Обзор продукта: решения IS FileAudit 5.0

Опубликовано: 6 Апреля, 2023
Обзор продукта: решения IS FileAudit 5.0

Продукт: IS Solutions FileAudit 5.0

Домашняя страница продукта: нажмите здесь

Бесплатная пробная версия: нажмите здесь

Введение

Не проходит и дня, чтобы я не услышал об организации, которая пострадала от нарушения безопасности, и злоумышленник получил доступ к их конфиденциальной информации. Целевые атаки становятся все более частыми и более успешными, и это создает серьезную проблему для администраторов безопасности во всем мире. Все более мобильная рабочая сила и бурный рост устройств и платформ, к которым пользователям требуется доступ, еще больше усложняют ситуацию. Тактика защиты быстро меняется, и многие организации в настоящее время работают по модели «предполагаемой уязвимости», когда они предполагают, что они были скомпрометированы, и направляют свою энергию и усилия на выявление вредоносной активности в своей сети. На самом деле, в одном отчете, который я недавно читал, говорится, что среднее время обнаружения несанкционированного доступа составляет в среднем более 200 дней. Предполагая, что вы были взломаны и пытаетесь обнаружить это, вероятно, это хорошая позиция.

Соревнование

Реальная проблема здесь заключается в том, что злоумышленники очень эффективно получают авторизованный доступ к ресурсам с помощью сложных фишинговых кампаний и социальной инженерии. Для администраторов безопасности может оказаться непростой задачей выявить подозрительную активность и доступ к данным, когда злоумышленник имеет действительные авторизованные учетные данные. Затем становится критически важным отслеживать весь доступ к конфиденциальным данным. Причем не только без разрешения, но и с разрешения. Злоумышленникам нужны данные, и для этого они должны получить к ним доступ, прежде чем они смогут их извлечь. Здесь ключевое значение имеет наглядность, а встроенные в операционную систему инструменты неэффективны и плохо масштабируются. Здесь FileAudit 5 может очень помочь.

Обзор FileAudit 5

FileAudit 5 — это программная платформа, которая значительно упрощает аудит доступа к файлам и папкам на сервере Windows. Он не требует агентов и использует существующие технологии платформы Windows для создания решения для мониторинга и оповещения в режиме реального времени о конфиденциальных данных. В дополнение к отслеживанию санкционированного и несанкционированного доступа к отслеживаемым папкам и файлам FileAudit обеспечивает интеллектуальное оповещение и детальный контроль над мониторингом с помощью современной интуитивно понятной консоли управления.

Новые функции в FileAudit 5 включают поддержку мониторинга массового доступа к файлам, что отлично подходит для обнаружения потенциальной утечки данных после успешного взлома. Он также включает в себя возможность теперь отслеживать исходный IP-адрес файлов и папок, сделанных удаленно, что очень поможет во время судебного расследования. Кроме того, оповещения можно настроить для отслеживания нерегулярного доступа к папкам и файлам, что является еще одним распространенным признаком потенциально вредоносной активности.

Монтаж

Установка FileAudit 5 не может быть проще. Просто скопируйте установочный файл на сервер или рабочую станцию и запустите установку. Чтобы установить все компоненты в одной системе, выберите тип полной установки. Если вы хотите установить только определенные компоненты FileAudit, выберите Custom.

Изображение 10401
фигура 1

Примечание:
 В демонстрационных целях я решил установить все компоненты FileAudit в одной системе. Однако может быть желательным (и, по моему личному мнению, рекомендуемым), чтобы на сервере была установлена только служба FileAudit, а консоль управления и документация были установлены на управляющей рабочей станции. Из-за некоторых ограничений текущего продукта этот процесс не обходится без некоторых уникальных проблем. Подробнее об этом позже.

После успешного завершения установки выберите вариант запуска консоли управления FileAudit.

Изображение 10402
фигура 2

Начальная конфигурация

Прежде чем настраивать файлы для аудита, необходимо выполнить небольшую уборку. В консоли управления в столбце Инструменты выберите Настройки, выберите Учетные записи и нажмите Добавить учетную запись. Укажите домен, имя пользователя и пароль для учетной записи с правами администратора на целевых серверах, которые вы хотите проверить. При необходимости можно указать несколько учетных записей.

Изображение 10403
Рисунок 3

Если вы хотите использовать уведомления по электронной почте (настоятельно рекомендуется!), выберите Настройки электронной почты и укажите данные для своего SMTP-сервера.

Изображение 10404
Рисунок 4

Аудит файлов

Теперь мы готовы настроить аудит файлов! В консоли управления выберите Аудит конфигурации в столбце Аудит. При необходимости вы можете добавить папки или определенные файлы. Чтобы добавить папку для аудита, нажмите Добавить папку. Введите UNC-путь к папке и нажмите Enter. Откроется мастер пути FileAudit, который укажет на любую дополнительную конфигурацию, необходимую для включения аудита на этом пути.

Изображение 10405
Рисунок 5

Нажмите «Далее» и выберите «Автоматически включать аудит доступа к объектам на сервере ». При желании вы можете настроить аудит доступа к объектам вручную, но для получения наилучших результатов настоятельно рекомендуется позволить FileAudit внести необходимые изменения. Перейдите к следующим экранам, чтобы настроить параметры NTFS, лицензирование и включить мониторинг. После завершения папка будет настроена для аудита и мониторинга. После завершения вы можете повторить эти шаги по мере необходимости, чтобы отслеживать любые дополнительные папки или файлы.

Мониторинг доступа к файлам

После настройки аудита вы можете использовать консоль управления FileAudit для просмотра событий доступа к файлам с помощью средства просмотра доступа к файлам, которое можно найти в столбце «Доступ». Просто введите отслеживаемый путь и нажмите клавишу ввода, чтобы просмотреть все события доступа.

Изображение 10406
Рисунок 6

События доступа к файлам также можно фильтровать по многочисленным параметрам, щелкнув значок поиска рядом с путем. Вы можете фильтровать события по времени суток, статусу (разрешено или запрещено), типу доступа (чтение, запись, удаление и т. д.) и конкретному пользователю.

Изображение 10407
Рисунок 7

Оповещение

Аудит файлов сам по себе очень важен, но необходим механизм оповещения для оперативного уведомления о конкретных событиях доступа к файлам. С помощью FileAudit 5 вы можете настроить оповещения для событий одиночного или массового доступа. События одиночного доступа позволяют узнать важные сведения о доступе к отдельным путям или конкретным файлам, а массовые события предупреждают администратора о массовом доступе к файлам. Распространенным вариантом использования предупреждений может быть доступ к конфиденциальным данным. Например, для общего доступа к файлам может не требоваться оповещение о каждом доступе, но для некоторых файлов это может быть желательно.

Чтобы создать предупреждение о доступе к файлу, выберите «Предупреждения» в консоли управления, а затем нажмите «Добавить» в разделе «Единый доступ». Укажите имя для оповещения, а затем выберите статус доступа (предоставлен, запрещен или бульон), тип доступа (чтение, запись, удаление и т. д.), а затем укажите домен и информацию о пользователе. При желании вы можете отфильтровать источник доступа, который является IP-адресом для удаленного доступа или процессом для локального доступа.

Изображение 10408
Рисунок 8

Затем выберите «Контролируемые пути» и добавьте файл или папку, доступ к которым вы хотите получать. Здесь я создам оповещение для доступа к файлу с именем readme.txt по отслеживаемому пути \app1data.

Изображение 10409
Рисунок 9

Выберите «Часы» и укажите период времени, в течение которого будет запускаться оповещение об этом событии.

Изображение 10410
Рисунок 10

Выберите «Получатели», а затем нажмите «Добавить получателя», которому будет отправлено оповещение по электронной почте.

Изображение 10411
Рисунок 11

Наконец, выберите Почтовое сообщение и просмотрите шаблон электронной почты, используемый для этого оповещения. Внесите необходимые изменения и нажмите «Сохранить».

Оповещение о массовом доступе к файлам

Одной из привлекательных новых функций в FileAudit 5 является функция предупреждений о массовом доступе. Вы можете получать оповещения о доступе к большому количеству файлов, создав оповещение и выбрав Массовый доступ. Нажмите «Добавить» и укажите параметры, как вы это делали для предыдущих предупреждений о папках и файлах. Для предупреждений о массовом доступе вы можете указать пороги частоты, период времени и период задержки для срабатывания предупреждения о массовом доступе.

Изображение 10412
Рисунок 12

Документация

Полезность любого продукта, по крайней мере для меня, во многом зависит от количества и качества документации по продукту. Здесь FileAudit действительно сияет. Веб-сайт FileAudit содержит много информации об установке, настройке и управлении FileAudit. Там вы найдете руководство по началу работы, ссылку на онлайн-базу знаний, краткое описание продукта и множество коротких видеороликов, демонстрирующих настройку и использование продукта.

Недостатки и ограничения

Единственная проблема, с которой я столкнулся при работе с FileAudit, заключалась в настройке модели клиент/сервер. Например, если вы хотите установить службу FileAudit на выделенный сервер и осуществлять удаленное управление, для этого вам необходимо выполнить несколько действий вручную. Во-первых, установка только службы FileAudit (без консоли) работает нормально, но удаленный доступ по умолчанию запрещен. Чтобы включить удаленный доступ к серверу без доступа к консоли, необходимо отредактировать файл конфигурации вручную, чтобы включить его. Кроме того, программа установки не создает необходимое правило брандмауэра для разрешения удаленного доступа. Опять же, это придется настроить вручную. После того, как все это настроено, вы можете установить консоль на рабочей станции управления и удаленно управлять сервером FileAudit. Серверы без графического интерфейса — это путь в будущее, и на самом деле Windows Server 2016 не включает возможность установки графического интерфейса до тех пор, пока сервер не будет установлен. Надеемся, что это ограничение будет устранено в будущих версиях FileAudit.

Резюме

FileAudit 5.0 значительно упрощает критически важную работу по мониторингу доступа к папкам и файлам на серверах Windows. При сегодняшнем ландшафте угроз и настойчивости высоко мотивированных злоумышленников мониторинг как санкционированного, так и несанкционированного доступа к конфиденциальным данным имеет важное значение для раннего обнаружения утечки данных. С ограниченной полезностью собственных инструментов Windows FileAudit значительно улучшает процесс мониторинга папок и файлов, обеспечивая мониторинг и оповещение в режиме реального времени, оповещение о массовом доступе к файлам (верный признак успешного взлома), отслеживание информации об IP-адресе источника для доступа к данным. удаленно и предоставляет детализированные параметры оповещения о времени и дате для отслеживания доступа к папкам и файлам в необычное или неожиданное время.

Установить и настроить FileAudit 5 несложно, а на их веб-сайте имеется множество отличной документации, которая поможет вам быстро освоиться. Вы будете наслаждаться плодами улучшенной видимости в кратчайшие сроки!

Рейтинг продукта

Я был поражен тем, насколько быстро и просто было запустить FileAudit 5 в моей тестовой среде. За считанные минуты я получил полную картину доступа ко всем папкам и файлам, авторизованным или неавторизованным. Пользовательский интерфейс современный и интуитивно понятный, а простота настройки аудита и предупреждений просто потрясающая. Единственные проблемы, которые у меня были, были связаны с установкой, и при этом это не было проблемой. Я очень рекомендую этот продукт и ставлю ему Золотую награду WindowSecurity.com с оценкой 4,5 из 5.

WindowSecurity.com Рейтинг: 4.5/5

Изображение 23062

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023