Quoi de neuf dans FileAudit 5
Nouveautés de FileAudit 5.5
- Aperçu détaillé des activités - Par utilisateur
- Aperçu détaillé des activités - Par fichier ou dossier
- Détails complets de l'événement
- Rapport sur les bases de données archivées
- Envoi de notifications et de rapports à Slack
- Améliorations apportées aux rapports planifiés
- Améliorations du service
Nouveautés de FileAudit 5.2
- Détection du nom de la machine
- Filtrer les évènements d’accès par Groupe Active Directory
- Filtrer les évènements d’accès par type d’objet (répertoire ou fichier)
- Notifications email pour les incidents du Service FileAudit
- Détection et alerte d’inactivité du serveur
- Support de Windows Server 2016
Nouveautés de FileAudit 5.0
- Détection de l’adresse IP source
- Alerte sur les accès en masse
- Alerte sur les accès en dehors des horaires de travail
- Autres nouveautés
FileAudit 5.5
La version de FileAudit 5.5 vise à aider les administrateurs informatiques à mieux identifier et analyser l'activité anormale des fichiers.
Parfois, il est difficile d’identifier une violation de données, le nombre moyen de jours nécessaires pour ce faire étant de 191 jours1. Cependant, si les données protégées résident sur un serveur de fichiers, il existera des indicateurs avancés manifestant une violation. En surveillant l'accès et l'utilisation des données protégées sur les serveurs de fichiers, il est possible de détecter une violation de données basée sur une activité inhabituelle ou anormale.
Pour plus d'informations sur la façon d'identifier les activités de fichiers inhabituelles et d’empêcher les violations de données, lisez le livre blanc Le rôle de l'audit de fichiers pour repérer et arrêter une violation de données (document en anglais).
1 Ponemon Institute, Cost of a Data Breach Study (2017)
Aperçu détaillé des activités - Par utilisateur
Ce nouveau tableau de bord fournit un rapport d'activité détaillé sur tous les fichiers et dossiers auxquels un utilisateur spécifique a accédé ou tenté d'accéder.
Cliquez sur n'importe quel utilisateur de l’Observateur d’accès ou des statistiques pour voir tous les événements effectués au cours des 4 dernières semaines.
Le tableau de bord offre des informations clés sur l'accès et l'utilisation des données auditées par les utilisateurs:
- Un graphique de l’évolution et des statistiques du nombre d’accès, groupés par jours ou semaines,
- Le nombre total de suppressions de fichiers et d'accès refusé pour cet utilisateur spécifique,
- Un tableau répertoriant tous les événements d'accès effectués par l'utilisateur,
- Le Top 5 des fichiers consultés.
Aperçu détaillé des activités - Par fichier ou dossier
Ce nouveau tableau de bord fournit un rapport d'activité détaillé sur l'accès à un fichier ou à un dossier spécifique par tous les utilisateurs.
Cliquez sur un chemin de fichier ou de dossier à partir de l’Observateur d’accès ou des statistiques pour voir tous les événements effectués au cours des 4 dernières semaines.
Le tableau de bord offre des informations clés sur l'accès et l'utilisation d'un ensemble de données particulier:
- Un graphique de l’évolution et des statistiques du nombre d’accès, groupés par jours ou semaines,
- Le nombre total de suppressions de fichiers et d'accès refusé pour un fichier ou un dossier spécifique,
- Un tableau répertoriant tous les événements d'accès effectués pour un fichier ou un dossier spécifique,
- Le Top 5 des utilisateurs qui ont accédé à ce fichier ou dossier.
Détails complets de l'événement
Un double clic sur l'événement d'accès permet maintenant d’afficher les détails de l'événement.
Rapport sur les bases de données archivées
Si l'organisation doit accéder à des enregistrements archivés à des fins de conformité réglementaire ou pour enquêter sur un ancien incident, un nouvel outil (FileAuditReporter) est désormais disponible dans le dossier d'installation. Cet outil vous permet de récupérer, analyser et rapporter facilement des données archivées.
Envoi de notifications et de rapports à Slack
L'intégration de Slack avec FileAudit peut aider toute l'équipe informatique à être plus réactive aux alertes, à suivre les problèmes et à partager des rapports. Tout message de FileAudit (alerte, rapport planifié, message d'avertissement) peut être envoyé à un canal partagé ou un message direct dans Slack. Plus d'informations.
Améliorations apportées aux rapports planifiés
Une nouvelle option existe maintenant qui permet de conserver tous les anciens rapports. (Vous pouvez, si nécessaire, remplacer automatiquement l'ancien rapport planifié par la dernière version). Il n'y a pas non plus d'obligation d'envoyer le rapport par e-mail et l’on peut définir le dossier exact de destination dans lequel les rapports planifiés sont enregistrés. Plus d'informations.
Améliorations du service
Possibilité de redémarrer le service FileAudit lors de la modification des paramètres de connexion à distance. Plus d'informations.
FileAudit 5.2
Détection du nom de la machine
En plus de l’adresse IP, FileAudit 5.2 fournit maintenant aussi le nom de la machine depuis laquelle l’accès à un répertoire ou un fichier a été fait, si cet accès a été effectué à travers le réseau. Ceci renforce l’identification des accès effectués et leur attribution à un individu en particulier, et permet ainsi de faciliter la détection d’activités suspicieuses.
Une liste de tous les accès effectués à partir d’une machine spécifique peut être obtenue grâce au critère ‘Nom de machine’ du filtre de recherche de FileAudit, disponible dans l’Observateur d’accès. Le nom de la machine peut aussi être défini comme critère de sélection:
- lors du déclenchement d’alertes sur des accès
- pour des rapports planifiés
Filtrer les évènements d’accès par Groupe Active Directory
Avec FileAudit 5.2 il est maintenant possible de filtrer les évènements d’accès pour un ou plusieurs Groupes Active Directory.
Dans la console FileAudit vous pouvez sélectionner un Groupe Active Directory comme critère de paramétrage dans les rapports planifiés, les alertes, ou bien dans le filtre de recherche de l’Observateur d’accès.
Le filtre peut être utilisé pour inclure ou exclure des membres du Groupe Active Directory :
Ajout
Affichage des évènements d'accès des membres des groupes Comptabilité et Marketing uniquement.
Exclusion
Affichage de tous les évènements d'accès, sauf ceux des membres du groupe Marketing.
Ajout + exclusion
Affichage des évènements d'accès des membres du groupe Marketing, sauf ceux des membres du groupe Managers.
S'il n'y a pas de membres communs entre les groupes Marketing et Managers, cela affichera les évènements d'accès de tous les membres du groupe Marketing. Si tous les membres du groupe Marketing font partie du groupe Managers, aucun résultat ne sera affiché.
Filtrer les évènements d’accès par type d’objet (répertoire ou fichier)
Dans FileAudit 5.2, les administrateurs peuvent maintenant dans leurs recherches distinguer les accès fait sur un répertoire ou sur un fichier.
Ce critère peut être appliqué depuis l’Observateur d’accès ou lors de la configuration d’alertes ou de rapports planifiés.
Cette optimisation vous permet d’obtenir un audit plus ciblé et significatif.
Notifications email pour les incidents du Service FileAudit
Recevez des alertes email pour les évènements et incidents rencontrés par le service FileAudit.
Sélectionnez le niveau d’alerte souhaité et pour quel type d’incidents vous souhaitez être averti: Erreur, Avertissement et Information.
Détection et alerte d’inactivité du serveur
Une alerte prévient l’administrateur lorsque FileAudit n’a pas enregistré d’évènements d’accès sur un serveur spécifique depuis plus de trois jours consécutifs. Cette alerte est envoyée par mail et elle est aussi visible dans la console FileAudit.
Ceci peut indiquer un dysfonctionnement à vérifier, par exemple si l’audit d’accès objet a été désactivé, la configuration de l’audit NTFS a été effacée ou les logs de sécurité corrompus ou mal configurés.
Support de Windows Server 2016
FileAudit 5.2 est maintenant compatible avec Windows Server 2016.
FileAudit 5.0
Détection de l’adresse IP source
FileAudit détecte maintenant l’adresse IP de la machine à partir de laquelle l’accès à un fichier/répertoire a été effectué. Lorsque l’accès est effectué depuis le serveur de fichier hébergeant le fichier lui-même (accès local), FileAudit affichera dans la colonne ‘Source’ le nom du processus à l’aide duquel l’utilisateur a accédé au fichier/répertoire. Si cet accès au fichier/répertoire est effectué à distance depuis le réseau, cette colonne ‘Source’ affichera l’adresse IP de la machine depuis laquelle l’utilisateur a effectué cet accès.
Il est également possible d’utiliser cette nouvelle donnée pour effectuer des recherches depuis le ‘Filtre’ de l’Observateur d’accès afin d’obtenir tous les accès fichiers effectués depuis une adresse IP donnée et donc une machine donnée.
De la même manière, il est possible de définir une adresse IP dans le champ source de l’onglet ‘Principal’ :
- des alertes afin d’en faire un critère de déclenchement,
- des rapports planifiés afin d’en faire un critère de sélection.
Alerte sur les accès en masse
Un nouveau type d’alerte permet de surveiller la fréquence d’un type d’accès aux fichiers/répertoires d’un même utilisateur. Il est possible de configurer le déclenchement d’une alerte lorsqu’un utilisateur effectue un nombre d’accès au-delà de celui toléré sur une période de temps définie.
Par exemple, cette nouvelle alerte permet d’avertir les administrateurs :
- Qu’un utilisateur a effectué plus de 500 accès en lecture sur une durée de 1 minute,
- Qu’un utilisateur a supprimé plus de 200 fichiers sur une durée de 30 secondes,
- Etc.
Détection de copie de fichiers
Il est à noter qu’un grand nombre d’accès en lecture sur une courte période de temps signifie dans la plupart des cas qu’un copier/coller a été effectué par l’utilisateur. L’alerte indiquant le nom de l’utilisateur, la date et l’heure du dépassement ainsi que les paramètres de déclenchement, il sera alors très facile de lancer une recherche dans l’Observateur d’accès de FileAudit pour afficher l’historique des accès concernés et débuter une analyse approfondie si nécessaire.
Alerte sur les accès en dehors des horaires de travail
Les alertes intègrent un nouvel onglet permettant de définir comme critères additionnels les jours et les horaires pendant lesquels les accès aux fichiers déclarés dans l’alerte sont considérés comme normaux.
Tout accès en dehors des horaires définis dans cet onglet sera considéré comme anormal et déclenchera l’alerte si les autres critères existants sont également remplis.
Exemple pour une semaine pendant laquelle l’accès aux fichiers du chemin surveillé par cette alerte est considéré comme normal. Si les critères configurés dans l’onglet ‘Principal’ sont remplis, l’alerte sera déclenchée si l’accès est effectué avant 8h00 et après 19h00 du lundi au vendredi, ou si l’accès est effectué le weekend.
Autres nouveautés
- FileAudit supporte maintenant MySQL comme système de base de données.
- La possibilité de choisir dans la vue ‘Statistiques’ le ou les chemins sur lesquels portent les statistiques d’accès parmi les chemins surveillés par FileAudit.
- L’ajout de logos corporate au sein des rapports imprimés ou exportés.
- La vérification de nouvelles versions disponibles depuis la Console FileAudit.
- Etc.