Blog

Os dados de auditoria do sistema de arquivos têm ocupado muito espaço?

Um dos maiores problemas das ferramentas de auditoria é o espaço utilizado para a guarda de todos os dados de registro –  os logs de auditoria. Acontece que existem ferramentas que geram uma grande quantidade de logs e eventos gerados. A auditoria nativa do Windows é um bom exemplo – com poucos eventos gerando milhares de arquivos. Não é à toa que coletar e armazenar logs de auditoria brutos possa ocupar tanto espaço e ser tão lento para analisar.

O problema é que essa massa de dados torna a análise rápida e útil para a empresa quase impossível. Algumas soluções de auditoria ocupam um servidor e, muitas vezes, estão armazenando dados de um mês ou dois — com terabytes de informações, que difcilmente poderão ser convertidas em um relatório de inteligência.

Esta é uma das áreas onde a tecnologia de estrutura de metadados realmente brilha na proteção de dados não estruturados . Não apenas uma estrutura de metadados pode substituir as funcionalidades de auditoria do sistema operacional nativo ineficiente em muitas plataformas, mas também pode normalizar as informações de auditoria e armazená-las em estruturas de dados inteligentes. A normalização elimina informações redundantes e as estruturas de dados são muito mais fáceis de processar depois que as partes computacionalmente intensivas da trilha de auditoria (como o caminho e o SID) são convertidas em inteiros.

Com a normalização e estruturas de dados inteligentes, as informações de auditoria não apenas podem ser armazenadas de maneira mais eficiente, mas também são mais rápidas de pesquisar e mais fáceis de analisar.

Como escolher a melhor solução de auditoria

A organização lógica de todo o sistema de auditoria de TI não é fácil, e quando se trata da auditoria sobre dados não estruturados a situação se torna ainda mais complexa.  Fatalmente, você terá que fazer escolhas difíceis, como lidar com um servidor de produção com espaço pressionado pela geração de volume de dados e, ao mesmo tempo, ter que ativar um sistema de auditoria para capturar metadados cruciais. A questão é que o sistema de auditoria pode fatalmente sobrecarregar o servidor para armazenar todos os dados de auditoria. 

Além dos desafios de desempenho e escalabilidade, a auditoria também é difícil por outros motivos. Como você garante que está capturando cada evento continuamente? E quanto à saída? É possível pesquisar? Criar relatórios? Receber alertas?

Pode parecer assustador, mas se você puder superar esses obstáculos, os metadados sobre seus ativos de informação mais importantes, como e-mails e arquivos, podem ser aproveitados para uma infinidade de casos de uso (encontrar dados “perdidos”, detectar violações de dados, identificar dados obsoletos, e muitos mais).

O que você deve considerar ao escolher uma ferramenta de auditoria

Preparamos algumas perguntas que você pode usar como guia para escolher a ferramenta de auditoria mais efetiva para sua empresa. Veja:

  1. A ferramenta exige que você ative a auditoria nativa (que muitas vezes pode ser desgastante) e leia os arquivos de log brutos?
  2. Quantos dados de auditoria o sistema pode armazenar, onde e por quanto tempo (você precisa limpar os dados de auditoria com frequência)?
  3. Os dados de auditoria estão acessíveis a outros produtos complementares? Por outro lado, pode receber outras fontes de dados?
  4. Os dados de auditoria são facilmente pesquisáveis, classificáveis ​​e relatáveis ​​(texto bruto em um visualizador de eventos simplesmente não é suficiente)?
  5. Os dados de auditoria estão unificados (ou seja, posso ver o que um usuário está fazendo no Exchange, SharePoint, servidores de arquivos, etc. em uma única exibição)?
  6. Os dados de auditoria estão correlacionados com outros metadados (ou seja, quem está usando dados + indicadores de sensibilidade de dados = vitória)?
  7. Os dados de auditoria são acionáveis ​​(ou seja, se você vir um usuário tocando em dados que não deveria, você pode bloqueá-los com segurança ou criar um alerta em tempo real caso isso aconteça novamente)?
  8. A auditoria é em tempo real e abrangente? (alguns sistemas de auditoria nativos não capturam todos os tipos de eventos)

Como o DatAdvange da Varonis pode ajudar

O DatAdvantage mapeia quem pode acessar os dados e quem acessa os dados – em sistemas de arquivos e e-mail, mostra onde os usuários têm muito acesso e, em seguida, automatiza com segurança as alterações nas listas de controle de acesso e grupos de segurança. Com a ferramenta, é possível visutalizar informações confidenciais e regulamentadas, realizar a auditoria em cada arquivo, tanto local quanto na nuvem, simular alterações de permissionamento em uma sandbox, e realizar a automatização de tarefas para proteção de dados.

O DatAdvantage tem uma visão bidirecional: basta clicar duas vezes em uma pasta, site ou caixa de correio para ver quem tem acesso a ela, ou clicar em um usuário ou grupo para ver tudo o que eles podem acessar – em todos os seus armazenamentos de dados. O DatAdvantage descobre grupos, permissões, herança e até mesmo identifica pastas onde as permissões não estão funcionando corretamente.

O DatAdvantage também cria uma trilha de auditoria unificada para os eventos, permitindo a investigação de incidentes de segurança com uma interface super amigável. Também é possível ver a atividade de um usuário nos sistemas em nuvem e arquivos locais em uma única tela. Seu histórico de auditoria completo está sempre disponível – sem a necessidade de arquivamento de logs.

A solução também possui um algoritmo de aprendizado de máquina que sinaliza quais os usuários estão com acesso desnecessário aos arquivos existentes.

Faça uma demo Varonis com o apoio da Evolutia. Entre em contato conosco agora e aproveite para preparar o seu ambiente para a LGPD.

A transformação começa agora.