November 1

Release 9.0- Proaktiv Fileserver und Verzeichnisse überwachen

Hier finden Sie alles Wichtige über die ausgeklügelte Alarmfunktion im 8MAN – so bekommen Sie die Kontrolle über Zugriffsrechte innerhalb des Netzwerkes zurück!

Mit Release 9.0 kann 8MAN neben AD-Gruppen und -Konten Ihren gesamten Fileserver und von Ihnen definierte Verzeichnisse überwachen. Um Sicherheitsvorfälle effizient zu erfassen, nimmt 8MAN die von Nutzern ausgelösten Fileserver-Events in den Blick. Treten diese in ungewohnt hoher Zahl und zusätzlich in einem kurzen Zeitraum auf, informiert 8MAN proaktiv alle Verantwortlichen. Eine hohe Anzahl von Events, die zudem in einem kurzen Zeitraum auftreten, indiziert eine Reihe von Sicherheitsvorfällen.

Fileserver-Events überwachen

  • Datendiebstahl: Ein Nutzerkonto liest in einem kurzen Zeitraum ungewöhnlich viele Dateien ein („File read“)
  • Sabotage: Ein Nutzerkonto löscht in einem kurzen Zeitraum sehr viele Dateien („File delete“)
  • Ransomware-Attacke: Von einem Nutzerkonto gehen kombinierte Dateierstellungs- und -löschungsvorgänge aus („File create“ und „File delete“)

Sie können sowohl für die Häufigkeit der Events als auch für die Zeitabstände Schwellenwerte definieren. Serviceaccounts, Administratorenkonten und spezielle Verzeichnisse können über eine Blacklist aus der Alarmfunktion herausgenommen werden.

Gezielt sicherheitskritische Verzeichnisse überwachen

Darüber hinaus lassen sich auch verzeichnisspezifisch Alarme definieren. Sollte ein unbekanntes Nutzerkonto Zugriff auf ein sicherheitsrelevantes Verzeichnis erhalten, sendet 8MAN einen Alarm an die Datenverantwortlichen.

Automatische Skriptausführung nach einem Alarm

Wird ein Fileserver- oder Active-Directory-Alarm ausgelöst, kann 8MAN anschließend ein Skript ausführen. Dies ist z.B. im folgenden Szenario relevant. Beispielszenario: Ein kritisches Nutzerkonto wird der überwachten Administratorengruppe hinzugefügt. Ein Alert wird sofort ausgelöst und das verknüpfte Skript entfernt das Nutzerkonto sofort wieder aus der Gruppe. Damit ist die Administratorengruppe dauerhaft vor Manipulation geschützt.

Services

  • Alarme für Fileserververzeichnisse aktivieren
  • Alarme bei Verdacht auf Datendiebstahl aktivieren (Fileserver)
  • Alarme für Datenlöschungen aktivieren (Fileserver)
  • Alarme bei Verdacht auf Ransomware aktivieren (Fileserver)
  • Nach einem Alarm ein Skript ausführen (Active Directory)

Quelle: 8man Blog


Copyright 2021. All rights reserved.

Veröffentlicht01/11/2017 von Arnd Rößner in Kategorie "Allgemein