Differenza tra trasferimento file legittimo vs estrazione dati di file riservati tramite FTP

Naviga le tue risposte
0

Ho registri FTP e altri registri presumendo che l'ambiente aziendale sia monitorato attivamente. Come faccio a sapere che l'utente sta utilizzando ftp per trasferire file regolari e non utilizzare lo stesso per trasferire file riservati da un'organizzazione. o in altre parole, come potrei (come analista soc) identificare che il server ftp è il server non utilizzato dalla società per la memorizzazione dei dati, ma il dipendente utilizza quel particolare server ftp per l'archiviazione dei dati. E il trasferimento dei dati su quel server sarà considerato come Data Exfiltration. Si supponga di avere accesso a tutti i registri e che sia possibile utilizzare tali log per l'analisi. Sarei grato se qualcuno potesse spiegarmi quali log considerare e quali campi sono critici in quei log e come?

    
posta Nicz.cool 05.03.2018 - 02:36
fonte

1 risposta

2

Quello che stai cercando è l'intento dell'utente nel momento in cui sta eseguendo l'operazione, ed è molto difficile determinare da soli i registri. Alcuni fattori da considerare:

  1. Qual è il volume dei dati trasferiti?
  2. L'endpoint remoto appartiene alla tua azienda o a una società partner?
  3. Questo utente ha effettuato trasferimenti di questo tipo in passato o il comportamento è insolito per l'utente?
  4. I file trasferiti hanno senso come un singolo set di dati logici?
  5. Hai altri utenti connessi a quell'host in precedenza?

Ecco perché i buoni analisti sono così critici: possono combinare le informazioni nei registri con altre informazioni a loro disposizione. Informazioni al di fuori dei log che potrebbero essere utili in questo caso:

  1. Il ruolo dell'utente nella società e il suo rapporto sia con i dati a cui si accede sia con il trasferimento stesso.
  2. L'ora del giorno nella posizione dell'utente.
  3. Eventuali bug / biglietti / ordini di lavoro aperti che richiedono il trasferimento dei dati.
  4. La durata dell'impiego dell'utente.

Alla fine della giornata, hai bisogno di molte più informazioni per determinare il motivo di una determinata azione. I registri da soli non sono sufficienti.

    
risposta data 05.03.2018 - 03:30
fonte

Leggi altre domande sui tag

Cripta un file nel server e decrittalo nel client senza rischiare che l'utente acceda ad esso? Email nella sicurezza del database rispetto alle prestazioni [chiuso]