Auditoria de acceso a ficheros

Buenas; Me gustaría saber que utilizáis vosotros para auditar el acceso y/o modificación a ficheros y carpetas en NTFS. Gracias de antemano. Un saludo :-)

▶ Responde a esto

Respuestas a esta discusión

Permalink Responder para maniattico el noviembre 12, 2009 a las 11:14pm: Pues yo utilizo la auditoría de ficheros que trae Windows 2003; ▶ Responde a esto

Permalink Responder para Iñaki R. el noviembre 13, 2009 a las 10:21am: También puedes usar ossec. A ver si saco algo de tiempo y monto una charlita sobre el tema.

Saludos; ▶ Responde a esto

Permalink Responder para pepelujl el noviembre 13, 2009 a las 10:28am: Buenas;

Gracias a los dos por la contestación. La auditoria que trae Windows 2003 es bastante espesa de gestionar y genera multitud de logs poco manejables. Algún colega ya me hablo de ossec, estaría bien que alguien que lo haya probado o lo utilice comente su experiencia. También me han hablado de osiris. También me estoy planteando mover los ficheros a ext3 y utilizar auditd. ¿Que os parece?. ¿Nadie más tiene esa necesidad?.

Un saludo :-); ▶ Responde a esto

Permalink Responder para maniattico el noviembre 13, 2009 a las 10:54am: Ojalá saques tiempo. Seguro que a muchos como yo nos vendría estupendo ;)

Iñaki R. dijo:
También puedes usar ossec. A ver si saco algo de tiempo y monto una charlita sobre el tema.
Saludos; ▶ Responde a esto

Permalink Responder para Chewieip el noviembre 13, 2009 a las 1:57pm: Ahora que habláis de esto, en la discusión de certificiones Javito ha colgado unos cuantos pdf's de MCSE donde se habla sobre el tema.

Si alguien tiene experiencia, yo me estoy poniendo ahora mismo en ello, que vaya colgando sus progresos o un pequeño manual. :P; ▶ Responde a esto

Permalink Responder para Javito el noviembre 13, 2009 a las 2:34pm: Buenas, la auditoria de objetos de Windows 2003, puede parecer muy pesada, sobretodo por que los logs que genera no estan muy bien gestionados por decir algo.
la auditorio sobre objetos, en un entorno windows con AD, debe de estar muy bien planteada y se debe focalizar muy bien los objetos a auditar, debido a que esto supone una carga de trabajo al servidor, que puede llegar a ser perjudicial,
no es lo mismo, auditar el acceso a archivos del depto de RRHH, que auditar el acceso a los archivos del depto de recepcion, por decir algo.
ya que los datos contenidos en ellos son de diferente indole, para los de rrhh debemos cumplir LOPD y los datos hay contenidos son de caracter personal.
ni que decir tiene, que antes de auditar debemos tener una buena politica de permisos NTFS para que nadie acceda a donde no debe, luego ya podemos auditar para comprobar intentos de acceso no permitidos por ejemplo.

Yo por ejemplo, al tener los permisos NTFS bien configurados, solo audito los intentos incorrectos de acceder a la carpeta, en el caso de RRHH, de todos los usuarios, esto que me dice, quien ha intentado entrar, nadie va a poder, pero si se quien le ha dado doble click para entrar.

la auditoria de objetos (archivos, inicios de sesion, usuarios) es una tarea que nos permite 2 variantes, comprobar si los requerimientos de nuestro sistema son los correctos, que no esta ni sobredimensionado ni se queda corto, para esto debemos contar tambien con los contadores de rendimiento, muy importante.
y descubrir si tenemos alguna oveja negra dentro de nuestra organizacion, para este ultimo caso recomiendo tambien, por que me ha tocado, realizar analisis del trabajo de los "supuestos" traidores, pero eso ya da para otra larga conversacion.

En definitiva, yo considero que con los permisos bien puestos y la auditoria de windows es suficiente, eso si para maquear la auditoria hay que probar mucho mucho

Hablamos.

Un Saludo; ▶ Responde a esto

Permalink Responder para Iñaki R. el noviembre 13, 2009 a las 8:53pm: Javito voy a ficharte para dar charlas para el portal xDD El tema de los logs en windows es algo que hecho mucho en falta la verdad. A veces, todos esos eventos parecen completamente inútiles. Si realmente os interesa, echadle un ojo a todo lo que sea correlación de eventos. Si tenéis pasta, pillaros un envision de Rsa, un appliance que recolecta logs y los correlaciona. Es importante tener una visión global de lo que pasa en la red, ya no sólo de lo que ha pasado en un único servidor. También creo que es importante registrar no solo los intentos fallidos sino también los no fallidos. Nos puede ayudar a encontrar máquinas infectadas (con todo el derecho), usuarios entrando a deshora (y robando secretos industriales) o usuarios que acceden a ficheros desde diferentes terminales.

Ahora mismo estoy mirando software de firma de eventos para darles validez de cara a un juicio, tampoco sería un mal camino para el que le interese. De paso, además de Envision, os recomiendo darle una oportunidad a Ossec (ya lo dije) y a Splunk.

Un saludo gentes; ▶ Responde a esto

Permalink Responder para Javito el noviembre 14, 2009 a las 9:30am: Buenos dias, Iñaki si hay que dar charlas se dan, no hay problema, ademas creo que seria interesante para el portal una zona donde cada usuario pusiera un paper acerca de un tema en concreto.
Acerca del tema logs, son muy importantes, pero no tengo pasta asi que me toca pelear y andar conectando con los equipos y tal.
acerca del tema de firma de eventos para tener validez legal, seria firmar los eventos del servidor?
hombre una cosa esta clara, todo deja un rastro, luego hay que saber seguirlo.

Hablamos

Un Saludo; ▶ Responde a esto

Permalink Responder para pepelujl el noviembre 18, 2009 a las 9:35am: Buenas; Haber si tengo tiempo para pasar el jueves por aquí. Ya os contare.

http://www.informatica64.com/MainHols.aspx?id=12

Un saludo :-); ▶ Responde a esto