１．監査イベントとして検知できない操作

FileAuditは、Microsoft NTFS監査に基づくエージェントレスソリューションです。

特定のアクションはMicrosoft監査では検出されず、代わりにそれらが基本的なネイティブイベントに分解されます。

アクション「Copy/Paste（コピー/貼り付け）」、「Cut/Paste（切り取り/貼り付け）」、「Create file/folder（ファイル/フォルダの作成）」は、ネイティブのMicrosoft監査イベントとしては使用できず、いくつかの基本的なイベントに分解されます。

また、リモートマシンからファイルサーバーに接続して行われたファイル実行は、「Execute（実行）」ではなく「Read（読み込み）」イベントとして記録されます。

２．IPアドレスの取得

ネットワーク経由でアクセストライが行われたコンピュータのIPアドレスの取得は、Windows 2008 R2以降のファイルサーバーでサポートされています。

３．ブラウジング操作における読み取りイベント発生

Microsoft Explorerに関するもので、単純なブラウジング操作中にフォルダ内のファイルにアクセスすることがあります。

Explorerは、実際にはファイルを開いていなくても、マウスをロールオーバーしてファイル名を表示した場合にも情報を取得します。これは、シェル拡張機能がインストールされている場合に特に顕著です。例えば、WinZipがインストールされている場合、WinZipシェルエクステンションは、フォルダ内の.zipファイルのヘッダを読み取り、アーカイブ内のファイル数を判断します。

１．検知対象のアクセスタイプ

検知可能なアクセスタイプは、クラウドストレージプロバイダの種類によって差異があります。

また、特定のアクセス元からアクセスされた場合のみ検知できるイベントもあります。詳細は、こちらの記事をご確認ください。

２．通知の遅延

クラウドストレージプロバイダによっては、実際の操作イベント発生からFileAuditで検知できるようになるまでに10分以上のタイムラグがあります。

これはクラウドストレージプロバイダがパートナーに通知する方法に起因して発生するもので、FileAudit側で解決できません。

アラート通知によって不正な操作を検知しようとしている場合は、注意が必要です。

３．ローカルインテグレーションの問題

FileAuditをインストールしているサーバーのセキュリティ設定によっては、クラウドプロバイダー上で監査を設定する際に、いくつかの問題が発生する場合があります。これは、システム上で設定されているインターネットオプションの影響を受けるFileAuditに組み込まれたブラウザが原因です。

一部のプロバイダのURLは、ユーザー体験を容易にするために、これらの設定の [信頼できるサイト] セクションに自動的に追加されますが、そうでない場合は手動での「信頼できるサイト」への追加設定が必要です。

4．ログの完全性

クラウドサービスのログ取得は、プロバイダ側のAPI通知に基づいて行われています。プロバイダからの通知が何等かの理由で行われない、あるいは通信経路で問題が発生し通知を受信できない場合などには、FileAuditのログが欠落する場合があります。