13
IT-Sicherheits- und -Compliance-Lösung
Hallo Community,
ich bin auf der Suche nach einer Lösung welche mich dabei unterstützt die Datenzugriffe innerhalb meines Netzwerkes zu überwachen und ggf. in Reports abbildet, quasi ein Audit.
Es geht mir nicht nur um eine Netzwerküberwachung sondern auch um den Ordnerzugriff auf unseren Fileserver.
Was kennt Ihr, was könnt Ihr empfehlen?
Vielen Dank
Zeppelin
ich bin auf der Suche nach einer Lösung welche mich dabei unterstützt die Datenzugriffe innerhalb meines Netzwerkes zu überwachen und ggf. in Reports abbildet, quasi ein Audit.
Es geht mir nicht nur um eine Netzwerküberwachung sondern auch um den Ordnerzugriff auf unseren Fileserver.
Was kennt Ihr, was könnt Ihr empfehlen?
Vielen Dank
Zeppelin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4935470470
Url: https://administrator.de/contentid/4935470470
Printed on: April 27, 2024 at 10:04 o'clock
13 Comments
Latest comment
Moin.
Prinzipiell kann Windows Server das von Hause aus:
https://www.varonis.com/blog/windows-file-system-auditing
Dann noch vielleicht einen Graylog Server dahinter und fettisch. Nicht schön, aber funktional.
Ansonsten gibt es noch kostenpflichtige Dienste wie beispielsweise von der Firma Prolog AG angeboten.
Edit:
Diese Form des Audits wird den Fileserver belasten. Das heißt rechne mit höheren Zugriffszeiten. Normalerweise macht man so etwas ja nur, um einem "Schädling" auf die Schliche zu kommen.
Sollte es dabei darum gehen zu beweisen, dass "Hr. Müller" mal wieder eine Datei verändert hat, dann solltest du dir auf jeden Fall vom Betriebsrat oder ähnlicher Stelle den Segen holen.
Gruß
Marc
Prinzipiell kann Windows Server das von Hause aus:
https://www.varonis.com/blog/windows-file-system-auditing
Dann noch vielleicht einen Graylog Server dahinter und fettisch. Nicht schön, aber funktional.
Ansonsten gibt es noch kostenpflichtige Dienste wie beispielsweise von der Firma Prolog AG angeboten.
Edit:
Diese Form des Audits wird den Fileserver belasten. Das heißt rechne mit höheren Zugriffszeiten. Normalerweise macht man so etwas ja nur, um einem "Schädling" auf die Schliche zu kommen.
Sollte es dabei darum gehen zu beweisen, dass "Hr. Müller" mal wieder eine Datei verändert hat, dann solltest du dir auf jeden Fall vom Betriebsrat oder ähnlicher Stelle den Segen holen.
Gruß
Marc
Hallo Marc,
vielen Dank für deine Antwort. Es ist mir bewusst, dass solch eine Anwendung Ressourcen benötigt. Die MS Bordmittel, reichen mir nicht aus. Das die Anwendung nicht umsonst ist, ist mir auch bewusst.
Der Hinweis mit dem "Betriebsrat oder ähnlicher Stelle", ist gut. In unserem Fall spielt dies jedoch keine Rolle.
Gruß
Zeppelin
vielen Dank für deine Antwort. Es ist mir bewusst, dass solch eine Anwendung Ressourcen benötigt. Die MS Bordmittel, reichen mir nicht aus. Das die Anwendung nicht umsonst ist, ist mir auch bewusst.
Der Hinweis mit dem "Betriebsrat oder ähnlicher Stelle", ist gut. In unserem Fall spielt dies jedoch keine Rolle.
Gruß
Zeppelin
Moin,
Windows protokolliert doch:
Willst du wissen WAS der User geändert hat? Viel Spaß. Das wird dir vermutlich nicht gelingen - insbesondere bei proprietären Dateitypen wie mdf/ ldf & Co.
Die MS Bordmittel, reichen mir nicht aus.
und was fehlt dir? ohne diese ANgabe können wir ir nicht zielgerichtet helfen.Windows protokolliert doch:
- Wer welche Datei wann mit welchem Prozess geöffnet/ geändert hat.
Willst du wissen WAS der User geändert hat? Viel Spaß. Das wird dir vermutlich nicht gelingen - insbesondere bei proprietären Dateitypen wie mdf/ ldf & Co.
Ich würde hier auch ganz Klassich auf einen Windows Server setzen und nichts exotischen nehmen (sonst bekommst du noch Schwierigkeit beim Support/ Hilfe im Internet ....)
Berechtigungen kannst du dann über Gruppen in der Active Dirctory vergeben.
Kleinere Reports sollten damit auch möglich sein.
Einen richtigen Audit kannst du damit zwar nicht machen, aber da kannst du dir Abhilfe schaffen (Siehe Antwort von radioguru)
Berechtigungen kannst du dann über Gruppen in der Active Dirctory vergeben.
Kleinere Reports sollten damit auch möglich sein.
Einen richtigen Audit kannst du damit zwar nicht machen, aber da kannst du dir Abhilfe schaffen (Siehe Antwort von radioguru)
Zitat von @Zeppelin:
vielen Dank für deine Antwort. Es ist mir bewusst, dass solch eine Anwendung Ressourcen benötigt. Die MS Bordmittel, reichen mir nicht aus. Das die Anwendung nicht umsonst ist, ist mir auch bewusst.
vielen Dank für deine Antwort. Es ist mir bewusst, dass solch eine Anwendung Ressourcen benötigt. Die MS Bordmittel, reichen mir nicht aus. Das die Anwendung nicht umsonst ist, ist mir auch bewusst.
Wenn du die Auditierung von Windows aktivierst und das in einen Graylog Server reinkippst, dann bekommst du schon jede Menge heraus.
Allerdings muss jemand da auch mit ordentlich Zeit dahinterstehen, die ganze Sache auch auszuwerten.
Oder soll am liebsten ein monatlicher Bericht über jeden Ordner und dessen Zugriffe und Änderungen zugesendet werden?
Das eigentliche Ziel ist ja nicht benannt deinerseits. Soll jemand überwacht werden, oder herausgefunden werden, wer auf welchen Ordner Zugriff hat?
Sonst lasst euch mal von einer Log-Software-Schmiede besuchen. Die können euch dann ein entsprechendes Konzept vorstellen mit den anhängenden Fallstricken und Voraussetzungen.
Gruß
Marc
Hallo em-pie,
Wir haben als FileServer ein gemapptes Laufwerk innerhalb des Netzwerkes dort laufen auch diverse Sicherheitsgruppen so das nicht jeder alles sehen kann und auch nicht drauf zugreifen kann.
Ich möchte in einem Bericht oder auch gern Live sehen, wer wann und wo welche Datei geöffnet hat, wann ggf. diese verschoben hat und wohin. Hat jemand etwas gelöscht oder verschoben, so will ich das in einem Bericht sehen.
Ein Produkt mit welchem das z.B. möglich ist, ist MS SharePoint. Ich wüsste halt gern ob es noch andere Programme gibt, die mich dabei unterstützen.
Viele Grüße
Zeppelin
Wir haben als FileServer ein gemapptes Laufwerk innerhalb des Netzwerkes dort laufen auch diverse Sicherheitsgruppen so das nicht jeder alles sehen kann und auch nicht drauf zugreifen kann.
Ich möchte in einem Bericht oder auch gern Live sehen, wer wann und wo welche Datei geöffnet hat, wann ggf. diese verschoben hat und wohin. Hat jemand etwas gelöscht oder verschoben, so will ich das in einem Bericht sehen.
Ein Produkt mit welchem das z.B. möglich ist, ist MS SharePoint. Ich wüsste halt gern ob es noch andere Programme gibt, die mich dabei unterstützen.
Viele Grüße
Zeppelin
Hallo Fabi-16,
wir verwenden momentan noch Windows Server 2019 und nächstes Jahr, gehen wir dann auch Windows Server 2022.
Viele Grüße
Zeppelin
wir verwenden momentan noch Windows Server 2019 und nächstes Jahr, gehen wir dann auch Windows Server 2022.
Viele Grüße
Zeppelin
Hallo radiogugu,
vielen Dank für deinen Beitrag. Das Ziel, welches ich/wir verfolgen ist einfach wir wollen nachvollziehen können, welche Aktivitäten vom Benutzer ausgegangen sind. Wenn ein IT-System gehackt wird, dann wird oft das Benutzerkonto eines Benutzers gehackt, weil diese möglicherweise ein zu leichtes Passwort gewählt hat. Es kann aber auch sein, dass das Notebook eines Mitarbeiters gestohlen wurde und der Mitarbeiter sein Passwort in der Notebooktasche hinterlegt hat.
Auch wenn wir sehr häufig unsere Mitarbeiter sensibilisieren gibt es immer noch welche die unbelehrbar sind.
Wenn ein dritter unbefugt einen Zugriff erhält, will ich nachvollziehen können, was dieser ggf. gemacht hat. Hat er sich nur umgeschaut, hat er versucht etwas zu installieren oder hat er Schadsoftware abgelegt? Welche Dateien hat sich diese Person ggf. angeschaut usw. hat die Person etwas vom System entwendet usw.
Anhand dieser Informationen, kann ich entscheiden wie wir uns zu verhalten haben.
Unsere Server sind durch eine Virenschutzsoftware gesichert, wir haben mehrstufige Firewalls im Einsatz und diverse TIER Serversicherheitsbereiche. Unser Problem, sitzt meistens vor dem Bildschirm.
Bevor wir uns an eine "Log-Software-Schmiede" wänden und uns eine individuelle Lösung schmieden lassen, dachte ich das es ggf. proprietäre Software am Markt gibt die unsere Wünsche abbilden kann.
vielen Dank für deinen Beitrag. Das Ziel, welches ich/wir verfolgen ist einfach wir wollen nachvollziehen können, welche Aktivitäten vom Benutzer ausgegangen sind. Wenn ein IT-System gehackt wird, dann wird oft das Benutzerkonto eines Benutzers gehackt, weil diese möglicherweise ein zu leichtes Passwort gewählt hat. Es kann aber auch sein, dass das Notebook eines Mitarbeiters gestohlen wurde und der Mitarbeiter sein Passwort in der Notebooktasche hinterlegt hat.
Auch wenn wir sehr häufig unsere Mitarbeiter sensibilisieren gibt es immer noch welche die unbelehrbar sind.
Wenn ein dritter unbefugt einen Zugriff erhält, will ich nachvollziehen können, was dieser ggf. gemacht hat. Hat er sich nur umgeschaut, hat er versucht etwas zu installieren oder hat er Schadsoftware abgelegt? Welche Dateien hat sich diese Person ggf. angeschaut usw. hat die Person etwas vom System entwendet usw.
Anhand dieser Informationen, kann ich entscheiden wie wir uns zu verhalten haben.
Unsere Server sind durch eine Virenschutzsoftware gesichert, wir haben mehrstufige Firewalls im Einsatz und diverse TIER Serversicherheitsbereiche. Unser Problem, sitzt meistens vor dem Bildschirm.
Bevor wir uns an eine "Log-Software-Schmiede" wänden und uns eine individuelle Lösung schmieden lassen, dachte ich das es ggf. proprietäre Software am Markt gibt die unsere Wünsche abbilden kann.
Also wenn ich dich richtig verstehe, geht es bei deiner Anfrage nicht nur um Fileserver sondern, um ein komplettes Monitoring der Netzwerkaktivitäten ?
Wenn man es allerdings nur auf unbefugte Aktivitäten auf einem Fileserver bezieht, gibt es da was von Varonis.
Die haben eine Software, die erkennt, sobald ein Nutzer mehrere Dateien verschlüsselt bzw. verändert, wird der Zugriff gesperrt und die Ausgangssituation wiederhergestellt.
Frag mich jetzt aber nicht wie diese Software heißt
...
Wenn man es allerdings nur auf unbefugte Aktivitäten auf einem Fileserver bezieht, gibt es da was von Varonis.
Die haben eine Software, die erkennt, sobald ein Nutzer mehrere Dateien verschlüsselt bzw. verändert, wird der Zugriff gesperrt und die Ausgangssituation wiederhergestellt.
Frag mich jetzt aber nicht wie diese Software heißt
...
Es gibt da an der Stelle die DSGVO, welche dir aber genau deinen Usecase (Benutzerüberwachung) verbietet.
Du darfst nicht einfach die Klicks der Benutzer mitschreiben. Da gibt es bestimmte Dinge, wie Verdacht oder hinreichenden Verdacht, dass etwas nicht Sauberes am Laufen ist, welche gegeben sein müssen. Sonst kannst du da gar nichts mitschreiben, ohne deinen Geschäftsführer in ein graues Loch zu schubsen.
Software, wie die angesprochene der Firma Prolog AG, anonymisiert alle Benutzerdaten zunächst. Diese könnte man wohl sichtbar machen, das aber nur in Absprache mit eurem Datenschutzbeauftragten.
Letzteren solltest du aufgrund dieses Vorhabens in jedem Fall konsultieren.
Gruß
Marc
Du darfst nicht einfach die Klicks der Benutzer mitschreiben. Da gibt es bestimmte Dinge, wie Verdacht oder hinreichenden Verdacht, dass etwas nicht Sauberes am Laufen ist, welche gegeben sein müssen. Sonst kannst du da gar nichts mitschreiben, ohne deinen Geschäftsführer in ein graues Loch zu schubsen.
Software, wie die angesprochene der Firma Prolog AG, anonymisiert alle Benutzerdaten zunächst. Diese könnte man wohl sichtbar machen, das aber nur in Absprache mit eurem Datenschutzbeauftragten.
Letzteren solltest du aufgrund dieses Vorhabens in jedem Fall konsultieren.
Gruß
Marc
Hallo Marc,
Vielen Dank für deine Hinweise, diese treffen in denn meisten Fällen auch zu.
Viele Grüße
Zeppelin
Vielen Dank für deine Hinweise, diese treffen in denn meisten Fällen auch zu.
Viele Grüße
Zeppelin
Hallo,
in größerem Maßstab weden die Daten eigentlich immer mit Bordmitteln erzeugt und dann in generische Log-Management-Lösungen gegeben. Das hat zur Folge, dass die All-in-one-Tools für Dateiserver von Solarwinds, ManageEngine etc. klare Limitiationen für den KMU-Bereich und einfachste Anwendungsfälle (manuell bewirtschaftete Freigaben) haben. Hast Du z.B. irgendein Verfahren, das in regelmäßigen Abständen eine große Menge Dateien synchronisiert, stehen mit diesen Produkten keine effektiven Filter zur Verfügung und ist der Overhead dadurch nicht mehr zu rechtfertigen.
Also wenn ihr eine einfache Umgebung habt, ein schnelles Ergebnis braucht und das Dateiserver-Auditing ein Silo bleiben soll, kann man sowas anschaffen. Andernfalls würde ich zu allgemeinem Log-Management gehen, was eh meist bitter nötig ist und bei entsprechender Strukturierung einen vielfachen Nutzen für Security und Operations hat. Das Schicksal der Sonderlösungen ist meist, irgendwann an so ein zentrales Log-Management angebunden werden zu müssen. Mitarbeiter/Abteilungen sind dann an das Werkzeug gewöhnt, aber man fragt sich bei der Betrachtung der Datenströme, was das alles soll.
Grüße
Richard
in größerem Maßstab weden die Daten eigentlich immer mit Bordmitteln erzeugt und dann in generische Log-Management-Lösungen gegeben. Das hat zur Folge, dass die All-in-one-Tools für Dateiserver von Solarwinds, ManageEngine etc. klare Limitiationen für den KMU-Bereich und einfachste Anwendungsfälle (manuell bewirtschaftete Freigaben) haben. Hast Du z.B. irgendein Verfahren, das in regelmäßigen Abständen eine große Menge Dateien synchronisiert, stehen mit diesen Produkten keine effektiven Filter zur Verfügung und ist der Overhead dadurch nicht mehr zu rechtfertigen.
Also wenn ihr eine einfache Umgebung habt, ein schnelles Ergebnis braucht und das Dateiserver-Auditing ein Silo bleiben soll, kann man sowas anschaffen. Andernfalls würde ich zu allgemeinem Log-Management gehen, was eh meist bitter nötig ist und bei entsprechender Strukturierung einen vielfachen Nutzen für Security und Operations hat. Das Schicksal der Sonderlösungen ist meist, irgendwann an so ein zentrales Log-Management angebunden werden zu müssen. Mitarbeiter/Abteilungen sind dann an das Werkzeug gewöhnt, aber man fragt sich bei der Betrachtung der Datenströme, was das alles soll.
Grüße
Richard
Als Drittanbieterlösung dafür kenn ich 8MAN, das allerdings von SolarWinds aufgekauft wurde und seitdem wohl nicht mehr zu empfehlen ist.
Eine weitere Alternative wäre Varonis, ist allerdings nicht günstig.
Eine weitere Alternative wäre Varonis, ist allerdings nicht günstig.