Auditing des Dateizugriffs mit Elasticsearch und Grafana

Dieser Beitrag ist ziemlich neugierig., da wir den Zugriff auf die Dateien der Organisation kostenlos prüfen können, Sammeln Sie diese Ereignisse und speichern Sie sie in Elasticsearch, für, Dann ermöglicht uns unser Grafana auf meisterhafte Weise, die Zugänge einfach zu visualisieren. Und sehen Sie, wer ein Dokument geöffnet hat, geändert oder gelöscht.

Wenn Sie Ihre Dateien derzeit über Windows-Server für Ihre Benutzer bereitstellen und wissen möchten, was darin passiert, Sicherlich wissen Sie, dass es die Möglichkeit gibt, den Zugriff auf Dateien mittels Direktive oder GPO zu prüfen, um zu sehen, wer was macht. Das Problem besteht darin, diese Daten zu verstehen., denn in Windows sollten wir die Ereignisanzeige ziehen und dafür schießen wir uns selbst, Recht? so, Lassen Sie uns diese Daten herausholen. Wir wissen, dass wir mit dem Winlogbeat-Agent Ereignisse von einem Windows-Computer sammeln und in Elasticsearch speichern können, und natürlich ist Grafana immer da, um uns zu helfen und diese Daten umfassender zu visualisieren.

Fangen wir also damit an, auf den Punkt zu kommen., da wir einen ganz ähnlichen Beitrag haben, dass die Active Directory-Benutzeranmeldungsaudit mit Elasticsearch und Grafana, wo wir bereits gesehen haben, wie man die Basis bereitstellt oder Winlogbeat konfiguriert. Also das einzige, was wir heute anders brauchen, ist, unseren Dateiserver anzuweisen, Dateizugriffe zu überwachen.

So aktivieren Sie die Überwachung von Dateien, nämlich, damit, wenn Sie eine Datei öffnen, Ändern, oder wenn es gelöscht wird, wird es in der Ereignisanzeige überwacht, Am bequemsten ist es, ein GPO zu erstellen, das wir auf den Dateiserver anwenden. und aktivieren Sie die ‚Überwachen Sie den Zugriff auf Objekte‘ (Treffer und Fehlschläge) von „Richtlinien“ > „Windows-Einstellungen“ > „Sicherheitseinstellungen“ > „Lokale Richtlinien/Audit-Richtlinien“.

Jetzt müssen wir nur noch das Audit in dem Ordner aktivieren, der uns interessiert und die Daten enthält, die wir überwachen möchten. Wir werden dies über die Eigenschaften des Ordners tun > Flansch „Sicherheit“ > „erweiterte Optionen“ > Flansch „Prüfung“ > „hinzufügen“.

Und hier werden wir uns für diesen Ordner und seinen Inhalt entscheiden, und die Art der Berechtigungen, die wir prüfen möchten. Wir akzeptieren und bereit.

ich sagte:, Wenn Winlogbeat jetzt bereits auf diesem Computer die Ereignisse aus der Ereignisanzeige sammelt, können wir sehen, wie die Dateizugriffsereignisse bereits im Elasticsearch-Index erscheinen. Wenig mehr, um mit Grafana zu beginnen! Und denken Sie in Grafana auch daran, dass wir vor dem Erstellen des Dashboards die Datenquelle für Elasticsearch konfigurieren müssen, die wir in früheren Beiträgen gesehen haben. 🙂

und nichts, im Handumdrehen können Sie ein Dashboard erstellen, mit beispielsweise tabellenartigen Panels, die die Dateien konsultieren, die von Benutzern berührt werden, Ich hinterlasse Ihnen die Abfragen, die ich verwende, damit Sie sich keine Minute Zeit nehmen, um dieses Bild zu haben, das ich Ihnen als Beispiel hinterlasse.

  • Dateien öffnen:
winlog.event_data.AccessMask: 0x20000

  • Geänderte Dateien:
winlog.event_id: 4663 UND-Nachricht: *WriteAttributes* UND NICHT winlog.event_data.ObjectName:*.tmp*

  • gelöschte Dateien:
event.code: "4659"

So können Sie in Echtzeit den Zugriff auf Dateien in Ihrem Unternehmen einsehen, wie Sie nach Benutzern filtern können und wissen, mit welchen Dateien Sie arbeiten… oder nach Datei filtern und sehen, wer darauf zugreift… Natürlich können wir den Zeitraum erweitern, wo wir interessiert sind, Berichte machen, oder im Grunde nach dem Übeltäter suchen, wenn jemand eine Datei löscht und am Ende niemand war.

gut, Denken Sie daran, dass ich am Anfang einen Beitrag empfohlen habe, Zur Erinnerung, dass wir eine Reihe von Ereignissen haben, die wir verfolgen können, um zu wissen, wann etwas passiert. Eine dicke Umarmung, das Leben genießen!!!

Hector Herrero