Jak dowiedzieć się, kto usunął plik?

Kto usunął plik? Szybkie sposoby na ustalenie sprawcy

26/11/2024

Rating: 4.63 (7487 votes)

Utrata ważnych plików w firmowej sieci serwerów to poważny problem. Niezależnie od tego, czy plik został usunięty złośliwie, czy przez pomyłkę, konsekwencje mogą być dotkliwe – od przestoju ważnych procesów biznesowych po utratę kluczowych danych. Bez odpowiedniego audytu usuwania plików i zmian uprawnień dostępu, trudno jest ustalić odpowiedzialność i zapobiec przyszłym incydentom.

Spis treści

Dlaczego musisz wiedzieć, kto usunął plik?

Świadomość tego, kto stoi za usunięciem pliku, jest kluczowa z kilku powodów:

  • Bezpieczeństwo danych: Nieautoryzowane usuwanie plików może wskazywać na naruszenie bezpieczeństwa i potencjalny wyciek danych. Szybka identyfikacja sprawcy pozwala na podjęcie natychmiastowych działań i minimalizację szkód.
  • Odpowiedzialność: Audyt usuwania plików pozwala na przypisanie odpowiedzialności za działania podejmowane w sieci firmowej. W przypadku celowego usunięcia pliku, możliwe jest podjęcie odpowiednich kroków dyscyplinarnych.
  • Zapobieganie utracie danych: Analiza przyczyn usunięcia pliku pomaga w identyfikacji słabych punktów w systemie uprawnień i procedurach bezpieczeństwa. Dzięki temu można wdrożyć odpowiednie środki zapobiegawcze i zminimalizować ryzyko przyszłych incydentów.
  • Ciągłość biznesowa: Utrata kluczowych plików może zakłócić ciągłość działania firmy. Szybkie ustalenie sprawcy i potencjalne odzyskanie danych pozwala na minimalizację przestojów i utrzymanie operacyjności.

Metody śledzenia usuwania plików

Istnieje kilka metod, które pozwalają na śledzenie usuwania plików w środowisku IT. Różnią się one poziomem skomplikowania, funkcjonalnością i zakresem działania. Poniżej przedstawiamy najpopularniejsze z nich:

Natywny audyt systemu Windows

Microsoft Windows oferuje wbudowane narzędzie do audytu usuwania plików. Aby z niego skorzystać, audyt musi być wcześniej aktywowany. Proces przeszukiwania dzienników zdarzeń Windows w celu znalezienia informacji o usuniętych plikach może być jednak czasochłonny i skomplikowany. Wymaga ręcznego przeglądania każdego zdarzenia, aby uzyskać szczegóły, takie jak nazwa użytkownika, który usunął plik, i czas zdarzenia.

Jak sprawdzić, kto zapisał plik?
W obszarze Windows Logs wybierz opcję Security. Wszystkie dzienniki inspekcji można znaleźć w środkowym okienku, jak widać poniżej. Przeszukaj Security Windows Logs pod kątem identyfikatora zdarzenia ID 4656 ze słowem kluczowym Audit failed, aby dowiedzieć się, kto próbował wprowadzić zmiany do pliku lub folderu.

Natywny audyt Windows, choć dostępny bez dodatkowych kosztów, może być niewystarczający w środowiskach, gdzie szybkość reakcji i łatwość analizy danych są kluczowe.

Netwrix Auditor

Netwrix Auditor to zaawansowane rozwiązanie, które znacznie ułatwia wykrywanie i analizowanie usunięć plików na serwerach Windows, urządzeniach magazynujących EMC i macierzach NetApp. W kilku prostych krokach można uzyskać czytelny raport, który prezentuje wszystkie zmiany i zdarzenia dostępu, w tym szczegółowe informacje o tym, kto, co, gdzie i kiedy zmienił lub usunął plik.

Jak sprawdzić, kto usunął folder?
Jeśli plik lub folder został usunięty w ciągu trzech ostatnich miesięcy i chcemy sprawdzić, kto go usunął, możemy przejrzeć "Dziennik używania dokumentów".

Netwrix Auditor oferuje:

  • Automatyczne raporty: Raporty mogą być generowane automatycznie i wysyłane e-mailem zgodnie z harmonogramem.
  • Alerty w czasie rzeczywistym: Możliwość konfiguracji alertów o określonych typach działań, co pozwala na natychmiastową reakcję na podejrzane zdarzenia.
  • Interaktywne wyszukiwanie: Usprawnia proces dochodzenia i analizy zdarzeń.
  • Monitorowanie zachowań użytkowników: Zaawansowane funkcje monitorowania zachowań użytkowników informują o nietypowej aktywności, takiej jak nagły wzrost liczby zdarzeń dostępu lub masowe usuwanie danych, umożliwiając podjęcie działań zapobiegawczych.

Dzięki Netwrix Auditor, proces śledzenia usuwania plików staje się prosty, szybki i efektywny, znacząco zwiększając bezpieczeństwo danych i minimalizując ryzyko utraty informacji.

Oracle Content Management - Dziennik Używania Dokumentów

W przypadku korzystania z Oracle Content Management, istnieje możliwość sprawdzenia, kto usunął plik lub folder w ciągu ostatnich trzech miesięcy, poprzez „Dziennik Używania Dokumentów”. Funkcja ta jest dostępna dla administratorów aplikacji internetowej Oracle Content Management.

Aby skorzystać z Dziennika Używania Dokumentów należy:

  1. Zalogować się do aplikacji internetowej Oracle Content Management jako administrator.
  2. W menu nawigacyjnym wybrać opcję Analizy.
  3. Z menu Analizy wybrać opcję Raporty i miary.
  4. Wybrać opcję Dziennik używania dokumentów.
  5. Ustawić przedział dat (w obrębie ostatnich trzech miesięcy).
  6. Z listy czynności wybrać opcję Przenieś do Kosza lub Przenieś wersję do Kosza.
  7. Nacisnąć przycisk Odśwież.

Dane można wyeksportować do pliku CSV w celu dalszej analizy. Należy pamiętać, że Dziennik Użycia Dokumentów raportuje działania tylko z ostatnich trzech miesięcy, co stanowi ograniczenie w dłuższej perspektywie czasowej.

Jak dowiedzieć się, kto usunął plik?
Otwórz Podgląd zdarzeń i wyszukaj w dzienniku zabezpieczeń identyfikator zdarzenia 4656 z kategorią zadania „System plików” lub „Magazyn wymienny” i ciągiem „Dostępy: USUŃ”. Przejrzyj raport. Pole „Temat: Identyfikator zabezpieczeń” pokaże, kto usunął każdy plik .

ADAudit Plus

ADAudit Plus to kolejne narzędzie, które oferuje kompleksowe raporty konsolidujące informacje o tworzeniu i usuwaniu plików i folderów na serwerach. ADAudit Plus umożliwia łatwe śledzenie tych zdarzeń i generowanie czytelnych raportów.

Funkcje ADAudit Plus obejmują:

  • Raporty jednym kliknięciem: Szybki dostęp do raportów śledzących tworzenie i usuwanie plików/folderów.
  • Automatyczne generowanie raportów: Raporty mogą być eksportowane i automatycznie generowane w określonych godzinach oraz dostarczane na skrzynkę odbiorczą.
  • Konfigurowalne alerty: Możliwość konfiguracji alertów powiadamiających o usunięciu uprawnień do krytycznych plików/folderów, co umożliwia natychmiastową reakcję.

Raporty ADAudit Plus zawierają szczegółowe informacje, takie jak:

  • Nazwa pliku/folderu, który został zmieniony.
  • Użytkownik, który wprowadził zmiany.
  • Czas wprowadzenia zmiany.
  • Lokalizacja pliku/folderu.

Dodatkowo, ADAudit Plus umożliwia filtrowanie raportów i wyświetlanie tylko wybranych typów zmian, np. tylko usuniętych plików. Raporty można również dostosować do konkretnego użytkownika lub serwera.

Jak włączyć audyt usuwania plików?

Proces włączania audytu usuwania plików różni się w zależności od używanego systemu i narzędzia. W systemie Windows, aktywacja audytu wymaga konfiguracji zasad grupy i ustawień audytu dla wybranych folderów lub plików. Narzędzia takie jak Netwrix Auditor i ADAudit Plus zazwyczaj oferują uproszczone procesy konfiguracji i automatyzację włączania audytu.

Jak włączyć audyt usuwania plików?
Przejdź do Ustawień zabezpieczeń i wybierz Zasady lokalne. W obszarze Zasady audytu wybierz „Audit object access” i włącz audyt zarówno dla powodzenia, jak i niepowodzenia .

Ogólnie rzecz biorąc, kroki włączania audytu usuwania plików obejmują:

  1. Wybór narzędzia audytu: Decyzja, czy korzystać z natywnego audytu systemu operacyjnego, czy z dedykowanego rozwiązania, takiego jak Netwrix Auditor lub ADAudit Plus.
  2. Konfiguracja zasad audytu: Ustawienie zasad audytu, które określają, jakie zdarzenia mają być rejestrowane (w tym przypadku usuwanie plików).
  3. Wybór obiektów do audytu: Wskazanie folderów lub plików, które mają być monitorowane pod kątem usuwania.
  4. Aktywacja audytu: Włączenie usługi audytu w systemie operacyjnym lub konfiguracja narzędzia audytującego.

Szczegółowe instrukcje włączania audytu usuwania plików można znaleźć w dokumentacji systemu operacyjnego lub narzędzia audytującego.

Podsumowanie

Ustalenie, kto usunął plik, jest kluczowe dla bezpieczeństwa danych i ciągłości biznesowej. Dostępnych jest wiele metod, od natywnego audytu Windows, który może być czasochłonny, po zaawansowane narzędzia takie jak Netwrix Auditor i ADAudit Plus, które oferują łatwe w użyciu raporty, alerty i funkcje monitorowania. Wybór odpowiedniej metody zależy od potrzeb organizacji, poziomu bezpieczeństwa, jaki chce się osiągnąć, oraz dostępnych zasobów. Regularny audyt i monitorowanie zdarzeń usuwania plików pozwalają na szybką identyfikację i reakcję na potencjalne zagrożenia, minimalizując ryzyko utraty danych i przestojów w działalności firmy.

Jeśli chcesz poznać inne artykuły podobne do Kto usunął plik? Szybkie sposoby na ustalenie sprawcy, możesz odwiedzić kategorię Audyt.

Go up