Aquest post és bastant curiós, ja que de manera gratuïta podem auditar els accessos als fitxers de l' organització, recollir aquests esdeveniments en i emmagatzemar-los a Elasticsearch, perquè, després de manera magistral el nostre Grafana ens permeti visualitzar senzillament els accessos. I veure qui va obrir un document, el va modificar o el va eliminar.

Si actualmente sirves tus ficheros a tus usuarios mediante servidores Windows y te gustaría saber qué sucede ahí adentro, seguramente conozcas que existe la posibilidad de auditar mediante una directiva o GPO los accesos a los ficheros, para ver quien hace qué. El problema es comprender esos datos, ya que en Windows deberíamos de tirar de Visor de eventos y para eso nos pegamos un tiro, ¿verdad? Així que, saquemos estos datos fuera. Sabemos que con el agente de Winlogbeat podemos recopilar eventos de una máquina Windows y almacenarlos en Elasticsearch, y cómo no Grafana está siempre ahí para echarnos una mano y visualizar esos datos de una manera más comprensiva.

Pues vamos a empezar yendo al grano, ya que tenemos un post bastante parecido, el de Auditoria de logon dels usuaris del Directori Actiu amb Elasticsearch i Grafana, donde ya vimos cómo desplegar la base o configurar Winlogbeat. Así que lo único diferente que necesitamos hoy, es decirle a nuestro servidor de ficheros que audite los accesos a los ficheros.

Para habilitar la auditoría en ficheros, això és, para que al abrir un archivo, modificar, o al eliminar quede auditado en el Visor de sucesos, lo más cómodo será crear una GPO que apliquemos al servidor de ficheros. Y habilitar el ‘Auditar el acceso a objetos’ (aciertos y errores) des de “Directives” > “Configuració de Windows” > “Configuració de seguretat” > “Directivas locales/Directivas de auditoría”.

Ahora ya sólo nos queda habilitar la auditoria en la carpeta que nos interese y contenga los datos que queremos supervisar. Lo haremos desde las propiedades de la carpeta > pestanya “Seguretat” > “Opciones avanzadas” > pestanya “Auditoria” > “Agregar”.

Y aquí seleccionaremos que se aplique a esta carpeta y su contenido, y el tipus de permisos que queremos auditar. Aceptamos y listo.

El que s'ha dit, ara si ya tenemos Winlogbeat en aquesta màquina recolectando los esdeveniments del Visor de sucesos podrem veure com en el índex de Elasticsearch ya empiezan a aparecer los esdeveniments de accés a los ficheros. ¡Poco más que empezar con Grafana! Y en Grafana también recordar que antes de fer el Dashboard tenemos que tener el Datasource contra Elasticsearch configurado, que lo hem vist en posts anteriors. 🙂

I res, en un periquete podréis crear un Dashboard, amb exemple Paneles de tipo Tabla que consulten els fitxadors que se tocan pels usuaris, os deixo les consultes que estic utilitzant per que no tardéis un minuto en tenir aquesta imatge que os dejo de exemple.

• Ficheros abiertos:

winlog.event_data. AccessMask: 0x20000

• Ficheros modificados:

winlog.event_id: 4663 AND message: *WriteAttributes* I NO winlog.event_data. ObjectName:*.tmp*

• Ficheros eliminados:

event.code: "4659"

Así podréis visualizar en tiempo real los accessos a ficheros en la teva empresa, com se pot filtrar per l'usuari i conèixer amb què fitxos treballa… o filtrar per fitxadors i veure qui lo accede… per descomptat podem ampliar el rang de tiempo hasta donde ens interessa, hacer informes, o bàsicament buscar al culpable de quan algú va perdre un fitxó i al final ningú va fue.

Bo, acordaros que al inicio os recomané un post, darle un repaso que tenemos un montón de esdeveniments que podem perseguir per saber quan sucede algo. Un abracito enorme, ¡¡disfrutar de la vida!!!