檔案伺服器稽核:誰刪了這個檔案?


檔案伺服器上共用資料夾開放給全公司的人使用,設定好各個資料夾的使用權限,也設定好資料做定期備份。

某一天,某個重要檔案被刪除了,接著老闆說,趕快把資料救回來,然後問說是誰刪了這個檔案。

檔案有備份,救回來了沒錯,但是,是誰刪了檔案?這時候頭痛了!一查詢之下發現有刪除檔案權限的人有20個人,這下好了,每個人都有嫌疑。


這個案例是大部分公司在以Windows ServerFile Server會遇到的狀況,也是一項隱藏的資安漏洞。所以我們關心的是,如何在檔案伺服器中,稽核任何有權限可以存取去做異動的行為?當有狀況發生時,便可快速查到異動的紀錄。

Change Auditor 是一套解決以上困擾的好用工具,從它的名字顧名思義就知道它的作用就是去稽核"有改變"的事情。


一旦有狀況發生,我們可以利用工具提供的介面快速找到異動過的紀錄,從以下畫面可以看到,透過輸入以下條件,便可找到結果:
1. Who : 誰做了這件事
2. What : 執行什麼動作
3. Where : 這件事情發生在哪一台主機上
4. When :  何時發生
5. Origin : 來源是哪一台機器
6. Alert : 發生此事件時可設定即時告警
7. Report : 可設定排程定期發送報表
8. Layout : 可調整欄位




許多金控及壽險公司的資安與稽核都受嚴格管控,因此導入此工具來加強這一塊,以近幾年的導入經驗來說,此工具目前的功能性及操作性都非常強大,也非常實用。

留言

這個網誌中的熱門文章

MSSQL 瘦身 : 壓縮資料庫

InTrust 自動幫您蒐集 AD 帳號的登入/登出紀錄,長時間保存並保護

[SAP] 什麼是SAP? R/3 and S/4 是什麼意思? 差別在哪? (勿轉臉書)