文件访问活动监视

文件访问活动监视(FAAM)使用本机Microsoft审核详细文件共享审核以将所有5145个事件从Windows系统写入安全日志。在Windows域上启用此审计时,Insight代理从文件和文件夹中收集每个访问事件,并将它们发送到Insig必威体育app登录htIdr。

要设置文件访问活动监视,您需要:

  1. 启用审计
  2. 验证配置

此时,文件访问活动监视仅在Windows系统上可用,并且只能跟踪从Windows共享访问文件和文件夹时的访问。

启用文件访问活动审核

您可以使用组策略管理编辑器在域级别启用FAAM,也可以使用本地安全策略工具在单个机器上启用FAAM。

启用文件访问活动审计:

  1. 打开组策略管理器编辑器或本地安全策略工具。两个工具将显示相同的选项。
  2. 导航到以下文件夹路径:计算机配置>策略> Windows设置>安全设置>高级审计策略配置>审计策略
  3. 选择对象访问政策。“子类别”窗格将出现在右边。
  4. 双击审计文件共享明细打开并配置审计。
  5. 在“Policy选项卡”下,选中要监视的一个或两个框成功失败事件。
  6. 点击好吧保存更改。

验证FAAM配置

启用文件访问活动审计后,Insight Agent将从Windows安全日志中收集事件ID为5145的所必威体育app登录有事件。每当从网络共享访问文件或文件夹时,就会创建这些事件。有关此事件的更多信息,请参阅Microsoft文档这里:https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-5145

事件发生5 ~ 10分钟后,日志会显示在“日志搜索”页面上。

要验证此配置是否正常工作,请执行以下操作:

  1. 通过访问Windows共享中的文件或文件夹触发事件。
  2. 在Insightidr,去吧日志搜索页,并选择文件访问活动日志集。
  3. 浏览日志以查看文件访问事件。

下面是文件访问活动日志的示例:

         

          

           
          

         

          

           

            1.

           02 Jan 2019 08:43:38.894{
          

          

           

            2.

           “时间戳”:“2019 - 01 - 02 t14:42:37.850z”,
          

          

           

            3.

           "user": "John Smith Admin",
          

          

           

            4.

           “帐户”:“jsmith_adm”,
          

          

           

            5.

           “user_domain”:“example.com”,
          

          

           

            6.

           “来源资产”:“yellow.example.com”,
          

          

           

            7.

           “源地址”:“192.168.0.162”,
          

          

           

            8.

           “服务”:“Windows文件共享”,
          

          

           

            9

           “target_address”:“red.example.com”,
          

          

           

            10

           “文件路径”:“//Public/Documents/maintal Notes.txt”,
          

          

           

            11

           “file_name”:“重要的Notes.txt”,
          

          

           

            12

           “文件扩展名”:“txt”,
          

          

           

            13

           “文件共享”:“公共”,
          

          

           

            14

           :“access_types ReadData”,
          

          

           

            15

           “源数据”的数据来源是:“源数据”的数据来源是:““{”一“源名称”一“““““源数据”一“源数据”一“源数据”的数据:““{”一“源名称”一“源名称”一“:“““{”一“源名称”一“:“微软Windows安全审计”一“,“插入式字符串”一“::[“S-1-1-5-21-4177787878-7-7-7-7-7-7-7-7-7-7-7-7-7-787878-4040927-40927-787878-40927-41414141787878-40404040409-41414191-4191-4191-4191-38727878-3872787878787878-7878-7878-78787878-409-404040409-4191-4191-38-3872787878-387278重要注释.txt\“,\“0x120089\”,\”%%目前,\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\t\\1BF;;;WD)\\r\\n\\t\\t\\t%%4423:\\t%%1801\\tD:(A;;0x1301bf;;;WD)\\r\\n\\t\\t\\t\“],\“事件代码\”:5145,\“计算机名\:“red.example.com\,\“sid\”:\“\”,\“IsDomainControl\”:false}”

FIM和FAAM之间的差异

配置文件访问活动监控与配置不同文件完整性监控(FIM).虽然FIM使用本地Microsoft审计工具有一个类似的配置过程,但这是它们唯一的相似之处。

下表显示了FIM和FAAM之间的差异:

文件完整性监控(FIM)

文件访问活动监视(FAAM)

个人文件/文件夹审计

是的

没有

Microsoft本机审核

是的

是的

收集的事件ID

事件ID 4663

事件ID 5145.

事件监控

只能修改、创建和删除事件。

所有访问事件

日志集名称

文件修改活动

文件访问活动