Auditando los accesos a dispositivos de almacenamiento extraíbles

Habitualmente no está permitido el uso de dispositivos de almacenamiento extraíble en las organizaciones, no se debería al menos poder conectar un pendrive USB o discos duros extraíbles. Pero es cierto que en excepciones, se necesitan, y para ello se suele definir una GPO con una lista blanca de dispositivos USB permitidos y se aplican a los usuarios/equipos que los necesiten. Pero ,¿Qué uso hacen de ellos?

Auditoría de logon de los usuarios del Directorio Activo con Elasticsearch y Grafana

Algo muy común que nos suelen pedir es la posibilidad de conocer los logons y demás información interesante que pueda generar un usuario. En este post veremos cómo visualizar datos tan interesantes como: cuándo se han logueado, cuándo han cerrado la sesión, intentos de inicio de sesión incorrectos, cuándo se ha bloqueado un equipo, o desbloqueado, o cuándo le ha saltado el salvapantallas o lo han desactivado…

Redireccionando eventos del Visor de Sucesos de equipos Windows a Elasticsearch con Winlogbeat y visualizando con Grafana

Bien, una vez tenemos ya montada nuestra plataforma con Elasticsearch, Logstash y Kibana, vamos en este primer post a analizar los eventos del Visor de Sucesos de nuestros equipos Windows mediante Winlogbeat! Instalaremos el pequeño agente y enviaremos los eventos que decidamos a Logstash para tratarlos y almacenarlos en Elasticsearch, y posteriormente los visualizaremos con Grafana!