Tipp: Ungewöhnliche Dateiaktivitäten von Benutzern mit ADAudit Plus überwachen

Das Firmennetzwerk vor Bedrohungen aus dem Unternehmensinneren zu schützen, ist keine einfache Aufgabe für IT-Abteilungen. Die Herausforderung dabei: Um Anomalien im User-Verhalten überhaupt identifizieren zu können, muss zunächst definiert werden, welches Verhalten für einen bestimmten Anwender „normal“ ist – die sogenannte „Baseline“. Dabei helfen Lösungen mit Funktionen zur Analyse des Anwender-Verhaltens (User Behavior Analytics, UBA) wie ADAudit Plus von ManageEngine.

Wir zeigen Ihnen in einer Schritt-für-Schritt-Anleitung, wie Sie mit ADAudit Plus

ungewöhnliche Dateiaktivitäten von Benutzern aufspüren und
benutzerdefinierte Alarme einrichten, die Sie bei verdächtigen Aktivitäten umgehend warnen.

Weitere Tipps & Infos rund um das Active Directory und ADAudit Plus finden Sie hier.

Ein mögliches Szenario:
Ein verärgerter Mitarbeiter beschließt kurz vor seinem Ausscheiden aus dem Unternehmen, kritische Unternehmensdaten (z. B. Finanzinformationen) zu stehlen. Dazu kopiert der Benutzer, der normalerweise auf etwa 10 Dokumente am Tag zugreift, hunderte Dokumente – ein deutliches Zeichen für eine Anomalie, die sofortige Aufmerksamkeit erfordert. Während eine Audit-Lösung ohne UBA-Funktion die Zugriffe als „normale“ Aktivität einstufen und somit keine Warnung auslösen würde, ist der Fall für UBA-Lösungen hingegen klar: Die Aktivität des Benutzers wird als anormal eingestuft, ein Alarm wird ausgelöst.

So überwachen Sie ungewöhnliche Dateiaktivitäten von allen Benutzern in einer Domain mit ADAudit Plus:

1. Melden Sie sich bei ADAudit Plus an und klicken Sie in der zweiten Menü-Ebene auf Analytics, um sich eine Zusammenfassung aller Anomalien anzeigen zu lassen (siehe Abbildung 1).

Screenshot ADAudit Plus: Übersicht User-Behaviour-Anomalien — Abbildung 1: Im Analytics-Bereich von ADAudit Plus finden Sie eine Zusammenfassung aller ungewöhnlichen Aktivitäten.

2. Wählen Sie in der Liste „Unusual Activity – File Activity Count (Based on User)“ aus, um sich den detaillierten Bericht anzeigen zu lassen (siehe Abbildung 2).

Screenshot ADAudit Plus: Unusual Activity – File Activity Count (Based on User) Report — Abbildung 2: Im ADAudit-Plus-Report „Unusual Activity – File Activity Count (Based on User)“ sehen Sie genau, welche Anwender ungewöhnlich viele Dateiaktivitäten durchgeführt haben.

Zusatztipp:
Da meist die Zeit fehlt, Berichte regelmäßig zu überprüfen, löst ADAudit Plus bei einer UBA-Anomalie automatisch einen E-Mail-Alarm aus. Sie können diese Benachrichtigungen auch so konfigurieren, dass sie per SMS versendet werden.

So bearbeiten Sie Warnprofile in ADAudit Plus:

Wählen Sie im Reiter Configuration unter Alert Profils „View/Modify Alert Profils“ aus.
Wählen Sie das Profil mit dem Namen „Unusual Activity – File Activity Count (Based on User)“.
Klicken Sie auf Configure, um das Alarmprofil zu ändern. Sie können wählen, ob Sie per E-Mail, SMS oder über beide Kanäle benachrichtigt werden möchten (siehe Abbildung 3).
Klicken Sie auf Update.

Sobald Sie diese Einstellungen vorgenommen haben, erhalten Sie automatisch eine Benachrichtigung, wenn Benutzer ungewöhnlich viele Dateiaktivitäten vornehmen.

Screenshot ADAudit Plus: Konfiguration Alarmprofile — Abbildung 3: Die Alarmprofile in ADAudit Plus lassen sich individuell an die Bedürfnisse Ihres Unternehmens anpassen.

Zusammenfassung:
Die UBA-Engine von ADAudit Plus hilft, ungewöhnliche Dateiaktivitäten von Anwendern zu überwachen. Sobald die Aktivitäten eines Anwenders eine bestimmte, auf Basis seines normalen Verhaltens festgelegte Anzahl überschreiten, löst ADAudit Plus eine Warnung aus. So werden Administratoren umgehend informiert und können sofort handeln.

Jetzt testen!

Demo-Version von ADAudit Plus ansehen