Überwachen des Zugriffs auf Wechseldatenträger
Die Verwendung von Wechseldatenträgern ist in Organisationen in der Regel nicht erlaubt, Sie sollten zumindest nicht in der Lage sein, einen USB-Stick oder Wechselfestplatten anzuschließen. Aber es ist wahr, dass in Ausnahmefällen, Sie werden gebraucht, Zu diesem Zweck wird in der Regel ein GPO mit einer Whitelist der erlaubten USB-Geräte definiert und auf die Benutzer/Computer angewendet, die sie benötigen. Aber ,Wie verwenden Sie sie??
Es ist sehr einfach zu wissen, auf welche Dateien oder Archive unsere Benutzer zugegriffen haben, Geändert oder entfernt, wie wir bereits in einigen Vorheriger Beitrag. In diesem Fall möchten wir nur die Zugriffe auf die Dateien oder Dateien wissen (oder Ordner) die sie möglicherweise auf Wechseldatenträgern verwendet haben, ebenso wie USB-Sticks, USB-Laufwerke…
Am Ende wird alles in der Event-Anzeige der Teams gesammelt, in Sicherheitsereignisse, Wir werden in der Lage sein, nach der Ereignis-ID zu suchen 4663 Und wir werden alles haben. Aber wie wir bereits wissen, Es ist mühsam, dort nach Dingen suchen zu müssen, Aus diesem Grund sammeln wir in einer Reihe von Beiträgen, Es ist ratsam, den Speicherort für die Protokolle unserer Server und Workstations zu zentralisieren, Hierfür werden wir wie immer den Elastic-Agent verwenden, Dies ist derjenige, der die Protokolle sendet und in Elasticsearch speichert, damit Sie sie in schöner Form sehen können, verständlich und in der Lage sein, Abfragen aus Grafana zu stellen, sowie wenn wir PDF-Berichte erstellen möchten…
Wenn wir also unseren Elastic-Agent bereits als Dienst auf der, und sammelt die Sicherheitsereignisse der Ereignisanzeige, Wir müssen ein Gruppenrichtlinienobjekt erstellen, in dem wir die Überprüfung der Zugriffsprotokolle der Wechseldatenträger erzwingen, wie z. B. ein USB-Flash-Laufwerk, hierfür, seit “Sicherheitseinstellungen” > “Erweiterte Einstellungen für Überwachungsrichtlinien” > “Zugreifen auf Objekte”, Wir werden sowohl die Erfolge als auch die Fehler von “Überwachen von Wechseldatenträgern”.
Damit haben wir alles und die Ereignisse werden generiert und gespeichert, so dass wir wie immer von Grafana aus auf sie zugreifen können, aus einer Datenquelle, die wir für den Index konfiguriert haben, in dem Windows-Ereignisse gespeichert werden, sei es WinlogBeat-* oder Filebeat-* evtl.. Das werden wir haben, Erstellen Sie das Dashboard in Grafana nach Ihren Wünschen, je nachdem, was Sie sehen möchten.
Dieses Beispiel zeigt eine Zusammenfassung, nach dem Zeitraum des angegebenen Datums und kann auch nach Benutzer gefiltert werden, um insbesondere zu sehen, was jemand ausschließlich getan hat.
Unterhalb der Zusammenfassung konnten wir uns bereits die geöffneten Dateien ansehen, Nur was geöffnet ist. In der Lage zu sein, es in einem Zeitdiagramm zu sehen, Eine Nachschlagetabelle, Erstellen Sie eine Liste, welche Benutzer die meisten Dateien geöffnet haben, oder welche Dateien am offensten sind, sowie ein Sankey, um es visuell zu erzählen…
Gesamt, dass wir mit der folgenden DSL-Abfrage von Grafana oder von Kibana aus die Ergebnisse der geöffneten Dateien sehen könnten:
winlog.event_id: 4663 UND winlog.event_data. AccessMask (Zugriffsmaske): "01"
Wenn wir das Grafana-Dashboard etwas weiter herunterladen, finden wir die Dateien, die im ausgewählten Zeitraum geändert wurden, Wir können sie in der folgenden Abfrage finden:
winlog.event_id: 4663 UND winlog.event_data. AccessMask (Zugriffsmaske): "02"
Und am Ende dieses Grafana-Dashboards finden wir die Dateien, die gelöscht oder gelöscht wurden, Und das Gleiche, um diese Dateien zu finden, Wir müssen sie aus der folgenden Abfrage erstellen:
winlog.event_id: 4663 UND winlog.event_data. AccessMask (Zugriffsmaske): "0x10000"
Jetzt haben wir jeglichen Zugriff auf Dateien auf externen Laufwerken der Computer unserer Organisation gesammelt, Wir können die Kontrolle haben, Bewahren Sie sie für rechtliche Probleme auf, jeden Tag einen PDF-Bericht mit einer Zusammenfassung haben… Die Möglichkeiten sind vielfältig, Ich hoffe, Sie fanden es interessant und haben Sie ermutigt, alles unter Kontrolle zu halten, Ich schicke dir eine Umarmung, Möge es gut gehen!