文件服务器审核

数据是所有组织的命脉，保护存储此重要资产的存储库对于防止不必要的暴露、盗窃和丢失至关重要，管理员和数据所有者应增强其文件服务器安全性、满足合规性要求等。

文件服务器审核工具

使用 DataSecurity Plus 无缝监控、警报和报告跨 Windows 文件服务器、故障转移群集、工作组和 NetApp CIFS 服务器进行的所有文件访问和修改。

• 审核文件和文件夹访问
• 检测和隔离勒索软件攻击
• 监控文件完整性以检测潜在威胁
• 获取即时文件更改通知
• 遵守法规要求

审核文件和文件夹访问

• 实时监控和报告各种文件活动，包括创建、删除、修改、覆盖、重命名、移动、读取等。
• 通过审核剪贴板的 Ctr+C 和右键单击复制操作，跟踪和记录复制的所有文件的完整审核跟踪。
• 审核和分析员工成功和失败的文件访问尝试，以防止将来出现安全问题。
• 维护所有文件活动的详细记录，以及有关谁在何时何地访问了什么的详细信息。
• 分析审核数据以确定组织最活跃的用户、访问最多的文件、用于访问大多数文件的进程等。

检测和隔离勒索软件攻击

• 使用明显指标（例如文件重命名、移动和权限更改活动的突然激增）快速发现勒索软件攻击。
• 一旦潜在的勒索软件攻击扎根，立即通过电子邮件通知管理员和其他利益相关者。
• 使用自动事件响应系统关闭受感染的设备、禁用或断开恶意用户的会话等。
• 使用我们可操作、准确的审计数据进行根本原因分析，以确定零号患者以及感染如何传播。
• 使用我们预构建的最新已知勒索软件文件类型库查找勒索软件损坏的文件，以保护组织的关键数据。

监控文件完整性以检测潜在威胁

• 当修改或删除业务关键型文件的失败尝试突然激增时，生成即时电子邮件通知。
• 通过跟踪频繁的权限更改、SACL 更改、所有者更改等，及早发现权限滥用。
• 随时了解泄露指标，例如非工作时间的文件活动等。
• 使用详细的取证数据确定关键安全事件的根本原因，并生成清晰简洁的审计记录。
• 有选择地监视和检查不可信用户和组的文件活动，以查找不必要的活动。

获取即时文件更改通知

• 在观察到异常更改时触发即时电子邮件警报，例如删除、覆盖或移动异常数量的文件时。
• 通过查找短时间内文件修改的突然激增来发现恶意软件入侵，并触发即时威胁响应机制。
• 创建和管理自定义警报，以发现组织特定的问题，例如囤积媒体或大型文件。
• 根据警报数据的严重性（即注意、问题和严重）对其进行分类和分析。
• 主动监视文件服务器是否存在泄露迹象，例如多次权限更改、文件扩展名修改等。

遵守法规要求

• 使用更改检测满足 PCI DSS 和 HIPAA 法规的关键要求。
• 使用准确的取证数据确定安全事件的根本原因，并生成清晰简洁的审计记录。
• 生成并存档审核跟踪，以确保对所有文件活动负责。

使用文件服务器审核工具优点

• 审核所有文件活动，并提供有关谁访问了什么、何时以及从何处访问了什么的详细信息。
• 跟踪关键文件更改，例如对 SACL、所有者、文件扩展名和权限的更改。
• 使用默认警报配置文件检测高风险文件更改和访问尝试峰值。
• 使用即时威胁响应检测和阻止勒索软件攻击。
• 通过即时电子通知监控文件完整性。
• 生成对访问最多或修改的文件、最活跃的用户等的分析。
• 仔细检查访问包含业务信息的文件的失败尝试。
• 查找员工在企业存储中囤积的不相关个人媒体文件。
• 使用交互式仪表板比较全局和服务器级别的文件更改。
• 维护文件复制和粘贴活动的记录。

文件服务器安全的最佳实践

• 备份基本信息
• 使操作系统和应用程序保持最新
• PoLP
• 加强防火墙
• 启用快速恶意软件检测
• 评估安全漏洞
• 实施不间断的文件审核
• 加密传输中的数据和静态数据

备份基本信息

自动存储最关键信息的加密备份，至少有一个副本存储在网络外部，对还原过程执行定期测试，并验证存储的备份数据的完整性。

使操作系统和应用程序保持最新

使用未打补丁和过时的软件是一个弱点，犯罪者可以操纵它来获得对您的关键文件服务器的无根据访问。这就是为什么使文件服务器和服务器操作系统中使用的软件保持最新至关重要的原因。

PoLP

最小特权原则 （PoLP）通过为员工提供执行其合法日常任务所需的最低权限来限制对关键数据的不必要访问。它还有助于维护数据机密性，最大限度地减少网络攻击面，并满足多种合规性要求。

加强防火墙

限制对文件服务器的互联网访问以减少攻击媒介，确保只有网络中的 DNS 和 NTP 服务可以访问文件服务器，使用防火墙监控入站和出站流量，仔细检查开放端口，并阻止来自未知和可疑 IP 地址的访问请求。

启用快速恶意软件检测

恶意软件（如勒索软件）会在文件修改中引发突然激增，例如在渗透时重命名和删除文件，使用快速安全事件响应工具至关重要，该工具可以在攻击开始时检测到此类攻击，并启动旨在切断攻击并隔离受感染计算机以进行进一步分析的响应。

评估安全漏洞

发现文件服务器中隐藏的安全漏洞，例如弱身份验证方法、过度暴露的关键数据、权限安全问题、未受保护的数据传输等，使用来自安全评估的可操作见解来识别和消除安全基础架构中的这些差距。

实施不间断的文件审核

即使是最有经验的管理员，使用本机工具跟踪文件访问也是一项耗时且艰巨的任务。相反，请使用专用的第三方文件服务器审核软件来审核所有文件修改，包括重命名、权限更改等高风险操作，以及复制和粘贴有关谁修改了什么、何时以及从何处修改了什么的详细信息。

加密传输中的数据和静态数据

借助数据丢失防护解决方案，查找并加密存储在文件服务器中的敏感个人数据，此外，通过使用安全套接字层证书强制执行端到端加密，确保数据在传输过程中的安全性。

DataSecurity Plus 的集中式文件审计功能可让您清楚地了解用户在文件服务器环境中所做的每一个文件访问和修改。