组织中通常不允许使用可移动存储设备, 您至少不应该能够连接 USB 闪存驱动器或可移动硬盘驱动器. 但确实，在例外情况下, 他们需要, 为此，通常使用允许的 USB 设备白名单定义 GPO 并应用于需要它们的用户/计算机. 但 ,你如何使用它们？?

很容易知道我们的用户访问了哪些文件或档案, 已修改或已删除, 正如我们已经在一些 上一篇. 在这种情况下，我们只想知道对文件或文件的访问 (或文件夹) 他们可能在可移动存储设备上使用, 笔式驱动器也是如此, USB 驱动器…

最后，所有内容都将收集在团队的 Event Viewer 中, 在 Security events 中, 我们将能够按事件 ID 进行搜索 4663 我们将拥有一切. 但正如我们已经知道的那样, 不得不在那里寻找东西是乏味的, 这就是为什么我们在一系列帖子中收集的原因, 建议集中存储我们的服务器和工作站的日志, 为此，我们将一如既往地使用 Elastic 代理, 它将是发送日志并将其存储在 Elasticsearch 中的对象, 这样你就能看到它们, 易于理解并能够从 Grafana 进行查询, 以及我们是否想要生成 PDF 报告…

因此，如果我们已经在, 并收集事件查看器的安全事件, 我们将不得不创建一个 GPO，我们将在其中强制审核可移动驱动器的访问日志, 例如 USB 闪存驱动器, 为此, 因为 “安全设置” > “高级审核策略设置” > “访问对象”, 我们将标记 “审核可移动存储”.

这样，我们将拥有一切，事件将开始生成和存储, 因此，我们将能够一如既往地从 Grafana 访问它们, 从我们针对保存 Windows 事件的索引配置的 Datasource, 可能是 WinlogBeat-* 还是 Filebeat-*. 我们将拥有它, 根据您的喜好在 Grafana 中创建仪表板, 取决于你想看到什么.

此示例显示了一个摘要, 按指定日期的时间段，也可以按用户过滤, 特别了解某人专门做了什么.

在摘要下方，我们已经可以查看打开的文件, 仅打开的内容. 能够在时间图中看到它, 查找表, 列出打开的文件最多的用户, 或哪些文件最开放, 以及一个 Sankey 来直观地关联它…

总, 通过以下 DSL 查询，我们可以从 Grafana 或 Kibana 看到打开文件的结果:

winlog.event_id: 4663 和 winlog.event_data。访问掩码: "01"

如果我们进一步下载 Grafana 仪表板，我们将找到在所选时间段内修改的文件, 我们可以从以下查询中找到它们:

winlog.event_id: 4663 和 winlog.event_data。访问掩码: "02"

在此 Grafana 仪表板的末尾，我们可以找到已删除或删除的文件, 而且, 为了找到这些文件, 我们必须从以下查询中生成它们:

winlog.event_id: 4663 和 winlog.event_data。访问掩码: "0x10000"

现在我们已经收集了对我们组织计算机的外部驱动器上文件的任何访问权限, 我们可以控制, 保存它们以备法律问题之用, 每天都有一份 PDF 报告及其摘要… 可能性很多, 我希望你觉得它很有趣，并鼓励你控制一切, 我给你一个拥抱, 愿一切顺利!