIM 是指跟踪对文件和文件夹所做的实时更改的持续过程。这有助于识别文件是否或何时被篡改。监控文件完整性对于发现和阻止网络威胁至关重要。这包括跟踪对业务关键型文件的未经授权的更改、识别可疑的文件访问模式以及仔细检查文件安全权限更改。
文件完整性监控(FIM)的重要性
文件完整性是 CIA 三合会的衡量标准,包括数据的机密性、完整性和可用性。对于企业来说,建立中央情报局三合会以确保关键数据的安全存储至关重要。以下方面使得持续评估文件完整性非常重要:
- 保护敏感数据:包含重要数据(例如客户个人信息)的文件必须受到持续监视,这些文件的快速更改可能表示恶意软件感染或非法内部活动。因此,管理员必须主动监控重要文件是否存在未经授权的修改和传输。
- 监视安全更改:将文件权限转移到大型组或过度使用管理员权限是安全漏洞的初始指标, 文件服务器审核软件可以帮助跟踪对文件的安全权限更改,并可能阻止潜在的违规行为。
- 发现恶意内部人员:文件完整性不仅用于检查未经授权的更改;它也可以用来研究用户行为。借助用户行为分析 (UBA),管理员可以分析员工如何存储、检索和管理文件。例如,在工作时间之外访问的文件、敏感文件的移动等可能表明即将发生内部威胁。
- 检测网络攻击:FIM 可以帮助防止危险的数据威胁,并有助于最大程度地减少攻击的规模和影响。动态文件完整性监控软件可以快速检测和响应勒索软件攻击、非法泄露数据等。
如何进行文件完整性监控
FIM 是一个连续的过程,与所有其他安全措施并行运行,以防止灾难性的数据泄露和及时泄露,动态数据防损软件,与文件完整性监控工具,可以帮助跟踪所有文件移动和修改,使管理员能够立即发现并响应未经授权的活动。此外,将 FIM 工具与现有的安全信息和事件管理(SIEM)设置集成,以开发针对数据威胁的全面跟踪和战斗系统。
DataSecurity Plus与 SIEM 解决方案和其他文件安全工具集成的工具,通过禁用受损的用户帐户或及时关闭受感染的客户端设备来阻止勒索软件。
通过使用 FIM 保护组织的文件服务器,以满足 PCI DSS、HIPAA 和其他合规性法规。这些要求要求变更检测功能和数据保护功能携手合作,以保护关键信息免遭数据盗窃和泄露。通过数据可见性和安全性双管齐下的方法,最大限度地提高高风险文件和文件夹的安全性。
文件完整性监控工具的主要功能包括:
- 实时跟踪异常文件创建、修改、删除、复制等。
- 检查文件安全权限更改以发现未经授权的权限提升。
- 获得有关何时、何地、哪些文件被修改以及由谁修改的可操作见解。
- 使用自定义威胁响应检测和修正勒索软件攻击。
- 接收有关检测到未经授权的文件修改、权限更改、删除事件突然激增等的即时通知。
- 生成自定义报告以监视可疑用户的活动并预测潜在的内部活动。
DataSecurity Plus 的双管齐下的文件安全方法(数据可见性和安全性)获得切实可行的见解,保护组织的业务关键型数据免受数据威胁。