Учет событий файловых систем: что это такое и как происходит

Компании располагают внушительными информационными массивами, среди которых есть и неструктурированные данные. Речь идет об информации, сложно поддающейся контролю из-за ее неорганизованного хранения и представления в различных форматах. Примеры таких данных: скан-копии документов, видео и фото, скриншоты экранов. Количество неструктурированной информации стремительно растет, поэтому организации должны классифицировать ее и брать под контроль. В этом помогут системы класса DAG (Data Access Governance), ориентированные на работу именно с такими информационными массивами. Платформы позволяют обнаружить все неструктурированные данные, присвоить им служебные метки, чтобы в дальнейшем распределить по релевантным хранилищам и снизить риски несанкционированного использования. Еще одна важная функция DAG-решений — учет событий файловых систем. Именно такие системы предоставляют пользователям возможность доступа к хранящейся информации, с тем чтобы находить, открывать и редактировать нужные файлы. В статье поговорим, что это за события и как DAG-платформы помогают их контролировать.

Файловые системы: что это, зачем они нужны

Файловой системой называют метод организации и хранения данных на каком-либо носителе, например жестком диске или SSD-накопителе.

Файловые системы сами определяют, каким образом кластеры (блоки данных заданного размера) будут храниться в памяти компьютера или другого вычислительного устройства. Все файлы, записываемые на диск, делятся на несколько частей исходя из размера кластеров, по которым будут распределены. Размеры кластеров зависят от настроек хранилища и объема диска. Этими процессами разделения и распределения файлов управляют ФС. Они же обеспечивают поддержание связей между кластерами, предоставляют возможность пользователям совершать различные действия с хранимыми ресурсами (такие действия называются событиями файловых систем).

Еще несколько функций файловых систем:

Определение размеров информационных блоков, входящих в состав файлов.
Объединение данных из разных блоков в общие файлы.
Сжатие и кеширование файлов.
Оптимизация процессов записи и чтения информации.
Отслеживание свободной памяти.
Хранение информации о созданных файлах с указанием таких характеристик, как название, дата и время формирования, размер.

Если говорить более обобщенно, то ФС управляют хранилищами данных и приводят информацию к формату, понятному для операционной системы и прикладного программного обеспечения.

Типы файловых систем

Чтобы составить четкое представление о возможных событиях файловых систем, сначала рассмотрим, какие ФС чаще всего используются в корпоративных средах:

NTFS, ReFS — это ФС, используемые для операционных систем Windows. ReFS — более современная модификация NTFS, совместимая с последними версиями ОС. Но она не поддерживает несколько важных функций, например шифрование всего раздела данных. Именно поэтому чаще используется NTFS с функциями логирования, шифрования, кеширования, восстановления поврежденных файлов.
EXT — ФС, используемые в Android и операционных системах семейства Linux. Файловые системы этого типа, начиная с третьей версии, являются журналируемыми, поскольку все события файловой системы фиксируются в специальных журналах. Данные в EXT хранятся в битовых картах и представлены в виде древовидной структуры. Преимущество такого формата в том, что прочитать информацию с ФС может любая операционная система.
JFS — стабильная и надежная система, используемая в Linux. Ее преимущество в малом потреблении вычислительных мощностей.
XFS — тоже ФС для Linux. Она подходит для работы с крупными файлами, но у нее есть существенный недостаток — уязвимость потери информации.

Существуют и другие файловые системы, совместимые с ОС, используемыми российскими компаниями. Большинство из них — для Windows и Linux.

События файловых систем: что это, какие бывают

Под событиями файловых систем понимают попытки пользователей получить доступ к объектам ФС и совершить какие-либо действия. Примеры событий: создание, изменение, удаление, перемещение ресурсов, переименование, доступ к файлу, снятие с контроля, потеря и возобновление контроля.

Чтобы защитить информацию от несанкционированного использования и утечек, необходимо организовать мониторинг и учет событий файловых систем. Эти задачи поможет решить DAG-система от Solar, которая контролирует файловые серверы на базе Microsoft Windows Server и службы каталогов на базе Microsoft Active Directory.

Учет событий файловых систем с помощью Solar DAG, краткий обзор функций платформы

Solar DAG осуществляет мониторинг файловых систем и служб каталогов, позволяя отследить появление новых данных, которые еще не классифицированы и не распределены по релевантным хранилищам. Платформа обнаруживает критически важные для компании сведения, применяя технологии контентного анализа. К собранной информации применяются преднастроенные правила, на основании которых данным назначаются служебные метки. После сканирования система формирует отчеты, где отображаются результаты классификации.

Также платформа позволяет мониторить события информационных и файловых систем, в том числе изменения полномочий пользователей и учетных записей в отношении хранимых ресурсов. Контроль осуществляется с помощью специальных агентов, собирающих информацию и передающих ее DAG-платформе для дальнейшего анализа. Формально можно изучать логи в журналах файловых систем или настроить отправку логов в SIEM-системе, если организация ее использует. Но DAG-решение предоставляет полноценную аналитику в одном окне и оперативнее реагирует на изменения в структуре прав доступа.

Виды событий файловых систем, которые собирает Solar DAG:

Для объектов (общих сетевых ресурсов, каталогов, файлов): создание и удаление, переименование, изменение прав доступа к объекту, изменение свойств компонентов файловой системы, потеря и возобновление контроля, снятие с контроля.
Для учетных записей пользователей (объектов User): создание и удаление УЗ, отключение и включение, сброс и смена паролей, изменение свойств учетных записей.
Для учетных записей групп пользователей (объектов GROUP): создание и удаление УЗ, изменение характеристик группы, отслеживание членства.

Solar DAG оповещает ответственных лиц обо всех событиях файловых систем. Если происходящие действия будут противоречить политикам безопасности, офицеры службы ИБ смогут оперативно принять меры и предотвратить инциденты.

учет событий файловых систем в solar dag

Преимущества использования Solar DAG

Платформа Solar DAG, созданная на базе передовых технологий, позволяет управлять информацией, которая обрабатывается в полуструктурированном и неструктурированном виде. В пользу внедрения решения в инфраструктуру компании с целью учета событий файловых систем можно привести следующие аргументы:

Высокая производительность, которая позволяет обрабатывать большие объемы данных и выполнять задачи даже в компаниях сегмента Enterprise.
Сохранение информации обо всех событиях файловых систем и предоставление данных в формате наглядных отчетов.
Возможность использования в территориально распределенной инфраструктуре и настройки областей видимости.
Совместимость с ОС, прошедшими сертификацию ФСТЭК России.
Активный и регулярный релизный цикл.

Solar DAG предоставляет достоверную информацию для анализа неструктурированных данных, понимания иерархии прав доступа, аудита событий и расследований инцидентов. Также платформа позволяет обеспечивать защиту критически важных информационных массивов и контролировать соблюдение внутренних политик.

ЗАКЛЮЧЕНИЕ

Стратегия по обеспечению безопасности корпоративной информации должна включать такую меру, как учет событий файловых систем. Эту задачу можно решить путем внедрения платформы Solar DAG, которая мониторит ФС и фиксирует появление новых данных, перемещение файлов и любые действия с информацией. Система формирует отчеты, облегчающие проведение аудита событий файловых систем. Благодаря предоставленной информации, ответственные лица будут видеть, что, когда и по чьей инициативе происходит с данными.