Amigos de Inseguros !!!
Ya han pasado unos meses desde que comenzamos la serie de artículos sobre Netwrix Auditor 6.5.
Por los comentarios en las redes y foros al parecer es una herramienta que ha gustado a la comunidad.
A mi personalmente me gusta mucho y la uso en la organización en la que colaboro. Todas las noches recibimos unos correos con todos los cambios, y me permite controlar tanto los servidores Windows, Active Directory y unos servidores de ficheros.
En esta ocasión vamos a "trastear" con el módulo específico para servidores de ficheros.
Retomamos el primer artículo de la seria de Auditoría IT con Netwrix Auditor 6.5 para instalar el programa. Recuerda que podemos bajarnos un trial para 20 días completamente operativo.
Como es normal, el software analiza la información de registro sobre operaciones de ficheros que nos proporciona Windows, aumentando la capa de inteligencia con la configuración personalizada, reporting, alertas y demás opciones que ya hemos trabajado con Netwrix Auditor 6.5
Antes de configurar las opciones, vamos comprobar/Activar la auditoría de ficheros en nuestro servidor Windows 2012. Nos ubicamos en alguna carpeta compartida, y bajo propiedades, seguridad, avanzadas configuramos las opciones de auditoría para el grupo Todos.
Ahora que hemos definido el nivel de auditoría para nuestra carpeta concreta, tenemos que habilitar la Group Policy para que se efectúe el proceso de auditoría por parte de Windows. Recuerda que esto es común para todos los servers, independientemente del producto tipo Netwrix Auditor 6.5 que instalemos por encima.
Ahora desde el visor de eventos configuramos la política de retención y tamaño de los logs generados.
Como decía, hasta aquí, tenemos habilitado el servicio de auditoría de ficheros para nuestros servidores Windows, podemos comprobar como en el visor de eventos podemos observar los logs de acceso a los ficheros.
Imagina la problemática de cumplir unos requisitos de seguridad con este sistema, si en nuestro file-server tenemos millones de ficheros y usuarios haciendo operaciones a diario. Es aquí donde entra la parte de Netwrix Auditor 6.5 para ayudarnos a gestionar esta información.
Creamos un nuevo objeto gestionado del tipo colección de ordenadores e introducimos nuestro file-server.
En el caso de contar con una cabina NetApp o Emc, tenemos opciones especiales de integración. Para este caso voy a seleccionar mi servidor Windows, ya que la cabina que está por debajo mediante ISCSI no es ninguna de las mencionadas.
El propio asistente nos invita a seleccionar el grado de auditoría que queremos usar. Recuerda que podemos configurar distintos grados según el fichero, según el grado de "protección" que queremos implementar.
Una vez realizada la configuración, generamos una recolección de datos inicial, para ver la información que nos muestran los informes.
Si todo está bien configurado, el sistema nos presenta un informe con todos los cambios efectuados. En el caso de no haber configurado bien las opciones de auditoría de la carpeta, nos sugiere el nivel de detalle necesario, tanto para obtener toda la información, como para no saturar los eventos con información innecesaria.
Como puedes observar, nos presenta un resumen y un fichero de detalle. Muy útil para almacenar en nuestro sistema documental para investigar usos no deseados.
Si estás en un proceso de certificación PCI-DSS o similar, sin lugar a duda la posibilidad de hacer FIM, File Integrity Monitor será una de las características que deberás considerar para pasarla.
En entornos con varios administradores, en los que la gestión de los permisos la realizan distintas personas, es muy útil contar con una herramienta así para gestionar la correcta atribución de permisos a los recursos.
Desde el punto de vista de la seguridad, saber si algún empleado está intentando acceder a recursos no autorizados, es un punto fuerte para considerar la adquisición de este módulo.
Espero que os haya servidor de ayuda.
Gracias por leerme !!!