文件访问活动监控

文件访问活动监视(FAAM)使用本机Microsoft Audit详细文件共享审核将所有5145事件从Windows系统写入安全日志。在Windows域上启用此审核时,Insight Agent会从文件和文件夹中收集每个访问事件,并将其发送到InsightIDR。必威体育app登录

要设置文件访问活动监控,您需要:

  1. 启用审核
  2. 验证配置

此时,文件访问活动监控仅在Windows系统上可用,只能在从Windows共享访问时跟踪对文件和文件夹的访问权限。

启用文件访问活动审计

您可以使用组策略管理编辑器或使用本地安全策略工具在单个计算机上启用FAAM。

要启用文件访问活动审核:

  1. 打开组策略管理器编辑器或本地安全策略工具。这两个工具将显示相同的选项。
  2. 导航到以下文件夹路径:计算机配置>策略> Windows设置>安全设置>高级审计策略配置>审计策略
  3. 选择对象访问政策。“子类别”窗格将出现在右侧。
  4. 双击审核详细的文件共享打开和配置审核。
  5. 在“策略选项卡”下,检查一个或两个框以监视成功或者失败事件。
  6. 点击好的保存更改。

验证FAAM配置

启用文件访问活动审核后,Insight代理将从Windows安全日志中收集具有事件ID 5145的所有事必威体育app登录件。这些事件是在任何时候从网络共享访问文件或文件夹时创建的。有关此事件的更多信息,请参阅此处的Microsoft文档:https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-5145.

发生事件后,日志搜索将显示在日志搜索上。

为了验证这种配置工作:

  1. 通过访问Windows共享上的文件或文件夹来触发事件。
  2. 在InsightIDR中,转到日志搜索页面并选择文件访问活动日志集。
  3. 浏览日志以查看文件访问事件。

以下是文件访问活动日志的示例:

         

          

           
          

         

          

           

            1

           2019年1月08日:43:38.894 {
          

          

           

            2

           “时间戳”:“2019-01-02T14:42:37.850z”,
          

          

           

            3.

           “用户”:“John Smith管理员”,
          

          

           

            4.

           “账户”:“jsmith_adm”,
          

          

           

            5.

           “user_domain”:“example.com”,
          

          

           

            6.

           “source_asset”: “yellow.example.com”
          

          

           

            7.

           “source_address”: “192.168.0.162”,
          

          

           

            8.

           “服务”:“Windows文件共享”,
          

          

           

            9.

           “目标地址”:“red.example.com”,
          

          

           

            10.

           “FILE_PATH”: “//公共/文件/重要Notes.txt”
          

          

           

            11.

           “文件名”:“重要注释.txt”,
          

          

           

            12.

           “FILE_EXTENSION”: “TXT”
          

          

           

            13.

           “FILE_SHARE”: “公共”,
          

          

           

            14.

           “Access_types”:“ReadData”,
          

          

           

            15.

           “source_data”: “{\” SOURCENAME \ “:\” Microsoft的Windows的安全的审核\”,\ “insertionStrings \”:\ “S-1-5-21-4177825978-4092304191-3872814866-1108 \”,\ “jsmith_adm \”,\ “EXAMPLEDOMAIN \”,\ “0x280fe8dd \”,\ “文件\”,\ “192.168.0.000 \”,\ “58321 \”,\“\\\\\\\\ *\\\\公共\”,\ “\\\\ ?? \\\\ C:\\\\文件共享\\\\公共\”,\ “文档\\\\重要Notes.txt \”,\“0x120089 \”,\“%% 1538 \\ř\\ñ\\吨\\吨\\吨\\吨%% 1541 \\ř\\ñ\\吨\\吨\\吨\\吨%%4416 \\ř\\ñ\\吨\\吨\\吨\\吨%% 4419 \\ř\\ñ\\吨\\吨\\吨\\吨%% 4423 \\ř\\ñ\\吨\\吨\\吨\\吨\ “\” %% 1538:\\吨%% 1804 \\ř\\ñ\\吨\\吨\\吨\\吨%% 1541:\\吨%% 1801 \\ tD型:(A ;; 0x1301bf ;;; WD)\\ř\\ñ\\吨\\吨\\吨\\吨%% 4416:\\吨%% 1801 \\ tD型:(A ;; 0x1301bf ;;; WD)\\ř\\ñ\\吨\\吨\\吨\\吨%% 4419:\\吨%% 1801 \\ tD型:(A ;; 0x1301bf ;;; WD)\\ř\\ñ\\吨\\吨\\吨\\吨%% 4423:\\吨%% 1801 \\ tD型:(A ;; 0x1301bf ;;; WD)\\ř\\ñ\\吨\\吨\\吨\\吨\ “],\” EVENTCODE \ “:5145,\” 计算机名\ “:\” red.example.com \ “\ ”SID \“:\” \“\ ”isDomainController \“:虚假}”

FIM和FAAM之间的差异

配置文件访问活动监视与配置不同文件完整性监控(FIM)。虽然FIM使用本机Microsoft审核工具具有类似的配置流程,但这是它们共享的唯一相似性。

下表显示了FIM和法阿姆之间的差异:

文件完整性监控(FIM)

文件访问活动监控(FAAM)

个人文件/文件夹审计

是的

微软本机审核

是的

是的

收集事件ID.

事件ID 4663

事件ID 5145

被监控的活动

仅修改,创建和删除事件。

所有访问事件

日志集名称

文件修改活动

文件访问活动