O mecanismo de análise de comportamento do usuário (UBA) do ADAudit Plus pode ajudar os administradores a identificar anomalias estabelecendo uma linha de base de atividades normais específicas para cada usuário. A seguir, veremos como as organizações podem rastrear a atividade incomum de arquivos dos usuários.
Rastreando contagem incomum de atividades de arquivos
Considere um cenário em que um funcionário insatisfeito que sai da organização decide roubar informações financeiras críticas. Se esse usuário, que normalmente acessa dez documentos por dia, passa a copiar 100 documentos, isso é um sinal claro de anormalidade grave e merece atenção imediata. Uma solução de auditoria que não usa UBA consideraria esse acesso e atividade de arquivo normal, não acionando nenhum alerta. No entanto, este é um caso claro em que a atividade do usuário é anormal e o UBA acionaria um alerta.
O ADAudit Plus em conjunto com o UBA rastreia todos os comportamentos anormais de acesso a arquivos para todos os usuários em um domínio. Para rastrear atividades de arquivos incomuns dos usuários em sua organização, siga estas etapas:
-
Faça login no ADAudit Plus.
-
Clique em Análise para visualizar o resumo de todas as anomalias, conforme mostrado na Figura 1.
- Na lista de tipos de atividade, selecione Atividade incomum – Contagem de atividade de arquivo (com base no usuário) para visualizar o relatório detalhado. Veja a Figura 2.
Figura 1. Resumo das atividades incomuns.
Figura 2. Monitorando a contagem de atividade de arquivo incomum usando UBA no ADAudit Plus.
Ter um relatório da atividade é bom, mas a maioria dos administradores não tem tempo para revisar os relatórios. Por padrão, os alertas UBA do ADAudit Plus acionam uma notificação por e-mail. Você também pode configurar esses alertas para serem enviados via SMS. Para editar perfis de alerta, siga estas etapas:
-
Selecione a guia Configuração.
-
Vá para Perfis de Alerta > Visualizar/Modificar Perfis de Alerta. Selecione o perfil denominado Atividade incomum – Contagem de falhas de arquivo (com base no usuário).
-
Clique em Configurar para modificar o perfil de alerta. Você pode optar por ser notificado por e-mail, SMS ou ambos. Consulte a Figura 3.
-
Clique em Atualizar.
Figura 3. Configurando um perfil de alerta.
Depois de definir essas configurações, você receberá um alerta quando os usuários tiverem contagens de atividade de arquivo excepcionalmente altas.
Em resumo
O mecanismo UBA do ADAudit Plus ajuda a monitorar a atividade do usuário para instâncias de atividade incomum. Se a contagem de atividade de um usuário exceder o valor limite calculado com base em seu comportamento normal, o ADAudit Plus acionará um alerta para chamar a atenção dos administradores para que eles possam tomar medidas imediatas.
