L'uso di dispositivi di archiviazione rimovibili di solito non è consentito nelle organizzazioni, non dovresti almeno essere in grado di collegare un'unità flash USB o dischi rigidi rimovibili. Ma è vero che nelle eccezioni, Sono necessari, e a questo scopo un GPO viene solitamente definito con una whitelist di dispositivi USB consentiti e applicato agli utenti/computer che ne hanno bisogno. Ma ,Come si usano??

È molto facile sapere a quali file o archivi hanno avuto accesso i nostri utenti, Modificato o rimosso, come abbiamo già visto in alcuni Messaggio precedente. In questo caso, vogliamo solo conoscere gli accessi ai file o ai file (o cartelle) che potrebbero aver utilizzato su dispositivi di archiviazione rimovibili, così come le pen drive, Chiavette USB…

Alla fine, tutto verrà raccolto nel Visualizzatore Eventi delle squadre, in Eventi di sicurezza, saremo in grado di cercare in base all'ID evento 4663 E avremo tutto. Ma come già sappiamo, È noioso dover cercare le cose lì, Ecco perché come stiamo raccogliendo in una serie di post, Si consiglia di centralizzare dove sono archiviati i log dei nostri server e workstation, per questo utilizzeremo l'agente elastico come sempre, che sarà colui che invierà i log e li conserverà in Elasticsearch, in modo che tu possa vederli in bellissime, comprensibile ed essere in grado di effettuare query da Grafana, così come se vogliamo generare report PDF…

Quindi, se abbiamo già il nostro agente elastico in esecuzione come servizio sul, e raccoglie gli eventi di sicurezza del Visualizzatore eventi, dovremo creare un GPO in cui forzeremo l'audit dei registri di accesso delle unità rimovibili, come un'unità flash USB, per questo, poiché “Impostazioni di sicurezza” > “Impostazioni avanzate dei criteri di controllo” > “Accesso agli oggetti”, Segneremo sia i successi che gli errori di “Controllare gli archivi rimovibili”.

Con ciò avremo tutto e gli eventi inizieranno a essere generati e memorizzati, quindi potremo accedervi come sempre da Grafana, da un'origine dati configurata in base all'indice in cui vengono salvati gli eventi di Windows, che si tratti di WinlogBeat-* o Filebeat-* possibilmente. Avremo questo, crea la Dashboard in Grafana a tuo piacimento, a seconda di ciò che si desidera vedere.

Questo esempio mostra un riepilogo, dal periodo della data indicata e potrebbe anche essere filtrato dall'utente, per vedere in particolare cosa qualcuno ha fatto esclusivamente.

Sotto il riepilogo potremmo già visualizzare i file aperti, Solo ciò che è aperto. Essere in grado di vederlo in un grafico temporale, Una tabella di ricerca, Crea un top di quali utenti hanno aperto il maggior numero di file, o quali sono i file più aperti, così come un Sankey per raccontarlo visivamente…

Totale, che con la seguente query DSL potremmo da Grafana o da Kibana vedere i risultati dei file aperti:

winlog.event_id: 4663 E winlog.event_data. Maschera di accesso: "01"

Se scarichiamo un po' più avanti la dashboard di Grafana, troveremo i file che sono stati modificati nel periodo selezionato, Possiamo trovarli dalla seguente query:

winlog.event_id: 4663 E winlog.event_data. Maschera di accesso: "02"

E alla fine di questa Grafana Dashboard possiamo trovare i file che sono stati eliminati o eliminati, E lo stesso, Per trovare questi file, dobbiamo farli dalla seguente query:

winlog.event_id: 4663 E winlog.event_data. Maschera di accesso: "0x10000"

Ora abbiamo raccolto qualsiasi accesso ai file su unità esterne dei computer della nostra organizzazione, possiamo avere il controllo, Conservali per problemi legali, avere un rapporto PDF con il suo riepilogo ogni giorno… Le possibilità sono molteplici, Spero che tu l'abbia trovato interessante e ti abbia incoraggiato a tenere tutto sotto controllo, Ti mando un abbraccio, Che vada bene!