Sobald das Auditing auf einem oder mehreren Verzeichnissen konfiguriert wurde, können Sie sich entweder dafür entscheiden, ein oder mehrere bestimmte Verzeichnisse mit EventSentry zu überwachen oder einfach alle Dateizugriffsverfolgungsereignisse abzufangen und zu normalisieren.
Ereignis-Analyse
Wenn Sie eine Dateizugriffsverfolgung einrichten, müssen Sie festlegen, wie Sie Ereignisse analysieren möchten. Sie können entweder Ereignisse normalisieren, normalisieren & verifizieren oder Ereignisse normalisieren, verifizieren & filtern.
Normalisieren ("Normalize Only")
Dies ist die am wenigsten ressourcenintensive Option, bei der Objektverfolgungsereignisse abgefangen, normalisiert und in die EventSentry-Datenbank geschrieben werden. Bei der Einstellung dieser Option wird keine zusätzliche Überprüfung der Dateien durchgeführt, auf die zugegriffen wird. Dies ist die einzige Option, die bei Verwendung der Aktivität Alle Dateizugriffe verfolgen verfügbar ist.
Nur normalisieren ist die empfohlene Einstellung für Computer mit Vista und höher, da diese Computer bereits "Operational Events" erzeugen.
Normalisieren & Verifizieren ("Normalize & Verify")
Diese Option führt neben der einfachen Normalisierung von Ereignissen, wie oben beschrieben, auch zusätzliche Überprüfungen der Dateien durch, auf die zugegriffen wird. Diese Option erfordert mehr Ressourcen, da sie für jede Datei in den überwachten Verzeichnissen sowie für jede Datei, welche geschrieben wird, eine Prüfsumme erstellt.
Verifizieren versucht die meisten Dateiänderungen zu ermitteln:
1.Der Schreibzugriff auf Dateien wird anhand der SHA-Prüfsummen der Dateien überprüft
2.Datei-Löschungen werden überprüft, indem die Nicht-Existenz der Dateien überprüft wird.
3.Hinzugefügte Dateien werden überprüft
Wenn eine Aktion verifiziert werden kann, dann wird das Ereignis als "verifiziert" gekennzeichnet.
Die Option Verifizieren ist nur verfügbar wenn Sie ein oder mehrere Verzeichnisse angeben, da der Agent jedes überwachte Verzeichnis initialisieren muss.
Normalisieren, Verifizieren & Filtern ("Normalize, Verify & Filter")
Diese Auswahl ist identisch mit der Einstellung Normalisieren & Verifizieren, außer dass nur Dateiänderungen, die (z.B. durch eine Prüfsumme) verifiziert wurden, in der Datenbank protokolliert werden. Wenn eine Aktion nicht verifiziert werden kann, dann wird das Ereignis verworfen.
Diese Option wird für sicherheitsempfindliche Umgebungen nicht empfohlen, da wichtige Ereignisse ignoriert werden könnten, wenn eine Aktion nicht richtig bestimmt werden kann.
Tracking-Verzeichnisse
Sie können entweder alle Dateizugriffsaktivitäten verfolgen oder ein oder mehrere Verzeichnisse angeben, die überwacht werden sollen.
Tracking all file access activity
Wählen Sie diese Option, um alle Objektverfolgungsereignisse zu verfolgen, die auf einem System erzeugt werden. Wenn Sie diese Option wählen, wird die Ereignisanalyse automatisch auf Nur normalisieren gesetzt.
Monitoring one or more directories
Fügen Sie ein oder mehrere Verzeichnisse zu der Liste hinzu, um nur Dateizugriffsereignisse aus ausgewählten Verzeichnissen zu verfolgen. Sie müssen diese Option auch auswählen, um die Option "Normalisieren & Verifizieren" oder "Normalisieren, Verifizieren & Filtern" zu verwenden. Klicken Sie auf das Plus-Symbol, um ein Verzeichnis zur Liste der überwachten Verzeichnisse hinzuzufügen. Die Überwachung eines UNC-Pfades oder einer Netzwerkfreigabe (wie \\SERVER1\Payroll) wird nicht unterstützt.
Zusätzlich können Sie konfigurieren, welche Zugriffsmasken aufgezeichnet werden sollen (z.B. nur WriteData oder Delete) und auch einen Dateifilter angeben, der nur bestimmte Dateien einschließt oder Dateien ausschließt, die nicht nachverfolgt werden sollen. Siehe Zugriffsmasken & Filter für weitere Informationen.
Retrieve Source IP address and Computer Name
Wenn die im Ereignis zur Verfolgung des Dateizugriffs enthaltene Anmelde-ID mit einer früheren Anmeldesitzung verknüpft (korreliert) werden kann, dann enthält EventSentry die IP-Adresse und/oder den Hostnamen. Für den Fall, dass nur der Hostname oder die IP-Adresse verfügbar sind, wird ein DNS (Reverse) Lookup versucht um die fehlenden Informationen zu sammeln.
Da DNS-Daten, vor allem wenn DHCP IP-Adressen involviert sind, nicht immer 100% genau sind, sollte man sich nicht nur auf diese Daten verlassen.
