リムーバブル ストレージ デバイスの使用は、通常、組織では許可されていません, 少なくともUSBフラッシュドライブやリムーバブルハードドライブを接続できないようにする必要があります. しかし、例外的には, 彼らは必要です, この目的のために、GPOは通常、許可されたUSBデバイスのホワイトリストを使用して定義され、それらを必要とするユーザー/コンピューターに適用されます. だがしかし ,どのように使用しますか??

ユーザーがアクセスしたファイルやアーカイブを知るのは非常に簡単です, 変更または削除, すでにいくつかで見たように 前の投稿. この場合、ファイルまたはファイルへのアクセスのみを知りたいです (またはフォルダ) リムーバブルストレージデバイスで使用した可能性があるもの, ペンドライブも同様です, USBドライブ…

最終的に、すべてがチームのイベントビューアに収集されます, in セキュリティイベント, イベントIDで検索できるようになります 4663 そして、私たちはすべてを手に入れることができます. しかし、私たちがすでに知っているように, そこで物を探すのは面倒です, そのため、一連の投稿で収集しています, サーバーとワークステーションのログを保存する場所を一元化することをお勧めします, このために、いつものようにElasticエージェントを使用します, これは、ログを送信してElasticsearchに保存するものです, あなたが美しいでそれらを見ることができるように, 理解しやすく、Grafanaからクエリを実行できる, また、PDFレポートを生成する場合も同様です…

したがって、Elasticエージェントがすでにサービスとして実行されている場合、, イベントビューアのセキュリティイベントを収集します, リムーバブルドライブのアクセスログを強制的に監査するGPOを作成する必要があります, USBフラッシュドライブなど, こちらは, から “セキュリティ設定” > “監査ポリシーの詳細設定” > “オブジェクトへのアクセス”, の成功とエラーの両方をマークします “リムーバブルストレージの監査”.

それにより、すべてが手に入り、イベントが生成されて保存され始めます, そのため、いつものようにGrafanaからそれらにアクセスできるようになります, Windowsイベントが保存されるインデックスに対して構成したデータソースから, WinlogBeat-* または Filebeat-* かもしれません. 私たちはそれを持っています, お好みに合わせてGrafanaでダッシュボードを作成します, 見たいものによります.

次の例は、サマリーを示しています, 指定された日付の期間によって、また、ユーザーによってフィルタリングすることができます, 特に、誰かが独占的に何をしたかを見るために.

概要の下には、開いているファイルをすでに表示することができます, 開いているもののみ. 時間グラフで見ることができる, ルックアップテーブル, どのユーザーが最も多くのファイルを開いたかをトップにします, または、最も開いているファイルはどれですか, それを視覚的に関連付けるためのサンキーだけでなく、…

トータル, 次のDSLクエリを使用すると、GrafanaまたはKibanaから開いているファイルの結果を確認できました:

winlog.event_id: 4663 そしてwinlog.event_data。アクセスマスク: "01"

Grafanaダッシュボードをもう少しダウンロードすると、選択した期間に変更されたファイルが見つかります, 次のクエリからそれらを見つけることができます:

winlog.event_id: 4663 そしてwinlog.event_data。アクセスマスク: "02"

そして、このGrafanaダッシュボードの最後に、削除されたファイルまたは削除されたファイルを見つけることができます, そして同じです, これらのファイルを見つけるには, 次のクエリから作成する必要があります:

winlog.event_id: 4663 そしてwinlog.event_data。アクセスマスク: "010000倍"

これで、組織のコンピューターの外付けドライブ上のファイルへのアクセスが収集されました, 私たちはコントロールすることができます, 法的な問題のために取っておく, 毎日、その概要が記載されたPDFレポートがあります… 可能性はたくさんあります, あなたがそれを面白く感じ、すべてを制御下に置くように励ましてくれたことを願っています, ハグを送ります, うまくいきますように!