Habitualmente no está permitido el uso de dispositivos de almacenamiento extraíble en las organizaciones, no se debería al menos poder conectar un pendrive USB o discos duros extraíbles. Pero es cierto que en excepciones, se necesitan, y para ello se suele definir una GPO con una lista blanca de dispositivos USB permitidos y se aplican a los usuarios/equipos que los necesiten. Pero ,¿Qué uso hacen de ellos?

Resulta muy sencillo el poder conocer qué ficheros o archivos son los que nuestros usuarios han accedido, modificado o eliminado, como ya lo vimos en alguna entrada anterior. En este caso únicamente queremos conocer los accesos a los archivos o ficheros (o carpetas) que hayan podido usar en dispositivos de almacenamiento extraíble, así como lo son los pendrives, unidades USB…

Al final todo quedará recogido en el Visor de Sucesos de los equipos, en los eventos de Seguridad, podremos buscar por el ID de Evento 4663 y tendremos todo. Pero como ya sabemos, resulta tedioso tener que buscar ahí cosas, por eso como estamos recogiendo en una serie de posts, lo recomendable será centralizar donde se almacenen los logs de nuestros servidores y puestos, para ello usaremos como siempre el agente de Elastic, que será el que mande los logs y los almacene en Elasticsearch, para luego poder verlos en bonito, comprensibles y poder hacer consultas desde Grafana, así como si queremos generar informes en PDF… 

Así que si ya tenemos nuestro agente de Elastic corriendo como servicio en los puestos, y nos recoge los eventos de seguridad del Visor de Sucesos, nos quedará crear una GPO donde forzaremos que se auditen los logs de accesos de las unidades extraíbles, como pueda ser un pendrive USB, para ello, desde “Configuración de seguridad” > “Configuración de directiva de auditoria avanzada” > “Acceso a objetos”, marcaremos tanto los aciertos como los errores de “Auditar almacenamiento extraíble”.

Con eso lo tendremos todo y los eventos se empezarán a generar y a almacenar, por lo que podremos acceder a ellos como siempre desde Grafana, desde un Datasource que tengamos configurado contra el índice donde se guardan los eventos de Windows, sea winlogbeat-* o filebeat-* posiblemente. Nos quedará eso, crear el Dashboard en Grafana al gusto, dependiendo lo que queráis ver.

En este ejemplo se ve un resumen, por el periodo de la fecha indicada y además se podría filtrar por usuario, para ver en particular lo que hizo alguien exclusivamente.

Más abajo del resumen ya podríamos visualizar los ficheros abiertos, sólo lo que se ha abierto. Pudiendo verlo en gráfica de tiempo, una tabla de consulta, hacer un top de qué usuarios han abierto más ficheros, o que ficheros son los más abiertos, así como un Sankey para relacionarlo visualmente…

Total, que con la siguiente consulta DSL podríamos desde Grafana o desde Kibana ver los resultados de los ficheros abiertos:

winlog.event_id: 4663 AND winlog.event_data.AccessMask: "0x1"

Si bajamos un poco más el dashboard de Grafana nos encontraremos los ficheros que han sido modificados en el periodo seleccionado, podemos encontrarlos a partir de la siguiente query:

winlog.event_id: 4663 AND winlog.event_data.AccessMask: "0x2"

Y al final de este Dashboard de Grafana podremos encontrar los ficheros que han sido eliminados o borrados, y lo mismo, para poder encontrar estos ficheros, deberemos realizarlos a partir de la siguiente query:

winlog.event_id: 4663 AND winlog.event_data.AccessMask: "0x10000"

Ahora ya tenemos recolectados cualquier acceso a ficheros en unidades externas de los equipos de nuestra organización, podremos tener un control, guardarlos para temas legales, tener cada día un informe en PDF con su resumen… las posibilidades son muchas, espero que os haya resultado interesante y os anime a tenerlo controladito todo, os mando un abrazo, que vaya bien!