文件访问活动监控

文件访问活动监视(FAAM)使用本机Microsoft Audit详细文件共享审核将所有5145事件从Windows系统写入安全日志。在Windows域上启用此审核时,Insight Agent会从文件和文件夹中收集每个访问事件,并将其发送到InsightIDR。必威体育app登录

要设置文件访问活动监控,你需要:

  1. 启用审核
  2. 验证配置

此时,文件访问活动监视仅在Windows系统上可用,并且只能跟踪从Windows共享访问文件和文件夹时的访问。

启用文件访问活动审计

您可以使用组策略管理编辑器在域级别启用FAAM,也可以使用本地安全策略工具在单个机器上启用FAAM。

启用文件访问活动审计:

  1. 打开组策略管理器编辑器或本地安全策略工具。这两个工具将显示相同的选项。
  2. 导航到以下文件夹路径:计算机配置>策略> Windows设置>安全设置>高级审计策略配置>审计策略
  3. 选择对象访问政策。“子类别”窗格将出现在右边。
  4. 双击审计文件共享明细打开并配置审计。
  5. 在“Policy选项卡”下,选中要监视的一个或两个框成功失败事件。
  6. 点击好吧保存更改。

验证FAAM配置

启用文件访问活动审计后,Insight Agent将从Windows安全日志中收集事件ID为5145的所必威体育app登录有事件。每当从网络共享访问文件或文件夹时,就会创建这些事件。有关此事件的更多信息,请参阅Microsoft文档这里:https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-5145

事件发生5 ~ 10分钟后,日志会显示在“日志搜索”页面上。

要验证此配置是否有效:

  1. 通过访问Windows共享中的文件或文件夹触发事件。
  2. 在InsightIDR中,转到日志搜索页,并选择文件访问活动日志集。
  3. 浏览日志以查看文件访问事件。

下面是文件访问活动日志的示例:

         
1
02 Jan 2019 08:43:38.894{
2
“时间戳”:“2019 - 01 - 02 t14:42:37.850z”,
3.
"user": "John Smith Admin",
4
“账户”:“jsmith_adm”,
5
“user_domain”:“example.com”,
6
“source_asset”:“yellow.example.com”,
7
:“source_address 192.168.0.162”,
8
"service": "Windows File Share",
9
“目标地址”:“red.example.com”,
10
:“file_path / /公共/文件/重要Notes.txt”,
11
“文件名”:“重要注释.txt”,
12
“file_extension”:“三种”,
13
“file_share”:“公众”,
14
:“access_types ReadData”,
15
:“source_data{\“sourceName \”,\“Microsoft-Windows-Security-Auditing \”,\“insertionStrings \”:[\ s - 1 - 5 - 21 - 4177825978 - 4092304191 - 4177825978 - 1108 \”,\“jsmith_adm \”,\“EXAMPLEDOMAIN \”,\“0 x280fe8dd \”,\“文件\”,\“192.168.0.000 \”,\“58321 \",\"\\\\\\\\*\\\\ 公共 \",\"\\\\??\ \ \ \ C: \ \ \ \文件共享\ \ \ \公共\ \ \ \ \”,\“文件很重要Notes.txt \”,\“0 x120089 \”,\“% % 1538 \ \ r \ \ n \ \ t \ \ \ \ \ \ t % % 1541 \ \ r \ \ n \ \ t \ \ \ \ \ \ t % % 4416 \ \ r \ \ n \ \ t \ \ \ \ \ \ t % % 4419 \ \ r \ \ n \ \ t \ \ \ \ \ \ t % % 4423 \ \ r \ \ n \ \ t \ \ t \ \ \ \ \”,\“% % 1538:\ \ t % % 1804 \ \ r \ \ n \ \ t \ \ \ \ \ \ t % % 1541: \ \ t % % 1801 \ \ tD: (0 x1301bf;;;;; WD) \ \ r \ \ n \ \ t \ \ \ \ \ \ t % % 4416: \ \ t % % 1801 \ \ tD: (0 x1301bf;;;;; WD) \ \ r \ \ n \ \ t \ \ \ \ \ \ t % % 4419: \ \ t % % 1801 \ \ tD: (0 x1301bf;;;;; WD) \ \ r \ \ n \ \ \ \t \ \ \ \ t % % 4423: \ \ t % % 1801 \ \ tD: (0 x1301bf;;;;; WD) \ \ r \ \ n \ \ t \ \ t \ \ \ \ \”,\“eventCode \”:5145年,\“computerName \ ": \ " red.example.com \”,\“sid \":\"\",\" isDomainController \”:假}”

FIM和FAAM之间的差异

配置文件访问活动监控与配置不同文件完整性监控(FIM)。虽然FIM使用本地Microsoft审计工具有一个类似的配置过程,但这是它们唯一的相似之处。

FIM与FAAM的区别如下表所示:

文件完整性监控(FIM)

文件访问活动监控(FAAM)

个人文件/文件夹审计

是的

没有

微软本地审计

是的

是的

收集的事件ID

事件ID 4663

事件ID 5145

事件监控

只能修改、创建和删除事件。

所有访问事件

日志集名称

文件修改活动

文件访问活动