Un adeguato monitoraggio e un adeguata verifica di autorizzazione degli accessi ai dispositivi di rete è fondamentale, anche se questi accessi si verificano molto raramente.
Più tentativi di accesso non riusciti, infatti, richiedono particolare attenzione, in quanto possono indicare che qualcuno sta tentando di forzare le credenziali amministrative e conseguentemente aiutare a individuare le minacce alla sicurezza e rispondere quindi tempestivamente.
Al fine di vedere tutti i tentativi di accesso non riusciti, con chiare informazioni su chi, cosa quando e dove questi accessi si sono verificati puoi seguire i passaggi sotto elencati:
- Avvia Netwrix Auditor
- Clicca Reports Scegli Network Devices
- Vai al report Logons to network devices
- Clicca View.
Se volessi, invece, visualizzare solo gli accessi non riusciti, allora elimina il filtro Successful Logons.
Dopo aver esaminato il report appena creato, può essere creato un avviso, impostato sui valori soglia e con lo stesso set di filtri, che sarà in grado di avvertire l’utente in caso di vari tentativi di accesso non riusciti. Per impostare tale avviso puoi seguire i passaggi sotto elencati:
- Naviga a Tools;
- Clicca Create alert Specifica il nome dell’avviso;
- Aggiungi destinatari;
- Abilita valore soglia e configura le condizioni che attiveranno l’avviso;
- Limita gli avvisi delle registrazioni delle attività che hanno effettuato l’accesso dallo stesso utente e, ad esempio, Invia un avviso per 5 registrazioni delle attività entro 60 secondi;
- Clicca Add per salvare l’avviso.
