File Monitoring
مراقبة الملفات في الجهاز تعني مراقبة الأنشطة التي يتم القيام بها على الملفات المخزنة على الجهاز مثل تعديل الملفات أو حذفها أو تحميلها أو نسخها إلى مكان آخر.
تستخدم مراقبة الملفات عادة ًفي الشركات والمؤسسات التي تحتوي على معلومات حساسة أو سرية، حيث يتم إستخدامها لتتبع النشاطات التي يقوم بها الموظفون على الأجهزة الخاصة بهم، وللتحقق ايضاً من إتباعهم لسياسات الأمان والخصوصية التي تكون في الشركة.
ماهي أنواع الملفات؟
بما اننا سنُركز في تطبيقنا العملي على الـ Windows فسنذكر أشهر نوعين من أنواع الملفات في نظام الـ Windows وهي كالتالي :
NTFS (New Technology File System) يعتبر NTFS هو نظام الملفات الافتراضي في نظام التشغيل Windows الحديثة مثل Windows 7 و Windows 10 وغيرها ، من مميزاته أن حجمه مفتوح يصل إلى 2 تيرا بايت ، وايضاً يوفر مزيد من الأمان والسرية. لكن من عيوبه انه لايعمل على أنظمة ويندوز القديمة ، وايضاً لا يمكن تحويل وحدات التخزين من NTFS إلى نظام Fat32.
FAT (File Allocation Table) تعرف بتخصيص الملفات وهو أقدم أنظمة الملفات على الإطلاق ، أولاً تم إعتماده في المساحات الأصغر من 2 جيجا بايت للـ partition الواحد و كان يستخدم Cluster بسعة 64 Kbs ومن هنا تم تطوير هذا النظام إلى FAT32 وهو يستعمل في المساحات التي تفوق 2 جيجا بايت و حتى إلى 32 جيجا بايت و بسعة 16 Kbs للـ Cluster ، من مميزات نظام الـ FAT32 يعتبر النظام الأكثر شيوعا وإنتشارا عن الأنظمة الأخرى نظراً لقدمه وايضاً يعتبر مناسب للسعات التخزينية ذات الأحجام الصغيرة. لكن من عيوب أنظمة FAT16 – FAT 32 تعتبر ذات حجم محدود يصل إلى 32 جيجا في الـ FAT32 بينما 2 جيجا فقط في الـ FAT 16. ايضاً لايمكن تخزين ملف أكبر من 4 جيجا بايت على هذا النظام لأن الـ Cluster ما بين 64 Kbs لـ FAT 16 و 16 Kbs لـ FAT32 وهو يفتقر إلى الكثير من السرية وقد يحتاج إلى المزيد من الأمان والتشفير ، وايضاً من عيوبه لا يمكن تثبيت أنظمة الـ Windows الحديثة عليه بينما يصلح لفلاشات الـ USB.
هل مهم مراقبة الملفات بشكل مستمر ؟
مراقبة الملفات مهمة للعديد من الأسباب منها التالي :
الحفاظ على الأمان : يمكن إستخدام أدوات مراقبة الملفات للكشف عن أي نشاط غير مصرح به على النظام،ومنع الإختراقات والهجمات الإلكترونية وحماية البيانات الحساسة أيضاً من الوصول غير المصرح به.
الكشف عن الأخطاء : يمكن إستخدام أدوات مراقبة الملفات للكشف عن الأخطاء في النظام مثل الملفات التالفة أو المفقودة وإصلاحها قبل حدوث تلف في النظام.
مراقبة النشاطات : يمكن إستخدام أدوات مراقبة الملفات لمراقبة النشاطات التي يقوم بها المستخدمون على النظام مثل فتح الملفات والتعديل عليها، والوصول إلى المواقع على الإنترنت، ومعرفة متى وكيف تم الوصول إلى الملفات.
الإمتثال للقوانين والمعايير التي تضعها الشركة : تتطلب بعض القوانين والمعايير من الشركات والأفراد مراقبة الملفات مثل الشركات التي تتعامل مع بطاقات الإئتمان مثلاً !
بشكل عام تساعد أدوات مراقبة الملفات المستخدمين على الحفاظ على الأمان والنظام وتحسين أداء النظام وتجنب الأخطاء وأيضاً الإمتثال للقوانين والمعايير التي تضعها الشركة نفسها.
ماهي الملفات المهمة التي لابد أن نراقبها بشكل مستمر؟
تختلف الملفات التي يجب مراقبتها بشكل مستمر حسب نوع الجهاز ونوع البيانات المخزنة عليه ولكن عموماً ينبغي مراقبة الملفات التالية بشكل مستمر هي :
الملفات التي تحتوي على معلومات حساسة : مثل الملفات التي تحتوي على معلومات شخصية أو مالية مثل الحسابات المصرفية أو الملفات التي تحتوي على معلومات خاصة بالمؤسسة أو الشركة مثل المستندات القانونية.
الملفات التي تحتوي على برمجيات خبيثة : مثل الملفات التي تحتوي على فيروسات أو برامج تجسس والتي يمكن أن تتسبب في سرقة البيانات أو إتلافها.
الملفات التي تم تعديلها حديثاً : مثل الملفات التي تم تعديلها بشكل غير متوقع أو بدون إذن مسبق والتي يمكن أن تشير إلى وجود مشكلة في النظام أو إلى نشاط غير مصرح به.
الملفات التي تم حذفها : مثل الملفات التي تم حذفها بشكل غير متوقع أو بدون إذن مسبق والتي يمكن أن تشير إلى محاولة للقيام بنشاط غير مصرح به أو إلى عملية إتلاف للبيانات.
الملفات التي تم تحميلها من الإنترنت : مثل الملفات التي تم تحميلها على الجهاز من الإنترنت والتي يمكن أن تحتوي على برمجيات خبيثة أو ملفات تجسس.
يجب أن ننتبه أن تحديد الملفات التي يجب مراقبتها يعتمد على الإحتياجات الفردية والمتطلبات الأمنية للجهاز لتحديد الملفات المهمة التي يجب مراقبتها بشكل مستمر.
الأدوات المستخدمة لمراقبة الملفات
هناك العديد من الأدوات المتاحة لمراقبة الملفات لكن تختلف حسب النظام المستخدم ، فمن ضمن الأدوات المستخدمة لمراقبة الملفات في نظام التشغيل Windows هو المعروف بالـ Windows Event Viewer
طبعاً وحده لايكفي ، فلا يمكنك مراقبة الملفات بشكل مستمر عن طريق الـ Event Viewer لكن هنا يتيح لك عرض السجلات (Logs) والأحداث المتعلقة بنظام التشغيل والتطبيقات، بما في ذلك بعض الأحداث المرتبطة بالملفات.
ومع ذلك، إذا كنت ترغب في مراقبة الملفات بشكل مستمر وتسجيل الأحداث المرتبطة بها، يمكنك الاعتماد على أدوات أخرى في نظام Windows مثل تفعيل التدقيق (Auditing) أو استخدام أدوات تخصيص الأمان (Security Customization) لهذا الغرض. فهناك طرق مختلفة لتحقيق ذلك، وفيما يلي بعض الطرق المشتركة:
تفعيل التدقيق (Auditing): يمكنك تفعيل التدقيق لنوع معين من الأحداث المتعلقة بالملفات، مثل الوصول أو التعديل أو الحذف فيمكنك تفعيل التدقيق بإستخدام أدوات إدارة الأمان الخاصة بنظام Windows، مثل Local Security Policy أو Group Policy. من خلاله يمكنك تحديد المستخدمين أو المجموعات المستهدفة وتحديد الأحداث التي ترغب في تدقيقها. طبعاً تُسجّل الأحداث المرتبطة بالملفات في سجل الأمان وهو (Security log) الذي يمكنك مراجعته من خلال الـ Windows Event Viewer.
إستخدام أدوات تخصيص الأمان (Security Customization): يمكنك إستخدام أدوات تخصيص الأمان لتحقيق مراقبة مستمرة للملفات. هناك برامج تطبيقية وأدوات تطوير تسمح لك بإنشاء تنبيهات أو القيام بإجراءات محددة عندما يتم تغيير الملفات. يمكن لهذه الأدوات تسجيل الأحداث وإرسال إشعارات لكل تغيير يحدث في هذهالملفات.
لكن كل هذه الخطوات تحتاج إلى إمتلاك صلاحيات المسؤول (Administrator) على نظام Windows الخاص بك. كما يجب الأخذ بعين الإعتبار أن هذه الإجراءات قد تؤثر على أداء النظام، لذا ينصح الدقة والعناية بما يتم تحديده وفقًا لإحتياجاتك الخاصة.
لما يتم تفعيل التدقيق أو الـ Auditing على الملفات في نظام الـ Windows ؟
عندما تحتاج إلى تغيير صلاحيات الوصول إلى الملفات والمجلدات في نظام Windows. قد تحتاج إلى تعديل هذه الخيارات في الحالات التالية:
عندما تحتاج إلى منع الوصول غير المصرح به إذا كان لديك ملفات أو مجلدات تحتوي على معلومات حساسة أو خاصة، تستطيع تحديد صلاحيات الوصول لهذه الملفات بحيث يتم منع الأشخاص غير المصرح لهم من الوصول لها.
عندما ترغب في منح صلاحيات محددة للوصول لملفات أو مجلدات معينة لمستخدمين أو مجموعات معينة فقط. هذا يمكن أن يساعد في تحقيق الأمان والتنظيم والسيطرة على الوصول.
عندما تحتاج إلى تكوين صلاحيات الكتابة والتعديل إذا كنت ترغب في منح أو سحب صلاحيات الكتابة والتعديل على الملفات والمجلدات، يمكنك تعديل خيارات التدقيق لتحقيق ذلك. هذا يمكن أن يكون مفيدًا عندما ترغب في منع التعديل غير المصرح به على ملفات معينة.
عندما تحتاج إلى الامتثال للمتطلبات القانونية أو القواعد الداخلية قد تكون هناك متطلبات قانونية تتعلق بالحفاظ على خصوصية المعلومات أو تنظيم الوصول إلى الملفات. يمكنك تعديل خيارات التدقيق لتحقيق الامتثال لهذه المتطلبات والقواعد الداخلية لمؤسستك
ما الفائدة من عمل تعديل على خيارات التدقيق أو الـ Auditing في نظام الملفات وعلى ماذا تشمل؟
تشمل حماية البيانات الحساسة فـ يمكنك تحقيق أمان أعلى للمعلومات الحساسة عن طريق منع الوصول غير المصرح به إليها.
تنظيم وترتيب الملفات يمكنك تحديد من يمكنه الوصول إلى الملفات وتعديلها وحذفها، وبالتالي يمكنك تنظيم الملفات بشكل أفضل ومنع تعديلات غير مرغوب فيها.
تعزيز الأمان والسيطرة يساعدك تعديل خيارات التدقيق في الحفاظ على السيطرة الكاملة على الوصول إلى الملفات والمجلدات وتقييد الوصول غير المصرح به.
كيف يتم تفعيل التدقيق (Auditing) للملفات في نظام الـ Windows ؟
بالبداية لابد أن تكون الصلاحيات كـ Administrator حتى يتم تفعيل التغييرات التي سوف نقوم بها الأن ..
سننشئ مجلد اسمه Testing ونبدأ نفعّل عملية التدقيق عليه بحيث ننقر على الماوس الأيمن على الملف أو المجلد، ثم نحدد الخصائص أو Properties الـ كما في الصورة التالية :
بعد ذلك ننتقل لخيار الـ Security وننقل على خيار تعديل أو الـ Edit لتعديل من المسموح له الوصول لهذا الملف أو المجلد.
من ضمن الخيارات كانت بكيف آلية الأذونات أو الـ Permissions المسموحة على الملف أو المجلد ، فعند النقر على الـ Advanced يظهر لنا التالي :
كما ظاهر في الصورة الأعلى بأن الـ Access أو الوصول متاح لكل المستخدمين ، فعند النقر على زر الـ Add يظهر لنا التالي :
في المربع الأعلى من الممكن كتابة اسماء الـ Users أو الـ Groups الذي نود أن نحدد له الأذونات المناسبة أو المحددة له ، فمثلاً سنكتب في المربع أعلاه إسم الـ User التالي mariam وهو فسيظهر لدينا الأذونات التالية ونحدد الصلاحيات لها
الأن نذهب إلى الـ Event Viewer ونرى ماتم تسجيله في خانة الـ Security log
بالنظر إلى الأحداث المسجلة ففي الـ Event ID 4656 كمثال فهو تم تسجيل حادثة تم الوصول إلى الملفات أو المجلدات وتم تسجيلها بإسم المستخدم mariam وهذا الحدث يُشير حول الوصول إلى الملفات والأدلة وتعديلها على نظام Windows ولكن تم تسجيله كـ Audit Failure
وعند النظر إلى الحادثة التالية مثلاً الـ Event ID 4658 فهي معناه بأنه تم تعديل الإمتيازات في الـ Windows تباعاً للمستخدم المسجّل وهي mariam وهكذا تم تسجيل باقي الأحداث التي تمت في الـ Event Viewer ..
هل فقط يتم تسجيل الأحداث المتعلقة بالملفات في الـ Event Viewer بالـ Windows؟
لا ! فلو عدنا لمفهوم الـ Event Viewer بالـ Windows هي تعتبر أداءة في النظام تستعرض الـ Logs لكل مايتعرض له الجهاز من تحذيرات أو أخطاء من النظام حدثت ، هذه السجلات بالغالب هي عن الـ System والـ Application والـ Security وأيضاً الـ Setup.
الـ System Logs تتضمن أو تحتوي على الأحداث المتعلقة بالنظام نفسه وعملياته الأساسية. تشمل هذه السجلات معلومات حول أعطال الجهاز ، وتغييرات في إعدادات النظام، وتشغيل أو إيقاف النظام ، الـ System Log يحتوي على معلومات مثل :
الأحداث النظامية : يسجل الـ System Log الأحداث التي تتعلق بتشغيل وإيقاف تشغيل النظام، والتحميل الأولي للأجهزة والبرامج، والعمليات النظامية الأخرى.
أخطاء التشغيل : يتم تسجيل أخطاء التشغيل التي تحدث أثناء بدء تشغيل النظام، مثل أخطاء الأجهزة والتعارضات والمشاكل المتعلقة بالـ Configuration النظام.
تحذيرات الأجهزة : يسجل الـ System Log تحذيرات الأجهزة المتعلقة بمشاكل الأجهزة، مثل التعارضات أو الأخطاء المحتملة في الأجهزة.
أحداث الخدمة : يتم تسجيل أحداث الخدمة التي تتعلق بتشغيل وإيقاف تشغيل الخدمات في النظام.
الـ System Log يساعد في تشخيص مشاكل النظام وتحليلها، ويوفر معلومات لمسؤولين نظام التشغيل.
الـ Application Logs تحتوي على الأحداث المتعلقة بالتطبيقات والبرامج التي تعمل على النظام. تتضمن هذه السجلات الأخطاء والتحذيرات والمعلومات العامة المتعلقة بتشغيل التطبيقات ، الـ Application Logs يحتوي على معلومات مثل :
الأخطاء والتحذيرات : يسجل الـ Application Logs الأخطاء والتحذيرات التي تحدث أثناء تشغيل التطبيقات ، فيمكن استخدام هذه المعلومات لتحديد المشاكل في التطبيقات ومعالجتها.
الأحداث العامة : يمكن أن يتضمن الـ Application Logs الأحداث العامة التي تعطي معلومات حول عمليات التشغيل والتوقف للتطبيقات، والتحديثات، وإعدادات النظام التي لها صلة.
تسجيل النشاط : يمكن أن يتضمن الـ Application Logs معلومات حول نشاط المستخدم واستخدام التطبيقات، مثل تسجيل الوقت والتاريخ لفتح وإغلاق التطبيقات.
الـ Application Logs يساعد في تشخيص مشاكل التطبيقات وتحليل أداءها، ويوفر معلومات هامة لمسؤولين نظام التشغيل.
الـ Security Logs تحتوي على الأحداث المرتبطة بالأمان والحماية في النظام. تتضمن هذه السجلات معلومات حول محاولات الوصول غير المصرح بها، ومحاولات تسجيل الدخول الفاشلة، والأنشطة المتعلقة بالأمان ، الـ Security Log يحتوي على معلومات مثل :
محاولات تسجيل الدخول : يسجل الـ Security Log محاولات تسجيل الدخول إلى النظام، سواءاً كانت ناجحة أو فاشلة. من هنا يمكن إستخدام هذه المعلومات لتحديد محاولات الاختراق أو الوصول غير المصرح به.
الأمان والتحذيرات : يتم تسجيل التحذيرات الأمنية في الـ Security Log للإشارة إلى أي نشاط مشبوه أو محتمل للتهديد. يمكن أن تتضمن هذه التحذيرات محاولات الاختراق، والبرامج الضارة، ومحاولات الوصول إلى الملفات أو الموارد غير المصرح بها.
سجل الأمان الـ Success والـ Failure : يتم تسجيل أحداث الـ Success والـ Failure في الـ Security Log مثل تغيير إعدادات الأمان، وإنشاء أو حذف حسابات المستخدم، وإعدادات المجموعات، وأنشطة الترخيص.
الـ Security Log مهم جدًا لمراقبة أمان النظام واكتشاف ومعالجة أية مشاكل أمنية.
الـ Setup Logs يحتوي على معلومات حول عملية تثبيت أو تحديث النظام الأساسية في نظام التشغيل الـ Windows فـ يتم تسجيل أحداث الإعدادات في هذا الـ Log لتتبع تفاصيل عملية التثبيت وتحديث النظام وتسجيل أي مشاكل أو أخطاء قد تحدث خلالها ، يحتوي الـ Setup Log على معلومات مهمة مثل :
توقيت الأحداث : يسجل الـ Setup Logs الوقت الذي تم فيه بدء وإنتهاء عملية التثبيت أو التحديث.
تفاصيل العملية : يوفر الـ Setup Logs معلومات حول الخطوات المنفذة خلال عملية التثبيت أو التحديث، مثل تثبيت البرامج، والـ Configuration وإعدادات النظام الأساسية.
أخطاء وتحذيرات : إذا كان هناك أي أخطاء أو تحذيرات خلال عملية التثبيت أو التحديث، فسيتم تسجيلها في الـ الـ Setup Logs للإشارة إلى المشاكل المحتملة التي قد تؤثر على أداء النظام.
الـ الـ Setup Logs مفيد للمسؤولين والمستخدمين الذين يرغبون في تتبع وتحليل عمليات التثبيت والتحديث في نظام الـ Windows.
ماهي الأدوات التي تتم فيها مراقبة التغييرات على الـملفات بالـ Windows ؟
من ضمن البرامج التي تراقب أي تحديثات على الملفات المخزنة في نظام الـ Windows برنامج الـ FileActivityWatch وهو برنامج نستطيع من خلاله تحديد أي نوع من الملفات نريد مراقبتها ، لكن قبل الدخول بهذه التفاصيل ، هذه واجهة البرنامج ونرى بالجدول الملفات التي يراقبها ويتم تحديث الجدول بشكل تلقائي ..
اذا كنا نريد إنشاء مستند نصي ، فنستطيع عن طريق البرنامج فلترة الملفات النصية فقط ، لعمل الفلترة نذهب للخيار التالي :
من هنا نقوم بكتابة الفلترة المطلوبة ، ومثل ماتشاهدون لقد كتبنا هذه الفلترة *.txt لأننا نريد فلترة الملفات النصية فقط
الان وقت اختبار هذه الفلترة، سننشئ مستند نصي اسمه Testing.txt وسنضع بداخله نص تجريبي، وسنراقب ما إذا كان البرنامج سيتلقطه أم لا
بعد حفظ الملف ، نشاهد أن البرنامج قام بالتقاط الملف موضحا تاريخ الكتابة والقراءة وكم عدد مرات الكتابة والقراءة ، وهذه معلومات جيدة تفيدنا في عمليات التحليل والفحص :
التغييرات التي حدثت تكون مكتوبة بالشكل التالي :
ختاماً عند إستخدام برنامج الـ FileActivityWatch نستطيع من خلاله تحديد نوع الملفات المراد مراقبتها ، فمثلاً نستطيع تحديد الملفات التنفيذية أو النصية ، وايضاً هناك العديد من المميزات ، مثل مراقبة الملفات التي يتم تغييرها عن طريق برنامج أو Process محددة ، فإذا كنّا نشك بملف تنفيذي نستطيع مراقبة مايقوم به هذا الملف التنفيذي على الملفات الموجودة بالنظام.