8MATE FS Logga: Alarme für Fileserver

<< Inhaltsverzeichnis anzeigen >>

Navigation:  Start > Release Notes > 9.0 > Security Monitoring >

8MATE FS Logga: Alarme für Fileserver

Um Sicherheitsvorfälle effizient zu erfassen, nimmt 8MAN die von Nutzern ausgelösten Fileserver-Events in den Blick. Treten diese in ungewohnt hoher Zahl und zusätzlich in einem kurzen Zeitraum auf, informiert 8MAN proaktiv alle Verantwortlichen.

Folgende mögliche Sicherheitsvorfälle indiziert 8MAN:

Datendiebstahl: Ein Nutzerkonto liest in einem kurzen Zeitraum ungewöhnlich viele Dateien ein („File read“)

Datenlöschungen: Ein Nutzerkonto löscht in einem kurzen Zeitraum sehr viele Dateien („File delete“)

Ransomware Attacke: Von einem Nutzerkonto geht die Kombination aus Dateierstellung und Löschung aus („File create“ & „File delete“)

 

Folgende Events konfigurieren Sie als Auslöser für Alerts:

Datei gelesen

Datei geschrieben

Verzeichnis erstellt

Datei erstellt

Verzeichnis verschoben/umbenannt

Datei verschoben/umbenannt

Verzeichnis gelöscht

Datei gelöscht

Berechtigung geändert (ACL changed)

 

Definieren Sie Schwellenwerte anhand der Häufigkeit der Events als auch der Zeitabstände. Serviceaccounts, Administratorenkonten und spezielle Verzeichnisse nehmen Sie über eine Blacklist aus der Alarmfunktion heraus.

 

Gezielt sicherheitskritische Verzeichnisse überwachen

Darüber hinaus lassen sich auch verzeichnisspezifisch Alarme definieren. Sollte ein unbekanntes Nutzerkonto Zugriff auf ein sicherheitsrelevantes Verzeichnis erhalten, sendet 8MAN einen Alarm an die Datenverantwortlichen.

 

Skripte nach einem Alarm automatisch ausführen

Wird ein Fileserver oder Active Directory Alarm ausgelöst, kann 8MAN anschließend ein Skript ausführen. Dies ist z.B. im folgenden Szenario relevant:

Ein Nutzerkonto wird der überwachten Administratorengruppe hinzugefügt. Ein Alert wird sofort ausgelöst und das verknüpfte Skript entfernt das Nutzerkonto sofort wieder aus der Gruppe. Damit ist die Administratorengruppe dauerhaft vor Manipulation geschützt.

 

Alarme priorisieren

Ab Version 9 priorisieren Sie die Alarme entsprechend der Kategorien in der Windows Ereignisanzeige. Darüber hinaus werden kategorisierte Alert-E-Mails versendet.

 

Services

Alarme für Fileserververzeichnisse aktivieren

Alarme für Verdachtsfälle auf Datendiebstahl aktivieren (Fileserver)

Alarme für Datenlöschungen aktivieren (Fileserver)

Alarme für Verdachtsfälle auf Ransomware aktivieren (Fileserver)

Nach einem Alarm ein Skript ausführen