O uso de dispositivos de armazenamento removíveis geralmente não é permitido nas organizações, você não deve pelo menos ser capaz de conectar uma unidade flash USB ou discos rígidos removíveis. Mas é verdade que em exceções, Eles são necessários, e para esse fim, um GPO geralmente é definido com uma lista de permissões de dispositivos USB permitidos e aplicado aos usuários/computadores que precisam deles. Mas ,Como você os usa??

É muito fácil saber quais arquivos ou arquivos nossos usuários acessaram, Modificado ou removido, como já vimos em alguns Post Anterior. Neste caso, queremos apenas saber os acessos aos ficheiros ou ficheiros (ou pastas) que possam ter utilizado em dispositivos de armazenamento amovíveis, assim como pen drives, Unidades USB…

No final, tudo será recolhido no Visualizador de Eventos das equipas, em Eventos de segurança, poderemos pesquisar pelo ID do Evento 4663 E teremos tudo. Mas como já sabemos, É tedioso ter que procurar coisas lá, É por isso que como estamos coletando em uma série de posts, É aconselhável centralizar onde os logs de nossos servidores e estações de trabalho são armazenados, para isso usaremos o agente elástico como sempre, qual será o único a enviar os logs e armazená-los no Elasticsearch, para que você possa vê-los em belas, compreensível e ser capaz de fazer consultas de Grafana, bem como se quisermos gerar relatórios em PDF…

Portanto, se já temos nosso agente elástico funcionando como um serviço no, e coleta os eventos de segurança do Visualizador de Eventos, teremos que criar um GPO onde forçaremos os logs de acesso das unidades removíveis a serem auditados, como uma unidade flash USB, por isso, desde “Configurações de Segurança” > “Configurações avançadas de política de auditoria” > “Acessando objetos”, Assinalaremos os acertos e os erros de “Auditar o armazenamento removível”.

Com isso teremos tudo e os eventos começarão a ser gerados e armazenados, assim poderemos acessá-los como sempre a partir de Grafana, de uma fonte de dados que configuramos em relação ao índice onde os eventos do Windows são salvos, seja WinlogBeat-* ou Filebeat-* possivelmente. Teremos isso, crie o Dashboard no Grafana ao seu gosto, dependendo do que você quer ver.

Este exemplo mostra um resumo, pelo período da data indicada e também pode ser filtrado pelo utilizador, para ver, em particular, o que alguém fez exclusivamente.

Abaixo do resumo já pudemos visualizar os arquivos abertos, Apenas o que está aberto. Ser capaz de vê-lo em um gráfico de tempo, Uma tabela de pesquisa, Faça um top de quais usuários abriram a maioria dos arquivos, ou quais arquivos são os mais abertos, bem como um Sankey para relacioná-lo visualmente…

Total, que com a seguinte consulta DSL poderíamos de Grafana ou de Kibana ver os resultados dos arquivos abertos:

winlog.event_id: 4663 E winlog.event_data. Máscara de Acesso: "01"

Se baixarmos o painel do Grafana um pouco mais, encontraremos os arquivos que foram modificados no período selecionado, Podemos encontrá-los a partir da seguinte consulta::

winlog.event_id: 4663 E winlog.event_data. Máscara de Acesso: "02"

E no final deste Grafana Dashboard podemos encontrar os arquivos que foram excluídos ou excluídos, E o mesmo, a fim de encontrar esses arquivos, devemos fazê-los a partir da seguinte consulta:

winlog.event_id: 4663 E winlog.event_data. Máscara de Acesso: "0x10000"

Agora recolhemos qualquer acesso a ficheiros em unidades externas dos computadores da nossa organização, podemos ter controlo, Guarde-os para questões legais, ter um relatório PDF com o seu resumo todos os dias… As possibilidades são muitas, Espero que tenha achado interessante e incentivado a manter tudo sob controle, Eu te mando um abraço, Que corra bem!