Задать вопрос
@igortru
информационная-безопасность

Кто удалил файл?

Есть сервер Windows. Установлено различное ПО. Ошибка или злой умысел - непонятно. В разное время на сервере удаляются все файлы, рекурсивно с диска С:. После удаления на сервер зайти уже не возможно, соответственно и глянуть журналы тоже. Есть идея поставить какую-нибудь siem систему или приближенный софт(антифирус?) чтобы понять кто/какой процесс/какой пользователь удалил файл.

Посоветуйте какими средствами можно решить проблему?
  • Вопрос задан
  • 227 просмотров
1 комментарий
Подписаться 1 Средний 1 комментарий
Пригласить эксперта
Ответы на вопрос 1
@NortheR73
системный инженер
По симптомам - возможно, какая-то пакость...
Проверьте сервер антивирусом и загляните в планировщик - вдруг там есть задача по расписанию для удаления
А так - включаете политику аудита доступа к объектам файловой системы и на нужных папках аудит событий удаления: Аудит удаления файлов в сетевой папке на Windows Server
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Специалист по управлению уязвимостями (информационная безопасность)
Гринатом Москва
от 100 000 до 120 000 ₽
DevSecOps
Outlines Tech
от 300 000 до 350 000 ₽
Руководитель направления информационной безопасности ОКИИ
Интер РАО – Управление сервисами Санкт-Петербург
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Название проекта: Бот Telegram для автоматизации судебных приказов
05 мая 2024, в 02:15
30000 руб./за проект
Десктоп приложение для добавления товаров на Python
05 мая 2024, в 01:43
5000 руб./за проект
Разработка 3D моделей
05 мая 2024, в 01:37
1500 руб./за проект
Ещё заказы