Suivi du nombre d'activités inhabituels sur les fichiers
Prenons le cas d'un employé mécontent qui quitte l'entreprise et décide de voler des informations financières critiques. Si cet utilisateur, qui accède normalement à dix documents par jour, commence à copier une centaine de documents, cela indique clairement une anomalie grave et appelle à une attention immédiate. Une solution d’audit qui n’utilise pas UBA considérerait normaux cet accès et cette activité , et ne déclencherait donc aucune alerte. Cependant, il s’agit clairement d’un cas où l’activité de l’utilisateur est anormale et que UBA déclencherait une alerte.
ADAudit Plus, en conjonction avec UBA, suit tous les comportements d’accès anormaux aux fichiers pour tous les utilisateurs d’un domaine. Pour suivre l’activité inhabituelle des fichiers d’utilisateur dans votre organisation, procédez comme suit:
- Connectez-vous à ADAudit Plus.
- Cliquez sur Analytics pour afficher le résumé de toutes les anomalies, comme illustré à la figure 1.
- Sous la liste des types d'activité, sélectionnez Unusual Activity – File Activity Count (Based on User) pour afficher le rapport détaillé. Voir la figure 2.
Figure 1. Résumé des activités inhabituelles.
Figure 2. Surveillance de l'activité inhabituel du nombre de fichier à l'aide d'UBA dans ADAudit Plus.
Avoir un rapport de l'activité est bien, mais la plupart des administrateurs n'ont pas le temps d'examiner les rapports. Par défaut, les alertes UBA d’ADAudit Plus déclenchent une notification par courrier électronique. Vous pouvez également configurer l'envoi de ces alertes par SMS. Pour modifier les profils d'alerte, procédez comme suit:
1.Sélectionnez l'onglet Configuration.
2.Accédez à Alert Profiles > View/Modify Alert Profiles. Sélectionnez le profil nommé Unusual Activity – File Failure Count (Based on User).
3.Cliquez sur Configure pour modifier le profil d'alerte. Vous pouvez choisir d'être averti par email, SMS ou les deux. Voir la figure 3.
4.Cliquez sur Update.
Figure 3. Configuration d'un profil d'alerte.
Une fois ces paramètres configurés, vous recevrez une alerte lorsque des utilisateurs ont une activité d'accès aux fichiers anormalement élevé.
Résumé
Le moteur UBA d’ADAudit Plus permet de surveiller l’activité inhabituelle des utilisateurs. Si le nombre d'activités d'un utilisateur dépasse le seuil calculé en fonction de son comportement normal, ADAudit Plus déclenche une alerte pour attirer l'attention des administrateurs afin qu'ils puissent prendre des mesures immédiates.
Testez dès aujourd'hui ADAudit Plus, avec notre version d'évaluation gratuite de 30 jours.