Windows文件服务器
- • 审计文件服务器、Windows故障转移集群、NetApp Filer和EMC服务器
- • 监控失败的尝试和成功的文件创建、修改、删除和文件读取
- • 文件的移动或重命名、复制-粘贴、修改和访问权限
在所有的网络威胁中,可能对组织造成最坏影响的威胁在于:内部人员攻击。内部人员攻击者极为难以察觉,尤其当攻击者是受信任和特权用户时更是如此,因此此类攻击恶名远扬。当攻击者是一个有特权访问系统(如Active Directory)的IT工作人员时,几乎无法检测得到。这些攻击者知道组织从内到外的所有安全策略,这为他们提供了摆脱安全控制和掩盖其入侵。
内部人员攻击的主要负担是识别攻击者的有害行为,因为这可能看起来就像是和他的角色和责任一致的正常活动。只有关于情况的情境信息才有助于发现此类攻击。为了更好地理解这一点,请考虑下面的情况; 当单独看待这种情况时,很可能会把这三起事件当做平常事件而忽略。但是,如果调查人员将帐户封锁事件与其他两个相关事件相关联,则攻击变得很明显了。
ADAudit Plus提供了一个搜索实用工具,该实用工具为选定时间段内的任何用户帐户(包括Active Directory管理员)提供三种不同的审计概览(如下所示)的合并。概览中提供的每个细节都是一个链接,点击链接后会显示详细的报表以供进一步检查。同样,搜索也会为任何给定组或计算机对象提供合并审计摘要,并提供正确的信息组合,以便更好地进行事件调查
当您使用ADAudit Plus调查上述帐户锁定事件时,此搜索将并列显示帐户中的管理员操作、从陌生IP地址进行的帐户远程访问以及帐户锁定等信息。这提供了必要的上下文,使您能够在相关的安全事件之间建立关系并最终揭露内部人员的所做的事。
有时候,攻击者会花时间仔细地分阶段进行操作。以这种方式,即使他们的行为被发现,这些行为的零散性会诱使观察者将他们视为意外或平常事件。这也给攻击者提供了一些时间,在此期间,他们在Active Directory中违规行为的迹象将从日志文件中删除(或降级到归档)。由于ADAudit Plus在本地数据库中维护审计数据,因此调查人员可以调整其搜索实用工具,为疑似用户提供几个月甚至一年的审计跟踪。这提供了一个上下文丰富的审计跟踪,调查人员可以用它来了解那些用户操作的真正意义。
有200余个即用型安全性、取证与合规审计报表
