审计文件服务器的5个核心要素

文件服务器审计是企业IT安全中一个必不可少的环节，任何的疏忽都可能会让您的企业遭受巨大的影响或受到行政处罚。

想象如下场景：某大学教授访问了学校组织内的一些重要文件，而这些文件包含了一些重要研究成果。该教授利用这些窃取来的数据，去创立了自己的公司，然后利用这些商业机密赚取暴利。

而ManageEngine的文件服务器审核解决方案可以帮助该学校避免知识产权被窃事件的发生。

以下是文件服务器审核解决方案保护敏感信息的5个核心要素

01访问权限实时掌控

最小特权原则和零信任安全模型是特权访问管理所必须遵循的基本原则，共享文件和文件夹的访问权限应仅授予那些确实有工作需要的用户。

任何时候，您都应该能够验证用户是否具有额外的特权，并在必要时撤销该特权。

02访问权限的更改

任何用户的访问权限发生更改时，您都有必要收到该事件的实时告警，当执行取证分析时，您可能也有必要分析过去的审计记录。

一旦发生数据泄露，并且需要调查导致数据泄露的根本原因时，分析用户的访问权限的更改就变得尤为重要。

03文件和文件夹的活动

以下是您需要监视一些文件和文件夹的活动，这些活动包括但不限于：

○文件创建

○文件修改

○文件删除

○文件移动

○文件重命名

○文件复制和粘贴

○尝试读取文件失败

○尝试写入文件失败

○尝试删除文件失败

04审核设置的更改

除了监视文件和文件夹的访问以及权限更改，您还应该监视对审核设置或系统访问控制列表（SACL）的更改。

SACL指定生成审核记录的活动类型，攻击者可能试图通过对SACL进行更改来隐藏其踪迹，一旦成功，则后续的文件和文件夹的活动都可能不会被记录下来。

您可以采用一款文件服务器审核解决方案来跟踪此类活动。

05文件完整性监控（FIM）

文件服务器审核解决方案通常用于监视网络上共享或非共享的文件或目录的访问活动，FIM则负责检查域控制器、成员服务器甚至工作站上重要的操作系统文件、应用程序或数据库文件。

FIM通过将文件最新版本与旧版本进行比较，识别出是否有意外和未经授权的更改。这种比较通常是通过哈希函数来完成。

作为IT安全管理员，您需要能够发现攻击者可以利用的每个安全漏洞并且进行修复。时刻关注这5个核心要素对您的企业安全十分重要，Log360助您事半功倍。