Este post es bastante curioso, ya que de manera gratuita podemos auditar los accesos a los ficheros de la organización, recoger esos eventos en y almacenarlos en Elasticsearch, para que, Gero, modu ikaragarrian, gure Grafana-k sarrera guztiak erraz ikus ditzaten aukera emango digu. Eta ikusi nor ireki zuen dokumentu bat, aldatu zuen edo ezabatu zuen.

Si actualmente sirves tus ficheros a tus usuarios mediante servidores Windows y te gustaría saber qué sucede ahí adentro, seguramente conozcas que existe la posibilidad de auditar mediante una directiva o GPO los accesos a los ficheros, para ver quien hace qué. El problema es comprender esos datos, ya que en Windows-ek deberíamos de tirar de Visor de eventos y para eso nos pegamos un tiro, ¿verdad? Beraz, saquemos estos datos fuera. Sabemos que con el agente de Winlogbeat podemos recopilar eventos de una máquina Windows y almacenarlos en Elasticsearch, y cómo no Grafana está siempre ahí para echarnos una mano y visualizar esos datos de una manera más comprensiva.

Pues vamos a empezar yendo al grano, ya que tenemos un post bastante parecido, horietakoa Auditoría de logon de los usuarios del Directorio Activo con Elasticsearch y Grafana, donde ya vimos cómo desplegar la base o configurar Winlogbeat. Así que lo único diferente que necesitamos hoy, es decirle a nuestro servidor de ficheros que audite los accesos a los ficheros.

Para habilitar la auditoría en ficheros, hau da, para que al abrir un archivo, modificar, o al eliminar quede auditado en el Visor de sucesos, lo más cómodo será crear una GPO que apliquemos al servidor de ficheros. Y habilitar el 'Auditar el acceso a objetos’ (aciertos y errores) etik “Politikak” > “Configuración de Windows” > “Configuración de seguridad” > “Directivas locales/Directivas de auditoría”.

Ahora ya sólo nos queda habilitar la auditoria en la carpeta que nos interese y contenga los datos que queremos supervisar. Lo haremos desde las propiedades de la carpeta > fitxa “Segurtasuna” > “Opciones avanzadas” > fitxa “Auditoria” > “Agregar”.

Y aquí seleccionaremos que se aplique a esta carpeta y su contenido, eta baimenen mota auditatu nahi duguna. Onartzen dugu eta prest.

Esan dut, orain bai, Winlogbeat daukagu makina honetan gertakari-bistaratik gertaerak biltzen, eta ikusiko dugu nola Elasticsearcheko indizean dagoeneko agertzen hasten diren fitxategietako sarbide gertaerak. Grafanarekin hasteagatik gutxi falta da! Eta Grafanan ere gogoratu behar da Dashboard-a egin aurretik Datasource Elasticsearch-era konfiguratuta izan behar dugula, aurreko postetan ikusi duguna. 🙂

Eta ezer, momento batean Dashboard bat sor dezakezue, adibidez, erabiltzaileen ukitutako fitxategiak kontsultatzen dituzten Taula motako Panela batekin, ematen dizkizuet erabiltzen ari naizen query-ak, minutu bateko atzerapenik gabe ateratzeko adibidez agertzen dudan irudia.

• Irekitako fitxategiak:

winlog.event_data.AccessMask: 0x20000

• Aldatutako fitxategiak:

winlog.event_id: 4663 ETA mezua: *WriteAttributes* ETA EZ winlog.event_data.ObjectName:*.tmp*

• Ezabatutako fitxategiak:

event.code: "4659"

Horrela enpresako fitxategietara sartzeak denbora errealean ikus ditzakezue, nola iragazi dezakegun erabiltzailearen arabera eta zein fitxategirekin lan egiten duen jakin… edo fitxategiaren arabera iragazi eta nork sartzen duen ikusi… jakina, interesatzen zaigun arte denbora tartea zabaldu dezakegu, txostenak egin, edo oinarrizko moduan nor da fitxategi bat ezabatzen duenean erruduna bilatu eta azkenean inor ez zela izan jakiteko.

Onena, gogoratu hasieran post bat gomendatu nizuela, begiratu, ekitaldi ugari dauzkagu gertatzen denean jakiteko jarraitu ahal izateko. Besarkada handi bat, Bizitza gozatu!!!