Onglet Principal
L'onglet 'Principal' regroupe les différents critères déclencheurs de l'alerte. Cet onglet diffère en fonction du type d'alerte: il comportera des critères supplémentaires lors de la définition d'alerte de masse.
Alerte 'Accès Unitaire'
La première étape consiste à saisir un nom pour ce rapport qui apparaîtra dans le Hub 'Alertes'.
Un interrupteur vous permet d’activer ou de désactiver l’alerte en un clic.
Vous pouvez ensuite définir différents filtres, groupés dans différentes catégories :
Les filtres Quoi
- Statut d’accès : spécifie si l'alerte doit se déclencher pour des événements d'accès acceptés et/ou refusés.
- Type d’objet : spécifie si l'alerte se déclenche pour des évènements d’accès sur les fichiers, les dossiers, ou les deux.
-
Type d’accès : spécifie les types d’évènements ciblés par l’alerte :
- Suppression : Un utilisateur a essayé de supprimer un fichier/répertoire.
- Appropriation : Un utilisateur a essayé de s'approprier un fichier/répertoire.
- Autorisations : Un utilisateur a essayé de changer les permissions d'un fichier/répertoire.
- Écriture : Un utilisateur a essayé de modifier un fichier.
- Exécution : Un utilisateur a essayé d'exécuter un fichier.
- Lecture : Un utilisateur a essayé d'ouvrir un fichier en mode 'Lecture'.
- Système : Tentative de lecture ou d'écriture de la Liste de Contrôle d'Accès Système (SACL), c'est-à-dire les entrées d'audit d'un fichier/répertoire. (Pre-Vista uniqument)
- Écriture des attributs : Un utilisateur a essayé de modifier un attribut de fichier (comme les cases à cocher Lecture seule ou Caché).
- Renommer: un utilisateur a tenté de renommer un fichier (disponible si vous utilisez Vista / Windows Server 2008 et versions ultérieures).
- Déplacement: Un utilisateur a essayé de déplacer un fichier / répertoire (disponible si vous utilisez Vista / Windows Server 2008 et versions ultérieures).
- Autre : Evènement composite, combinaison de plusieurs évènements d'accès différents. Exemple: Lecture et écriture ou Lecture et suppression, etc. (Uniquement sur Windows Server 2003)
Prenez note que ces événements sont générés pour des tentatives d'accès. Si un utilisateur sans les privilèges requis tente de supprimer un fichier d'un répertoire surveillé par FileAudit, un événement de type 'Suppression' est généré avec un statut 'Refusé'.
Les filtres Qui
- Domaine : filtre les évènements d’accès pour un domaine Active Directory spécifique.
- Groupe : filtre les évènements d’accès des membres d’un groupe de l’Active Directory.
- Utilisateur : filtre les évènements d’accès générés par un utilisateur spécifique de l’Active Directory.
Une syntaxe avancée vous permet d'exclure ou d'ajouter plusieurs utilisateurs dans les champs Groupe et Utilisateur. Voir ci-dessous pour plus de détails.
Note:
- Les groupes sans utilisateurs ne sont pas autorisés (les groupes de machines par exemple).
- Les groupes appartenant à des sous-domaines ou au domaine parent ne sont pas supportés.
- Si le service vient d'être (re-)démarré, merci d'attendre le temps nécessaire à la reconstruction de la liste des groupes (de l'ordre de quelques secondes en général).
Les filtres Source
- Adresse IP : spécifie l’adresse IP de la machine à partir de laquelle l’accès a été réalisé (si l’accès est effectué à travers le réseau).
- Nom de machine : spécifie le nom de la machine à partir de laquelle l’accès a été réalisé (si l’accès est effectué à travers le réseau).
- Processus : spécifie le nom du processus ayant généré l’accès (si l’accès est effectué localement).
Alerte 'Accès en masse'
-
Ce type d'alerte permet de notifier des événements d'accès effectués en masse pour un même utilisateur et donc de détecter les copies de fichiers (nombreux événements de lecture sur une courte période de temps) et les suppressions ou les mouvements de fichiers en masse.
-
Ce type d'alerte propose les mêmes critères que ceux disponibles dans l'alerte 'Accès unitaire' et décrits précédemment. A ceux-ci, il ajoute la fréquence à laquelle l'utilisateur effectue un même type d'accès fichier.
- Seuil : Nombre d'accès correspondant aux critères définis dans cet onglet au-delà duquel l'alerte se déclenchera s'il est atteint sur la période de temps définie.
- Période de temps : Période de temps glissante sur laquelle est comptabilisé le nombre d'accès correspondants aux critères définis dans cet onglet.
- Période de latence : Période de temps pendant laquelle cette alerte sera désactivée après son déclenchement. Entrez '0' comme valeur pour désactiver la période de latence. Attention, ceci signifie qu'une alerte sera déclenchée pour chaque événement d'accès dépassant le seuil.
Ajouter ou exclure des utilisateurs
Vous pouvez exclure ou ajouter des utilisateurs dans les champs Utilisateur et Groupe. Pour ajouter plus d'un utilisateur ou groupe, saisissez les noms séparés par des virgules. Pour exclure un utilisateur ou un groupe, faites précéder le nom du groupe ou de l'utilisateur du signe moins.
Ajout
Affichage des évènements d'accès des membres des groupes Comptabilité et Marketing uniquement.
Exclusion
Affichage de tous les évènements d'accès, sauf ceux des membres du groupe Marketing.
Ajout + exclusion
Affichage des évènements d'accès des membres du groupe Marketing, sauf ceux des membres du groupe Managers.
S'il n'y a pas de membres communs entre les groupes Marketing et Managers, cela affichera les évènements d'accès de tous les membres du groupe Marketing. Si tous les membres du groupe Marketing font partie du groupe Managers, aucun résultat ne sera affiché.