Auditoria de acesso a arquivos com Elasticsearch e Grafana
Este post é bastante curioso, uma vez que podemos auditar os acessos aos arquivos da organização gratuitamente, coletar esses eventos e armazená-los no Elasticsearch, Para quê, então de forma magistral nosso Grafana nos permite visualizar facilmente os acessos. E ver quem abriu um documento, modificou-o ou excluiu-o.
Si atualmente sirves tus ficheros a tus usuarios mediante servidores Windows y te gustaría saber qué sucede ahí adentro, seguramente conozcas que existe la posibilidad de auditar mediante una directiva o GPO los acessos a los ficheros, para ver quien hace qué. El problema es comprender esos datos, ya que en Windows deberíamos de tirar de Visor de eventos y para eso nos pegamos un tiro, verdade? Então, saquemos estes dados fuera. Sabemos que com o agente de Winlogbeat podemos compilar eventos de uma máquina Windows y armazenarlos em Elasticsearch, y como no Grafana está sempre ahí para echarnos uma mão e visualizar esses dados de uma maneira mais compreensiva.
Pues vamos a começar a ir al grano, ya que tenemos un post bastante parecido, el de Auditoria de logon de usuários do Active Directory com Elasticsearch e Grafana, donde ya vimos cómo desplegar la base o configurar Winlogbeat. Así que lo único diferente que necesitamos hoy, es decirle a nuestro servidor de ficheros que audite los accesos a los ficheros.
Para habilitar la auditoría en ficheros, Isso é, para que al abrir un archivo, modificar, o al eliminar quede auditado en el Visor de sucesos, lo más cómodo será crear una GPO que apliquemos al servidor de ficheros. Y habilitar el ‘Auditar el acceso a objetos’ (aciertos y errores) desde “Políticas” > “Configurações do Windows” > “Configurações de Segurança” > “Directivas locales/Directivas de auditoría”.
Ahora ya sólo nos queda habilitar la auditoria en la carpeta que nos interese y contenga los datos que queremos supervisar. Lo haremos desde las propiedades de la carpeta > cílio “Segurança” > “Opciones avanzadas” > cílio “Auditoria” > “Adicionar”.
Y aquí seleccionaremos que se aplique a esta carpeta y su contenido, y el tipo de permisos que queremos auditar. Nós aceitamos e pronto.
O que eu disse, ahora si ya tenemos Winlogbeat en esta máquina recolectando los eventos del Visor de sucesos podremos ver cómo en el índice de Elasticsearch ya empiezan a aparecer los eventos de accesos a los ficheros. ¡Poco más que empezar con Grafana! Y en Grafana también recordar que antes de hacer el Dashboard tenemos que tener el Datasource contra Elasticsearch configurado, que lo hemos visto en posts anteriores. 🙂
E nada, en un periquete podréis crear un Dashboard, con por ejemplo Paneles de tipo Tabla que consulten los ficheros que se tocan por los usuarios, os dejo las queries que estoy usando para que no tardéis un minuto en tener esta imagen que os dejo de ejemplo.
- Ficheros abiertos:
winlog.event_data.AccessMask: 0x20000
- Ficheiros modificados:
winlog.event_id: 4663 E MENSAGEM: *WriteAttributes* E NÃO winlog.event_data.ObjectName:*.tmp*
- Ficheiros eliminados:
event.code: "4659"
Assim poderão visualizar em tempo real os acessos a ficheiros na vossa empresa, como se pode filtrar por utilizador e saber com que ficheiros trabalha… ou filtrar por ficheiro e ver quem acede a ele… claro que podemos ampliar o intervalo de tempo até onde nos interessar, fazer relatórios, ou basicamente procurar o culpado de quando alguém apaga um ficheiro e no final ninguém foi.
Poço, lembrem-se que no início vos recomendei um post, dar-lhe uma vista de olhos, que temos um monte de eventos que podemos perseguir para saber quando algo acontece. Um beijinho enorme, !!!desfrutem da vida!!!










































