Network logging

Op het bedrijf waar ik werk, zitten we op dit moment met een probleem.
Omdat we binnen de organisatie regelmatig te maken krijgen met stagiaires (goede, maar helaas ook soms minder goede..) zitten we met het probleem dat we niet precies weten welke bestanden er door hun worden geopend, veranderd en vooral worden verwijderd. Dit zijn bijvoorbeeld bestanden over de netwerken van onze klanten, dus ze moeten wel bij de bestanden kunnen komen om in te loggen (geen toegang geven tot die share's is dus helaas niet mogelijk).

Nu heb ik al een tijdje lopen googelen naar software pakketten (betaald of freeware), die eventueel bovenstaande problemen kunnen oplossen. Helaas kom je op google vooral pakketten tegen die net niet doen wat ik in gedachte heb.

Software die ik onder andere al gevonden heb, maar die het allemaal net niet is:
Network File monitor
NetIQ Security Manager
Share Alarm Pro, doet precies wat we willen, maar ziet er niet heel betrouwbaar uit, iemand ervaring mee?
SCOM

Daarnaast heb ik al naar de auditing via Group Policies gekeken, maar hierbij kun je niet in 1 opslag zien welke bestanden er door welke personen zijn verwijderd. Misschien dat hiervan ergens een plug-in beschikbaar is die het netjes omzet in bijv. een database (hier heb ik nog niet naar gezocht, ga ik nog doen).

Wat moet de software kunnen waarna ik op zoek ben:
Aangeven welke file er geopend, gewijzigd, gesloten en verwijderd worden. Hierbij moet aangegeven woorden welke username / gebruiker dit heeft gedaan.
Daarnaast moeten binnen enkele handelingen gezien kunnen worden welke bestanden er bijv. verwijderd zijn.

Hebben jullie nog een goede suggestie voor degelijke software, of zeggen jullie dat het meestal via Group Policies gedaan wordt? Iemand anders misschien nog een andere oplossing in gedachten?

Alvast bedankt voor het meedenken, hier blijven we rustig door zoeken totdat we gevonden hebben wat we willen..

Je hebt helemaal gelijk, ben helemaal vergeten te vermelden dat het om een volledig Windows netwerk gaat. Domain Controllers en fileservers zijn allemaal Windows 2003 (met alle update's). De clients die gebruikt worden zijn Windows XP en Windows Vista.

De topics die je noemde ga ik gelijk bekijken, hopelijk staat er iets in.
Misschien iemand anders die nog een goed software pakket in gedachten heeft?

Ik heb net even het thema topic monitoring door gekeken, maar wat hierin vooral behandeld wordt is de manier waarop het netwerk in de gaten gehouden wordt. Dit is op dit moment allemaal al geregeld (d.m.v. 2 verschillende snmp pakketten die cpu, geheugen, schijf ruimte, warmte enz.. allemaal bij houden en opslaan).

Logisch dat je zegt dat er bij de basis begonnen moet worden (met het toe kennen van de juiste rechten), maar hier zit het probleem niet geheel in denk ik. De gebruikers (en vooral de stagiares) hebben al de minimale rechten op alle mappen. Helaas is het niet mogelijk om ze volledig uit te sluiten van bepaalde mappen, aangezien ze op dat moment niet "met het werk" bezig kunnen zijn.

Heb ook al zitten spelen met de speciale rechten om verwijderen te blokkeren, maar helaas kun je dan ook geen bestanden meer hernoemen bijvoorbeeld. En daarnaast heb je dan nog steeds niet inzichtelijk wat er nu eigenlijk met alle files gebeurt.
Via de group policies heb ik het nu ingesteld staan dat er gelogd wordt, maar ben hier nog niet helemaal weg van. Je krijgt hierbij steeds een losse entry, die je nog handmatig moet openen om te kijken wat er precies gebeurt is op de server. Het is dus niet inzichtelijk in 1 oog opslag.

Hoop dat ik het probleem een beetje duidelijk heb kunnen maken, mochten er toch nog vragen zijn..brand mar los, alle input wordt zeer gewaardeerd!

alt-92 schreef op donderdag 13 augustus 2009 @ 19:45:
[...]

Vraag jezelf ook af of je dat wel wil weten wat wil je precies monitoren, elke read? Succes!

Je wilt natuurlijk niet alles weten nee maar de change en delete "bijdragen van een stagiar" binnen het netwerk is altijd wel makkelijk..

[...]

Denk aan dingen als de heel specifieke security eventIDs die voor bepaalde object access rules gelden en die uitfilteren en opslaan in een DB.
http://www.gfi.com/pages/lanselm/, nu http://www.gfi.com/eventsmanager deed dat bijvoorbeeld ook.

Aan de evenID's kun je ze inderdaad wel redelijk scheiden, maar je zult ze nog steeds 1 voor 1 moeten openen voordat je weet om welke files het gaat, en zoals je zelf ook al zei zijn niet alle files even belangrijk..
Maar de aangedragen pakketten zien er positief uit, om de windows events om te zetten naar leesbare tekst en wat daarnaast weer goed weg te schrijven is in een DB.

Vraag me op dit moment alleen af hoe dit bijvoorbeeld binnen een bank of een ander soort bedrijf wat zich aan allerlei regels en compliance moet houden dit regelt..Lijkt me toch dat ze dit ook loggen?
Of loggen ze dit juist niet omdat ze niet willen weten wie er fraudeert?

[ Voor 3% gewijzigd door jeroenvdnberg op 13-08-2009 20:00 ]

alt-92 schreef op donderdag 13 augustus 2009 @ 20:14:
[...]

Duh Maar het personeelsbeleid zal dan ook wel iets anders zijn bij jullie dan bij ons.

Njah, ligt eraan wat je onder personeelsbeleid verstaat he? Screening gebeurt bij ons op dezelfde manier. Zijn we ook verplicht naar de opdrachtgevers.
Zoals hierboven terecht werd gesteld maakt het budget nogal grote verschillen. Maar er zijn toch meer bedrijven die het op kleine schaal willen loggen? Is er geen tussen stap beschikbaar tussen event entries en "grote bank applicaties" ?

alt-92 schreef op donderdag 13 augustus 2009 @ 20:27:
Kijk niet alleen naar het (security)technische verhaal, maar ook naar je procedures.
Waarom moet je van een stagiair elke file-delete actie nalopen?
Kan die dan overal bij? Ook waar die eigenlijk niet bij zou moeten? Welke shares zijn belangrijk en welke niet, waar die bestanden dan staan > dataclassificatie.

En qua budget - staar je daar niet blind op, een bank wil geld verdienen, niet uitgeven dus als het goedkoop kan doen ze dat ook hoor.

Niet alle acties van stagiaires hoeven na gelopen te worden. Zoals misschien verondersteld wordt gaat het niet puur alleen om de stagiairs. In het verleden hebben we alleen (helaas) een stagiair en ook een gewone medewerker gehad die sommige "oudere" data niet "belangrijk" genoeg meer vond. Maar om een archief aan te kunnen leggen en te kunnen onderhouden is oude data van essentieel belang.
Helaas konden we op die momenten niet duidelijk "hard" maken wie nu deze files heeft verwijderd, en hierdoor dus ook geen verhaal kunnen halen en uitleg kunnen geven waarom het niet had moeten gebeuren.

Tuurlijk kun je op zo'n moment wel de backup tape pakken en de bestanden terug zetten, en eventueel met recovery software deze files terug halen, maar dat haalt niet weg dat je nog steeds niet weet wie het geweest is. Bij deze kun je wel een e-mail naar alle gebruikers sturen die toegang op die bepaalde mappen hebben maar dit kan mensen ook tegen het verkeerde been stoten. Hierdoor zouden we dus graag een dergelijke software matige oplossing hebben.

Procedure zijn van essentieel belang, dat wordt zeker niet onderkend. Deze zijn ook aanwezig en worden continue in de gaten gehouden of deze nog actueel en representatief zijn, en zonodig ook aangepast natuurlijk.
Maar zoals je waarschijnlijk zelf ook weet houd niet iedereen zich altijd even goed aan deze procedures. Ook al staat er beschreven dat files niet verwijderd mogen worden, en deze opgeslagen moeten worden in "archief" mappen wordt / is dit dus helaas niet altijd even goed gegaan.

Procedures of niet, terug kunnen halen wie er verantwoordelijk is voor dergelijke acties willen ze van hogerhand terug kunnen herleiden. Je kent het wel, ze horen weer een verhaal en gelijk moet alles er op aangepast worden

[ Voor 5% gewijzigd door jeroenvdnberg op 13-08-2009 21:27 ]

Op dit een trial versie aangevraagd van Varonis® DatAdvantage, tot nu toe alleen nog geen mail voor download van ze ontvangen..Iemand anders nog andere pakketten in gedachten?