Start > Alle Services > Security Monitoring > Fileserver > +8MATE FS Logga  > Alarme für Datenlöschungen aktivieren (Fileserver)

Alarme für Datenlöschungen aktivieren (Fileserver)

<< Inhaltsverzeichnis anzeigen >>

Navigation:  Start > Alle Services > Security Monitoring > Fileserver > +8MATE FS Logga  >

Alarme für Datenlöschungen aktivieren (Fileserver)

Hintergrund / Mehrwert

Um Sicherheitsvorfälle effizient zu erfassen, nimmt 8MAN die von Nutzern ausgelösten Fileserver-Events in den Blick. Treten diese in ungewohnt hoher Zahl und zusätzlich in einem kurzen Zeitraum auf, informiert 8MAN proaktiv alle Verantwortlichen.

 

Datenlöschungen: Ein Nutzerkonto löscht in einem kurzen Zeitraum sehr viele Dateien („File delete“)

 

Weiterführende Services

Alarme für Fileserververzeichnisse aktivieren

Alarme für Verdachtsfälle auf Datendiebstahl aktivieren (Fileserver)

Alarme für Verdachtsfälle auf Ransomware aktivieren (Fileserver)

Nach einem Alarm ein Skript ausführen

Alarme verwalten

 

Der Prozess in einzelnen Schritten

C014-01 Alarme für spezifische Verzeichnisse

 

1.Wählen Sie "Ressourcen".

2.Expandieren Sie den "Fileserver".

3.Bereits eingerichtete Alarme werden mit einem Glockensymbol dargestellt.

4.Rechtsklicken Sie eine Ressource und wählen Sie "Alarm anlegen" im Kontextmenü, um einen neuen Alarm anzulegen.

5.Rechtsklicken Sie eine Ressource und wählen Sie "Alarme verwalten" im Kontextmenü, um bestehende Alarme anzupassen oder zu löschen.


 

 

C018-01 Alarm für Datenlöschungen

 

1.Geben Sie der Alarmkonfiguration einen Namen.

2.Wählen Sie "Ereignis".

3.Legen Sie fest, welche Ereignisse einen Alarm auslösen. Bei Datenlöschungen typisch: "Verzeichnis gelöscht" und "Datei gelöscht".

4.Klicken Sie auf "Blacklist Benutzer".


 

 

C014-03 Alarme für spezifische Verzeichnisse

 

Optional:

Definieren Sie mit Hilfe der Blacklist, welche Benutzer keinen Alarm auslösen.

Jede Alarmkonfiguration hat ihre eigene Blacklistkonfiguration.

Sie können nur Benutzer hinzufügen, keine Gruppen.

1.Nutzen Sie die Suchfunktion, um die gewünschten Benutzer zu finden.

2.Nutzen Sie Doppelklick oder Drag&Drop, um Benutzer zur Blacklist hinzuzufügen.

3.Nutzen Sie die "Entf"-Taste, um Benutzer von der Blacklist zu entfernen.

4.Klicken Sie auf "Anwenden", um die Änderungen zu speichern.


 

 

C014-04 Alarme für spezifische Verzeichnisse

 

1.Wählen Sie "Blacklist Verzeichnisse".


 

 

C014-05 Alarme für spezifische Verzeichnisse

 

Optional:

Definieren Sie mit Hilfe der Blacklist, welche Verzeichnisse nicht überwacht werden.

 

1.Nutzen Sie die Filterfunktion, um die gewünschten Verzeichnisse zu finden. Wenn Sie filtern, ändert sich die Baumansicht zu einer Ergebnisliste der Verzeichnispfade.

2.Nutzen Sie Doppelklick oder Drag&Drop, um Verzeichnisse zur Blacklist hinzuzufügen.

3.Nutzen Sie die "Entf"-Taste, um Verzeichnisse von der Blacklist zu entfernen.

4.Schalten Sie die Überwachung der Unterverzeichnisse ein oder aus.

5.Klicken Sie auf "Anwenden", um die Änderungen zu speichern.


 

 

C015-02 Alarm für Veradcht auf Datendiebstahl

 

1.Wählen Sie "Schwellenwert".

2.Aktivieren Sie Schwellenwert.

3.Aktivieren Sie die Option.

4.Legen Sie fest, wieviele Ereignisse innerhalb eines Zeitraumes den Alarm auslösen.


 

 

C014-06 Alarme für spezifische Verzeichnisse

 

1.Wählen Sie Aktionen. Hier legen Sie fest, welche Aktionen ausgeführt werden, wenn ein Alarm ausgelöst wurde. Sie müssen mindestens eine Aktion aktivieren (Pfeile).

2.Aktivieren Sie die Option, wenn bei einem Alarm eine E-Mail versendet werden soll.
Der Inhalt der E-Mails kann angepasst werden. Dies erfolgt analog zu den Rezertifizierungs-E-Mails.

3.Der Alarm wird in die Windows Ereignisanzeige geschrieben. Dabei wird die Kategorisierung angewendet. Diese Option ist besonders nützlich, wenn Sie ein SIEM-System einsetzen.

4.Aktivieren Sie die Ausführung eines Skripts. Um diese Option aktivieren zu können, muss eine Skriptkonfiguration für Alarme hinterlegt sein.


 

 

C014-07 Alarme für spezifische Verzeichnisse

 

Wählen Sie eine Kategorie.

Diese wird beim Schreiben in die Windows Ereignisanzeige und für den E-Mail Betreff verwendet.


 

 

C014-08 Alarme für spezifische Verzeichnisse

 

1.Sie müssen eine Begründung für die Alarmkonfiguration angeben, um diese speichern zu können.

2.Klicken Sie auf "Anlegen".