文件访问活动监控
文件访问活动监视(FAAM)使用本机Microsoft Audit详细文件共享审核将所有5145事件从Windows系统写入安全日志。在Windows域上启用此审核时,Insight Agent会从文件和文件夹中收集每个访问事件,并将其发送到InsightIDR。必威体育app登录
要设置文件访问活动监控,你需要:
此时,文件访问活动监视仅在Windows系统上可用,并且只能跟踪从Windows共享访问文件和文件夹时的访问。
启用文件访问活动审计
您可以使用组策略管理编辑器在域级别启用FAAM,也可以使用本地安全策略工具在单个机器上启用FAAM。
启用文件访问活动审计:
- 打开组策略管理器编辑器或本地安全策略工具。这两个工具将显示相同的选项。
- 导航到以下文件夹路径:计算机配置>策略> Windows设置>安全设置>高级审计策略配置>审计策略。
- 选择对象访问政策。“子类别”窗格将出现在右边。
- 双击审计文件共享明细打开并配置审计。
- 在“Policy选项卡”下,选中要监视的一个或两个框成功或失败事件。
- 点击好吧保存更改。
验证FAAM配置
启用文件访问活动审计后,Insight Agent将从Windows安全日志中收集事件ID为5145的所必威体育app登录有事件。每当从网络共享访问文件或文件夹时,就会创建这些事件。有关此事件的更多信息,请参阅Microsoft文档这里:https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-5145。
事件发生5 ~ 10分钟后,日志会显示在“日志搜索”页面上。
要验证此配置是否有效:
- 通过访问Windows共享中的文件或文件夹触发事件。
- 在InsightIDR中,转到日志搜索页,并选择文件访问活动日志集。
- 浏览日志以查看文件访问事件。
下面是文件访问活动日志的示例:
102 Jan 2019 08:43:38.894{2“时间戳”:“2019 - 01 - 02 t14:42:37.850z”,3."user": "John Smith Admin",4“账户”:“jsmith_adm”,5“user_domain”:“example.com”,6“source_asset”:“yellow.example.com”,7:“source_address 192.168.0.162”,8"service": "Windows File Share",9“目标地址”:“red.example.com”,10:“file_path / /公共/文件/重要Notes.txt”,11“文件名”:“重要注释.txt”,12“file_extension”:“三种”,13“file_share”:“公众”,14:“access_types ReadData”,15:“source_data{\“sourceName \”,\“Microsoft-Windows-Security-Auditing \”,\“insertionStrings \”:[\ s - 1 - 5 - 21 - 4177825978 - 4092304191 - 4177825978 - 1108 \”,\“jsmith_adm \”,\“EXAMPLEDOMAIN \”,\“0 x280fe8dd \”,\“文件\”,\“192.168.0.000 \”,\“58321 \",\"\\\\\\\\*\\\\ 公共 \",\"\\\\??\ \ \ \ C: \ \ \ \文件共享\ \ \ \公共\ \ \ \ \”,\“文件很重要Notes.txt \”,\“0 x120089 \”,\“% % 1538 \ \ r \ \ n \ \ t \ \ \ \ \ \ t % % 1541 \ \ r \ \ n \ \ t \ \ \ \ \ \ t % % 4416 \ \ r \ \ n \ \ t \ \ \ \ \ \ t % % 4419 \ \ r \ \ n \ \ t \ \ \ \ \ \ t % % 4423 \ \ r \ \ n \ \ t \ \ t \ \ \ \ \”,\“% % 1538:\ \ t % % 1804 \ \ r \ \ n \ \ t \ \ \ \ \ \ t % % 1541: \ \ t % % 1801 \ \ tD: (0 x1301bf;;;;; WD) \ \ r \ \ n \ \ t \ \ \ \ \ \ t % % 4416: \ \ t % % 1801 \ \ tD: (0 x1301bf;;;;; WD) \ \ r \ \ n \ \ t \ \ \ \ \ \ t % % 4419: \ \ t % % 1801 \ \ tD: (0 x1301bf;;;;; WD) \ \ r \ \ n \ \ \ \t \ \ \ \ t % % 4423: \ \ t % % 1801 \ \ tD: (0 x1301bf;;;;; WD) \ \ r \ \ n \ \ t \ \ t \ \ \ \ \”,\“eventCode \”:5145年,\“computerName \ ": \ " red.example.com \”,\“sid \":\"\",\" isDomainController \”:假}”
FIM和FAAM之间的差异
配置文件访问活动监控与配置不同文件完整性监控(FIM)。虽然FIM使用本地Microsoft审计工具有一个类似的配置过程,但这是它们唯一的相似之处。
FIM与FAAM的区别如下表所示:
文件完整性监控(FIM) |
文件访问活动监控(FAAM) |
|
---|---|---|
个人文件/文件夹审计 |
是的 |
没有 |
微软本地审计 |
是的 |
是的 |
收集的事件ID |
事件ID 4663 |
事件ID 5145 |
事件监控 |
只能修改、创建和删除事件。 |
所有访问事件 |
日志集名称 |
文件修改活动 |
文件访问活动 |
这页对你有帮助吗?