Aquest post és bastant curiós, ja que de manera gratuïta podem auditar els accessos als fitxers de l' organització, recollir aquests esdeveniments en i emmagatzemar-los a Elasticsearch, perquè, després de manera magistral el nostre Grafana ens permeti visualitzar senzillament els accessos. I veure qui va obrir un document, el va modificar o el va eliminar.

Si actualmente sirves tus ficheros a tus usuarios mediante servidores Windows y te gustaría saber qué sucede ahí adentro, seguramente conozcas que existe la posibilidad de auditar mediante una directiva o GPO los accesos a los ficheros, para ver quien hace qué. El problema es comprender esos datos, ya que en Windows deberíamos de tirar de Visor de eventos y para eso nos pegamos un tiro, ¿verdad? Així que, saquemos estos datos fuera. Sabemos que con el agente de Winlogbeat podemos recopilar eventos de una máquina Windows y almacenarlos en Elasticsearch, y cómo no Grafana está siempre ahí para echarnos una mano y visualizar esos datos de una manera más comprensiva.

Pues vamos a empezar yendo al grano, ya que tenemos un post bastante parecido, el de Auditoria de logon dels usuaris del Directori Actiu amb Elasticsearch i Grafana, on vam veure com desplegar la base o configurar Winlogbeat. Així que l'únic diferent que necessitem avui, és dir-li al nostre servidor de fitxers que auditi els accessos als fitxers.

Per habilitar l'auditoria en fitxers, això és, perquè en obrir un fitxer, modificar, o eliminar quedi auditada al Visor d'esdeveniments, el més còmode serà crear una GPO que apliquem al servidor de fitxers. I habilitar 'Auditar l'accés a objectes'’ (encerts i errors) des de “Directives” > “Configuració de Windows” > “Configuració de seguretat” > “Directives locals/Directives d'auditoria”.

Ara només ens queda habilitar l'auditoria a la carpeta que ens interessi i contingui les dades que volem supervisar. Ho farem des de les propietats de la carpeta > pestanya “Seguretat” > “Opciones avanzadas” > pestanya “Auditoria” > “Agregar”.

I aquí seleccionarem que s'apliqui a aquesta carpeta i al seu contingut, y el tipus de permisos que queremos auditar. Aceptamos y listo.

El que s'ha dit, ara si ya tenemos Winlogbeat en aquesta màquina recolectando los esdeveniments del Visor de sucesos podrem veure com en el índex de Elasticsearch ya empiezan a aparecer los esdeveniments de accés a los ficheros. ¡Poco más que empezar con Grafana! Y en Grafana también recordar que antes de fer el Dashboard tenemos que tener el Datasource contra Elasticsearch configurado, que lo hem vist en posts anteriors. 🙂

I res, en un periquete podréis crear un Dashboard, amb exemple Paneles de tipo Tabla que consulten els fitxadors que se tocan pels usuaris, os deixo les consultes que estic utilitzant per que no tardéis un minuto en tenir aquesta imatge que os dejo de exemple.

• Ficheros abiertos:

winlog.event_data. AccessMask: 0x20000

• Ficheros modificados:

winlog.event_id: 4663 AND message: *WriteAttributes* I NO winlog.event_data. ObjectName:*.tmp*

• Ficheros eliminados:

event.code: "4659"

Así podréis visualizar en tiempo real los accessos a ficheros en la teva empresa, com se pot filtrar per l'usuari i conèixer amb què fitxos treballa… o filtrar per fitxadors i veure qui lo accede… per descomptat podem ampliar el rang de tiempo hasta donde ens interessa, hacer informes, o bàsicament buscar al culpable de quan algú va perdre un fitxó i al final ningú va fue.

Bo, acordaros que al inicio os recomané un post, darle un repaso que tenemos un montón de esdeveniments que podem perseguir per saber quan sucede algo. Un abracito enorme, ¡¡disfrutar de la vida!!!