文件访问活动监控

文件访问活动监视（FAAM）使用本机Microsoft Audit详细文件共享审核将所有5145事件从Windows系统写入安全日志。在Windows域上启用此审核时，Insight Agent会从文件和文件夹中收集每个访问事件，并将其发送到InsightIDR。必威体育app登录

要设置文件访问活动监控，你需要:

启用审核。
验证配置。

此时，文件访问活动监视仅在Windows系统上可用，并且只能跟踪从Windows共享访问文件和文件夹时的访问。

启用文件访问活动审计

您可以使用组策略管理编辑器在域级别启用FAAM，也可以使用本地安全策略工具在单个机器上启用FAAM。

启用文件访问活动审计:

打开组策略管理器编辑器或本地安全策略工具。这两个工具将显示相同的选项。
导航到以下文件夹路径:计算机配置>策略> Windows设置>安全设置>高级审计策略配置>审计策略。
选择对象访问政策。“子类别”窗格将出现在右边。
双击审计文件共享明细打开并配置审计。
在“Policy选项卡”下，选中要监视的一个或两个框成功或失败事件。
点击好吧保存更改。

验证FAAM配置

启用文件访问活动审计后，Insight Agent将从Windows安全日志中收集事件ID为5145的所必威体育app登录有事件。每当从网络共享访问文件或文件夹时，就会创建这些事件。有关此事件的更多信息，请参阅Microsoft文档这里:https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-5145。

事件发生5 ~ 10分钟后，日志会显示在“日志搜索”页面上。

要验证此配置是否有效:

通过访问Windows共享中的文件或文件夹触发事件。
在InsightIDR中，转到日志搜索页，并选择文件访问活动日志集。
浏览日志以查看文件访问事件。

下面是文件访问活动日志的示例:

         
          
           
          
         

          
           
            1
           02 Jan 2019 08:43:38.894{
          
          
           
            2
           “时间戳”:“2019 - 01 - 02 t14:42:37.850z”,
          
          
           
            3.
           "user": "John Smith Admin"，
          
          
           
            4
           “账户”：“jsmith_adm”，
          
          
           
            5
           “user_domain”:“example.com”,
          
          
           
            6
           “source_asset”:“yellow.example.com”,
          
          
           
            7
           :“source_address 192.168.0.162”,
          
          
           
            8
           "service": "Windows File Share"，
          
          
           
            9
           “目标地址”：“red.example.com”，
          
          
           
            10
           :“file_path / /公共/文件/重要Notes.txt”,
          
          
           
            11
           “文件名”：“重要注释.txt”，
          
          
           
            12
           “file_extension”:“三种”,
          
          
           
            13
           “file_share”:“公众”,
          
          
           
            14
           :“access_types ReadData”,
          
          
           
            15
           :“source_data{\“sourceName \”,\“Microsoft-Windows-Security-Auditing \”,\“insertionStrings \”:[\ s - 1 - 5 - 21 - 4177825978 - 4092304191 - 4177825978 - 1108 \”,\“jsmith_adm \”,\“EXAMPLEDOMAIN \”,\“0 x280fe8dd \”,\“文件\”,\“192.168.0.000 \”,\“58321 \",\"\\\\\\\\*\\\\ 公共 \",\"\\\\??\ \ \ \ C: \ \ \ \文件共享\ \ \ \公共\ \ \ \ \”,\“文件很重要Notes.txt \”,\“0 x120089 \”,\“% % 1538 \ \ r \ \ n \ \ t \ \ \ \ \ \ t % % 1541 \ \ r \ \ n \ \ t \ \ \ \ \ \ t % % 4416 \ \ r \ \ n \ \ t \ \ \ \ \ \ t % % 4419 \ \ r \ \ n \ \ t \ \ \ \ \ \ t % % 4423 \ \ r \ \ n \ \ t \ \ t \ \ \ \ \”,\“% % 1538:\ \ t % % 1804 \ \ r \ \ n \ \ t \ \ \ \ \ \ t % % 1541: \ \ t % % 1801 \ \ tD: (0 x1301bf;;;;; WD) \ \ r \ \ n \ \ t \ \ \ \ \ \ t % % 4416: \ \ t % % 1801 \ \ tD: (0 x1301bf;;;;; WD) \ \ r \ \ n \ \ t \ \ \ \ \ \ t % % 4419: \ \ t % % 1801 \ \ tD: (0 x1301bf;;;;; WD) \ \ r \ \ n \ \ \ \t \ \ \ \ t % % 4423: \ \ t % % 1801 \ \ tD: (0 x1301bf;;;;; WD) \ \ r \ \ n \ \ t \ \ t \ \ \ \ \”,\“eventCode \”:5145年,\“computerName \ ": \ " red.example.com \”,\“sid \":\"\",\" isDomainController \”:假}”

FIM和FAAM之间的差异

配置文件访问活动监控与配置不同文件完整性监控(FIM)。虽然FIM使用本地Microsoft审计工具有一个类似的配置过程，但这是它们唯一的相似之处。

FIM与FAAM的区别如下表所示:

	文件完整性监控(FIM)	文件访问活动监控(FAAM)
个人文件/文件夹审计	是的	没有
微软本地审计	是的	是的
收集的事件ID	事件ID 4663	事件ID 5145
事件监控	只能修改、创建和删除事件。	所有访问事件
日志集名称	文件修改活动	文件访问活动

这页对你有帮助吗？