Задать вопрос
@igortru
информационная-безопасность

Кто удалил файл?

Есть сервер Windows. Установлено различное ПО. Ошибка или злой умысел - непонятно. В разное время на сервере удаляются все файлы, рекурсивно с диска С:. После удаления на сервер зайти уже не возможно, соответственно и глянуть журналы тоже. Есть идея поставить какую-нибудь siem систему или приближенный софт(антифирус?) чтобы понять кто/какой процесс/какой пользователь удалил файл.

Посоветуйте какими средствами можно решить проблему?
  • Вопрос задан
  • 247 просмотров
1 комментарий
Подписаться 1 Средний 1 комментарий
Пригласить эксперта
Ответы на вопрос 1
@NortheR73
системный инженер
По симптомам - возможно, какая-то пакость...
Проверьте сервер антивирусом и загляните в планировщик - вдруг там есть задача по расписанию для удаления
А так - включаете политику аудита доступа к объектам файловой системы и на нужных папках аудит событий удаления: Аудит удаления файлов в сетевой папке на Windows Server
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Специалист по управлению уязвимостями (информационная безопасность)
Гринатом Москва
от 100 000 до 120 000 ₽
Специалист отдела информационной безопасности
Cloud4Y Ярославль
До 230 000 ₽
Руководитель направления информационной безопасности ОКИИ
Интер РАО – Управление сервисами Санкт-Петербург
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Перерисовать логотип в векторе
22 нояб. 2024, в 00:55
500 руб./за проект
Разработка алгоритма на python (Data engineering)
21 нояб. 2024, в 23:30
300000 руб./за проект
Верстка Flutter + API
21 нояб. 2024, в 22:21
3000 руб./в час
Ещё заказы