P

产品审核:
IS决策FileAudit 5

TechGenix的独立评论

FileAudit被评为“强烈推荐”并获得WindowSecurity.com金奖,它是一种软件解决方案,可大大简化Windows服务器上的文件和文件夹访问审核。

«我对FileAudit 5的启动和运行如此之快和简单感到惊讶。用户界面现代而直观,您可以轻松配置审核和警报,这是惊人的。 »

WindowSecurity.com

理查德·希克斯
专门研究Microsoft技术的网络和信息安全专家

介绍

几乎没有一天,我不会听说一个遭受过 安全漏洞 攻击者已经访问了他们的敏感信息。有针对性的攻击变得越来越频繁,也越来越成功,这对各地的安全管理员都构成了严峻的挑战。

越来越多的移动员工以及用户需要访问的设备和平台激增,使情况进一步复杂化。防御策略正在迅速变化,许多组织现在都在 “假定违反” 模型,即他们认为自己已经受到攻击,并集中精力和精力来识别网络上的恶意活动。实际上,我最近阅读的一份报告指出,发现未经授权访问的平均时间平均超过200天。假设您已受到违反并尝试检测到它,这可能是一个很好的立场。

挑战

真正的挑战在于,攻击者通过使用复杂的方法来高效地获得对资源的授权访问 网络钓鱼活动 和社会工程学。对于安全管理员来说,当对手具有有效的,经过授权的凭据时,尝试识别可疑的活动和数据访问可能是一项艰巨的任务。

因此,监视对敏感数据的所有访问就变得至关重要。不仅是未经授权的,而且也是授权的。攻击者在追求数据,为此,他们必须先访问数据,然后才能提取数据。 能见度 这是关键,而操作系统的本机工具效率低下且无法很好地扩展。这里, FileAudit 5 可以提供极大的帮助。

FileAudit 5概述

FileAudit 5 是一个大大简化了的软件平台 Windows服务器上的文件和文件夹访问审核。它是无代理的,并利用现有的Windows平台技术为敏感数据创建实时监视和警报解决方案。除了跟踪受监视的文件夹和文件的授权和未授权访问,FileAudit还提供 智能警报细粒度控制 通过现代,直观的管理控制台进行监控

FileAudit 5的新功能包括对监视的支持 海量文件访问,这对于检测成功突破后潜在的数据泄露非常有用。它还包括现在的能力 跟踪源IP地址 远程提出的文件夹和文件请求,这将在法医调查中大有帮助。此外,可以将警报配置为监视不规则时间访问的文件夹和文件,这是潜在恶意活动的另一个常见标志。

安装

安装FileAudit 5 再简单不过了。只需将安装文件复制到服务器或工作站并运行安装程序。要将所有组件安装在同一系统上,请选择 完成 设置类型。如果您只想安装特定的FileAudit组件,请选择 自订.

FileAudit 5的安装


注意:
出于演示目的,我选择将所有FileAudit组件安装在同一系统上。但是,可能希望(在我个人看来,建议)仅在服务器计算机上安装FileAudit服务,并在管理工作站上安装管理控制台和文档。由于当前产品的某些限制,该过程并非没有一些独特的挑战。稍后对此进行更多讨论。
安装成功完成后,选择选项启动FileAudit管理控制台。

安装FileAudit 5

初始配置

添加比赛

在配置要审核的文件之前, 一点家务.
在管理控制台中 工具类 列选择 设定值,选择 帐户s, 和 then click 新增帐号.
提供在您要审核的目标服务器上具有管理特权的帐户的域,用户名和密码。
如果需要,您可以指定多个帐户。


如果您希望使用电子邮件警报(强烈建议!),请选择 电子邮件设定 并提供您的SMTP服务器的详细信息。

电子邮件提醒

文件审核

现在我们准备好设置 文件审核!在管理控制台中,选择 审核配置 在里面 审计 柱。您可以根据需要选择添加文件夹或特定文件。要添加要审核的文件夹,请单击 新增资料夹。输入文件夹的UNC路径,然后按 输入。的 FileAudit路径向导 将打开,并指示在此路径上启用审核所需的任何其他配置。

审核配置


请点击 下一页 和 choose 在服务器上自动启用对象访问审核。 (可选)您可以选择手动配置对象访问审核,但是为了获得最佳体验,强烈建议您让FileAudit进行所需的更改。继续浏览接下来的几个屏幕,以配置NTFS设置,许可并启用监视。完成后,将对文件夹进行配置以进行审核和监视。完成后,您可以根据需要重复这些步骤以监视任何其他文件夹或文件。

监视文件访问

配置审核后,您可以使用FileAudit管理控制台执行以下操作: 查看文件访问事件 使用 访问报告,可以在 访问 柱。只需输入受监控的路径,然后按Enter键即可查看所有访问事件。

访问报告


单击路径旁边的搜索图标,还可以基于众多参数过滤文件访问事件。您可以根据时间,状态(允许或拒绝),访问类型(读取,写入,删除等)和特定用户来过滤事件。

过滤事件

警示

文件审核本身很重要,但是 警报机制必不可少 对于 即时通知 特定文件访问事件。使用FileAudit 5,您可以为单次访问事件或批量访问事件配置警报。通过单次访问事件,您可以了解有关访问单个路径或特定文件的重要详细信息,而批量事件则向管理员发出警告,提醒他们要整体访问文件。

警报的常见用例可能是敏感数据访问。例如,对于一般的文件访问,可能不需要为每次访问都发出警报,但是对于某些文件,则可能是希望的。

要创建文件访问警报,请选择 快讯 在管理控制台中,然后单击 单次访问。提供警报的名称,然后选择访问状态(允许,拒绝或高汤),访问类型(读取,写入,删除等),然后提供域和用户信息。 (可选)您可以筛选访问源,该访问源是用于远程访问的IP地址或用于本地访问的进程。

创建文件访问警报

添加文件或文件夹

接下来选择 监控路径 并添加您希望收到警告的文件或文件夹。在这里,我将创建一个警报来访问名为 readme.txt 在受监控的路径上 \\ app1 \ data.


选择 小时 并指定触发此事件警报的时间范围。

排除时间

添加收件人

选择 收件者, 和 then click 添加收件人 发送警报电子邮件。

最后选择 邮件讯息 并查看用于此警报的电子邮件模板。进行必要的调整,然后单击 保存.

有关海量文件访问的警报

MassAccess警报功能是FileAudit 5中一项引人注目的新功能。通过创建警报并选择,当大量文件被访问时,您会收到警报 大众进入。请点击 并指定与以前的文件夹和文件警报相同的参数。对于批量访问警报,您可以指定频率阈值,时间段和延迟时间来触发批量访问警报。

有关海量文件访问的警报

文献资料

至少对我而言,任何产品的实用性在很大程度上取决于产品文档的数量和质量。在这里,FileAudit确实令人眼前一亮。 FileAudit网站包含有关以下内容的大量信息 安装, 配置管理 FileAudit。在那里你会发现一个 入门指南,它是在线知识库的链接, 产品简介 和 lots of 直观的短片 演示产品的配置和使用。

缺点和局限性

我使用FileAudit面临的唯一挑战是在客户端/服务器模型中对其进行配置。例如,如果您希望将FileAudit服务安装在专用服务器上并远程执行管理,则必须采取一些手动步骤才能完成此工作。首先,仅安装FileAudit服务(在没有控制台的情况下)可以正常运行,但是默认情况下不允许远程访问。要在不访问控制台的情况下启用对服务器的远程访问,需要手动编辑配置文件以启用它。

另外,安装程序不会创建所需的防火墙规则以允许远程访问。同样,这将是手动配置的。配置完这些内容后,您可以将控制台安装在管理工作站上,并远程管理FileAudit服务器。无GUI的服务器是未来的发展方向,实际上Windows Server 2016在安装服务器之后才提供安装GUI的选项。希望此限制将在FileAudit的将来版本中解决。

概要

FileAudit 5.0大大简化了至关重要的工作 监视Windows服务器上的文件夹和文件访问。在当今的威胁形势和高度诱人的攻击者的持续存在下,监视授权和未授权访问敏感日对于早期发现至关重要 检测 数据泄露。

由于本机Windows工具的用途有限,FileAudit通过提供以下功能大大增强了文件夹和文件监视过程 实时监控和警报,对海量文件访问发出警报(强烈表明成功突破),远程跟踪数据访问的源IP地址信息以及提供精细的时间和日期警报参数,以在异常或意外时间监视文件夹和文件的访问。

安装和配置FileAudit 5非常容易,其网站上有许多出色的文档可帮助您快速入门。您将享受到的水果 增强可见度 根本没有时间!

产品等级

我很惊讶 简单 是为了在我的测试环境中启动FileAudit 5并使其运行。几分钟之内,我就吃饱了 能见度 访问所有已授权或未授权的文件夹和文件。用户界面是 现代直觉的, 和 the 缓解 您可以使用它配置审核和警报,这是惊人的。我唯一遇到的问题是与安装有关,因此这并不是一个真正的阻碍。我会极力推荐该产品,并给予它4.5级满分5的WindowSecurity.com金奖。

WindowSecurity.com注意:4.5 / 5

WindowSecurity.com

有关更多信息 IS决策文件审核 要么
download a 自由 试用.

原始评论可以在上找到 TechGenix.

TechGenix每个月都会接触数百万的IT专业人员,并且已经设置了通过其不断增长的网站系列提供免费技术内容的标准,从而为他们提供了设置,配置,维护和增强其网络所需的答案和工具。