Habitualment no està permès l' ús de dispositius d' emmagatzematge extraïble en les organitzacions, no es deuria almenys poder connectar un pendrive USB o discos durs extraïbles. Però és cert que en excepcions, es necessiten, i per això se sol definir una GPO amb una llista blanca de dispositius USB permesos i s'apliquen als usuaris/equips que els necessitin. Però ,Quin ús en fan?

Resulta molt senzill el poder conèixer quins fitxers o arxius són els que els nostres usuaris han accedit, modificat o eliminat, com ja ho vam veure en alguna entrada anterior. En aquest cas únicament volem conèixer els accessos als arxius o fitxers (o carpetes) que hagin pogut usar en dispositius d' emmagatzematge extraïble, així com ho són els pendrives, unitats USB…

Al final tot quedarà recollit al Visor de Successos dels equips, en els esdeveniments de Seguretat, podrem buscar per l'ID d'Esdeveniment 4663 i tindrem tot. Però com ja sabem, resulta tediós haver de buscar aquí coses, per això com estem recollint en una sèrie de posts, el recomanable serà centralitzar on s'emmagatzemen els logs dels nostres servidors i llocs, per a això farem servir com sempre l'agent d'Elastic, que serà el que mani els logs i els emmagatzeni a Elasticsearch, per després poder veure'ls en bonic, comprensibles i poder fer consultes des de Grafana, així com si volem generar informes en PDF…

Així que si ja tenim el nostre agent d'Elastic corrent com a servei en els llocs, i ens recull els esdeveniments de seguretat del Visor de Successos, ens quedarà crear una GPO on forçarem que s'auditin els logs d'accessos de les unitats extraïbles, com pugui ser un pendrive USB, per a això, des de “Configuració de seguretat” > “Configuració de directiva d' auditoria avançada” > “Accés a objectes”, marcarem tant els encerts com els errors de “Auditar emmagatzematge extraïble”.

Amb això ho tindrem tot i els esdeveniments es començaran a generar i a emmagatzemar, per la qual cosa podrem accedir-hi com sempre des de Grafana, des d'un Datasource que tinguem configurat contra l'índex on es guarden els esdeveniments de Windows, sigui winlogbeat-* o filebeat-* possiblement. Ens quedarà això, crear el Dashboard a Grafana al gust, depenent el que voleu veure.

En aquest exemple es veu un resum, pel període de la data indicada i a més es podria filtrar per usuari, per veure en particular el que va fer algú exclusivament.

Més avall del resum ja podríem visualitzar els fitxers oberts, només el que s'ha obert. Podent veure-ho en gràfica de temps, una taula de consulta, fer un top de quins usuaris han obert més fitxers, o que són els més oberts, així com un Sankey per relacionar-lo visualment…

Total, que amb la següent consulta DSL podríem des de Grafana o des de Kibana veure els resultats dels fitxers oberts:

winlog.event_id: 4663 AND winlog.event_data. AccessMask: "0x1"

Si baixem una mica més el dashboard de Grafana ens trobarem els fitxers que han estat modificats en el període seleccionat, podem trobar-los a partir de la següent query:

winlog.event_id: 4663 AND winlog.event_data. AccessMask: "0x2"

I al final d'aquest Dashboard de Grafana podrem trobar els fitxers que han estat eliminats o esborrats, i el mateix, per poder trobar aquests fitxers, haurem de realitzar-los a partir de la següent:

winlog.event_id: 4663 AND winlog.event_data. AccessMask: "0x10000"

Ara ja tenim recol·lectats qualsevol accés a fitxers en unitats externes dels equips de la nostra organització, podrem tenir un control, guardar-los per a temes legals, tenir cada dia un informe en PDF amb el seu resum… les possibilitats són moltes, espero que us hagi resultat interessant i us animi a tenir-ho tot, us comandament una abraçada, que vagi bé!