Você pode configurar a auditoria para os caminhos que devem fornecer informações (como eventos registrados) que leem o conteúdo da pasta / quando etc., que então você precisaria processar (os scripts seriam no mínimo) e então você precisaria fornecer 3 meses para realmente construir a informação.
Se a sua empresa estiver colocando isso no topo da lista de prioridades, sugiro que:
- Crie um procedimento de 'solicitação de permissão de arquivo / pasta' e certifique-se de poder manter as informações durante meses e anos
- Conceda aos usuários uma semana ou duas para enviar solicitações formais de leitura / gravação de determinadas pastas
- Passe pelo sistema de arquivos / compartilhamentos e retire todas as permissões
- Adicione aqueles para os quais você recebeu solicitações formais
Parece dracônico, mas se as permissões relaxadas / não mantidas foram pelo menos uma parte da razão pela qual o roubo de dados em sua empresa aconteceu, acho que é algo que vale a pena considerar (depende muito do tamanho da sua empresa).