Audit de l’accès aux périphériques de stockage amovibles
L’utilisation de périphériques de stockage amovibles n’est généralement pas autorisée dans les organisations, vous ne devriez au moins pas être en mesure de connecter une clé USB ou des disques durs amovibles. Mais il est vrai que dans les exceptions, Ils sont nécessaires, et à cette fin, un GPO est généralement défini avec une liste blanche de périphériques USB autorisés et appliqué aux utilisateurs/ordinateurs qui en ont besoin. Mais ,Comment les utilisez-vous ??
Il est très facile de savoir à quels fichiers ou archives nos utilisateurs ont accédé, Modifié ou supprimé, Comme nous l’avons déjà vu dans certains Article précédent. Dans ce cas, nous voulons seulement connaître les accès aux fichiers ou aux fichiers (ou des dossiers) qu’ils ont peut-être utilisés sur des périphériques de stockage amovibles, tout comme les clés USB, Clés USB…
Au final, tout sera collecté dans l’Event Viewer des équipes, dans Evénements de sécurité, nous pourrons effectuer une recherche par l’ID de l’événement 4663 Et nous aurons tout. Mais comme nous le savons déjà,, Il est fastidieux de devoir y chercher des choses, C’est pourquoi, comme nous le rassemblons dans une série d’articles, Il est conseillé de centraliser l’endroit où sont stockés les journaux de nos serveurs et postes de travail, pour cela, nous utiliserons l’agent Elastic comme toujours, qui sera celui qui enverra les journaux et les stockera dans Elasticsearch, afin que vous puissiez les voir en belle, compréhensible et être capable de faire des requêtes à partir de Grafana, ainsi que si nous voulons générer des rapports PDF…
Donc, si notre agent Elastic s’exécute déjà en tant que service sur le, et collecte les événements de sécurité de l’Observateur d’événements, nous devrons créer un GPO où nous forcerons l’audit des journaux d’accès des disques amovibles, comme une clé USB, pour cela, depuis “Paramètres de sécurité” > “Paramètres de politique d’audit avancés” > “Accès aux objets”, Nous marquerons à la fois les succès et les erreurs de “Audit du stockage amovible”.
Avec cela, nous aurons tout et les événements commenceront à être générés et stockés, nous pourrons donc y accéder comme toujours depuis Grafana, à partir d’une source de données que nous avons configurée par rapport à l’index où les événements Windows sont enregistrés, que ce soit WinlogBeat-* ou Filebeat-* éventuellement. Nous l’aurons, créer le tableau de bord dans Grafana à votre goût, en fonction de ce que vous voulez voir.
Cet exemple présente un résumé, par la période de la date indiquée et il peut également être filtré par utilisateur, pour voir en particulier ce que quelqu’un a fait en exclusivité.
En dessous du résumé, nous pouvions déjà voir les fichiers ouverts, Seulement ce qui est ouvert. Pouvoir le voir dans un graphique temporel, Une table de correspondance, Dressez le dessus des utilisateurs qui ont ouvert le plus de fichiers, ou quels fichiers sont les plus ouverts, ainsi qu’un Sankey pour le raconter visuellement…
Total, qu’avec la requête DSL suivante, nous pourrions de Grafana ou de Kibana voir les résultats des fichiers ouverts:
winlog.event_id: 4663 ET winlog.event_data. Masque d’accès: "01"
Si nous téléchargeons le tableau de bord Grafana un peu plus loin, nous trouverons les fichiers qui ont été modifiés au cours de la période sélectionnée, Nous pouvons les trouver à partir de la requête suivante:
winlog.event_id: 4663 ET winlog.event_data. Masque d’accès: "02"
Et à la fin de ce tableau de bord Grafana, nous pouvons trouver les fichiers qui ont été supprimés ou supprimés, Et la même chose, afin de retrouver ces fichiers, Nous devons les faire à partir de la requête suivante:
winlog.event_id: 4663 ET winlog.event_data. Masque d’accès: "0x10000"
Maintenant, nous avons collecté tout accès aux fichiers sur les disques externes des ordinateurs de notre organisation, Nous pouvons avoir le contrôle, Gardez-les pour des questions juridiques, disposer d’un rapport PDF avec son résumé tous les jours… Les possibilités sont nombreuses, J’espère que vous l’avez trouvé intéressant et que vous vous êtes encouragé à tout garder sous contrôle, Je t’envoie un câlin, Puisse-t-il bien se passer!