Los archivos que contienen información sensible pueden eliminarse por accidente o maliciosamente en una organización. En estos casos, es necesario identificar quién eliminó los archivos para una investigación posterior y para restaurar los datos perdidos. Monitorear la eliminación de datos da detalles como qué archivo se eliminó, cuándo y desde dónde, con el fin de facilitar el análisis forense.
Pasos para configurar DataSecurity Plus para auditar la eliminación de archivos
- Descargue e instale DataSecurity Plus.
- Abra la consola de DataSecurity Plus.
- Vaya a Configuración > Ajustes de dominio, y haga clic en + Añadir dominio en la esquina superior derecha para añadir un nuevo dominio.
- Suministre el Nombre del dominio junto con su nombre de usuario y contraseña. Añada los controladores del dominio requeridos y haga clic en Guardar.
- Para añadir servidores, vaya a Auditoría de archivos > Configuración y haga clic en el botón Añadir servidores ubicado en la esquina superior derecha.
- Seleccione su dominio y añada los servidores que desea auditar.
- Escoja los archivos y carpetas que se van a auditar en Seleccionar objetos para monitorear, y haga clic en Añadir.
- Haga clic en Instalar agente y terminar. Ahora, el agente está instalado en los servidores seleccionados.
Pasos para encontrar quién eliminó archivos
- Vaya a la pestaña Auditoría de archivos.
- Vaya a Auditorías de acceso > Archivos eliminados/sobrescritos..
- Seleccione el Nombre del servidor y el Periodo para mostrar el informe.
- Haga clic en Filtro en la esquina superior derecha de la ventana del informe e ingrese los siguientes detalles:
- Acción: Eliminar
- Nombre del archivo: Nombre del archivo que se va a monitorear (para este ejemplo, nombraremos el archivo Employee_Data)
- Haga clic en Aplicar. Ahora, el informe para supervisar quién eliminó el archivo se muestra abajo.
También puede usar filtros para ver informes con base en la ubicación, creación o tiempo de eliminación de un archivo; usuarios específicos que podrían haber eliminado archivos y más.
Pasos para enviar alertas instantáneas cuando se elimina un archivo
- Vaya a la pestaña Auditorías de archivos.
- Vaya a Configuración > Ajustes > Configuración de alertas.
- Haga clic en el botón + Añadir alertas ubicado en la esquina superior derecha.
- Suministre un nombre y descripción adecuados para la alerta.
- Escoja una Gravedad del menú desplegable.
- Puede definir un Límite de umbral para enviar alertas con base en el número de eventos de eliminación que se den dentro de un tiempo específico.
Nota: Si no se menciona el Límite de umbral entonces se envía el correo electrónico de alerta para cada evento mencionado que se presente en el archivo. Si no se menciona el Límite de umbral, entonces se envía una notificación de alerta para cada evento mencionado que se presente en el archivo.
- Para recibir alertas por correo electrónico, marque la caja Notificaciones por correo electrónico.
- Haga clic en el símbolo de editar para abrir la ventana de Ajustes de correo electrónico.
- Suministre los datos necesarios. Para añadir argumentos al asunto o al mensaje, haga clic en Añadir y escoja el argumento en el menú desplegable.
- Puede escoger el número de alertas por correo electrónico que desea recibir en un momento particular al ingresar los valores en el cuadro de texto Enviar un máximo de.
- Haga clic en Guardar.
- Puede incluir o excluir entidades en el menú Criterios. Para monitorear quién eliminó un archivo en particular—por ejemplo, Employee_Data—ingrese los siguientes detalles bajo Incluir:
- Objeto de usuario: Todos
- MEDIDA: Eliminar
- Objeto de monitoreo: Employee_Data
- Los ajustes por defecto en Excluir se pueden dejar sin cambios. Ahora, haga clic en Guardar.
Se ha creado un Perfil de alerta para enviar un correo electrónico cuando un usuario elimine el archivo Employee_Data.
Este es un ejemplo de un correo electrónico de alerta.
Se ha creado un Perfil de alerta para enviar un correo electrónico cuando un usuario elimine el archivo Employee_Data.
Pasos para establecer una política de auditoría
- Inicie la consola Gestión de políticas de grupos con alguno de estos métodos:
- Vaya a Gestor de servidor > Herramientas > Consola de gestión de políticas de grupos. (o)
- Presione Win+R y en el cuadro de diálogo Ejecutar que aparece, escriba gpmc.msc y haga clic en Aceptar.
- Se abrirá la ventana Consola de gestión de políticas de grupos. Usted puede crear un nuevo Objeto de políticas de grupos (GPO) o modificar uno existente.
- Si desea añadir la política de grupo a un GPO, vaya al paso 6.
- Para crear un nuevo GPO, haga clic derecho sobre el dominio, sitio u OU donde desea aplicar la política y haga clic en Crear un nuevo GPO en este dominio y conéctelo aquí.
- Ingrese un nombre para el GPO en el cuadro de diálogo Nuevo GPO y haga clic en Aceptar.
- Ahora, haga clic derecho sobre ese GPO y seleccione Editar.
- En el Editor de gestión de políticas de grupos, vaya a Configuración de equipo > Políticas > Ajustes de Windows > Ajustes de seguridad > Políticas locales > Política de auditoría
- En la lista de políticas de auditorías, haga doble clic en Auditar el acceso al objeto para abrir sus Propiedades.
- Marque el cuadro Definir estos ajustes de política y seleccione Éxito y Fallo para auditar todos los intentos de eliminación.
- Haga clic en Aplicar y luego en Aceptar para cerrar la ventana.
- El GPO se actualizará automáticamente. Para actualizarlo manualmente, abra el Símbolo del sistema, y escriba gpupdate, y presione Intro. Ahora el GPO está actualizado.
Pasos para establecer las propiedades de auditoría para el archivo requerido
- Haga clic derecho en el archivo (Employee_Data) que desea auditar y seleccione Propiedades.
- Vaya a la pestaña Seguridad y haga clic en Avanzado para abrir la ventana Ajustes avanzados de seguridad..
- Vaya a la pestaña Auditoría y haga clic en Añadir para crear una nueva entrada de auditoría. Aparecerá la ventana Entrada de auditoría.
- Haga clic en Seleccionar un principal, y aparecerá el cuadro de diálogo Seleccionar usuario, equipo, cuenta de servicio o grupo.
- Escriba Todos como el nombre del objeto y haga clic en Verificar nombres.
- Haga clic en Aceptar para cerrar el cuadro de diálogo.
- Seleccione el tipo de acción que desea auditar de la lista desplegable. Si desea auditar todos los eventos exitosos y fallidos, seleccione Todos.
- Esta carpeta, subcarpetas y archivos se seleccionan por defecto en el campo Aplica a.
- Bajo la sección Permisos básicos, seleccione Permisos requeridos, y haga clic en Aceptar.
- Ahora se añadirá la nueva entrada. Haga clic en Aplicar y en Aceptar para cerrar la ventana.
- Haga clic en Aceptar en la ventana Propiedades.
Pasos para ver quién ha eliminado al archivo con el Visor de eventos
- Abra el Visor de eventos.
- Vaya a Logs de Windows > Seguridad.
- Haga clic en la opción Filtrar logs actualesen el panel derecho de la ventana para abrir la ventana Filtrar logs actuales.
- Bajo la opción Categoría de tareas, ingrese la ID del evento del que desea ver los logs. Cuando se elimina un archivo, se registra la ID del evento 4660. Ingrese esta ID del evento y haga clic en Aceptar .
- Se muestran los logs de todos los eventos de eliminación. Haga clic en un log para ver los detalles.
- Busque este log y vea el nombre del objeto.
- El nombre del objeto no se muestra en la ID del evento de eliminación 4660. Para ver que se eliminó el objeto, podemos ver a qué objeto se accedió antes de su eliminación con la ID del evento 4663.
Ahora, puede encontrar quién eliminó el archivo con la auditoría nativa.
¿Hay una alternativa más sencilla a la auditoría nativa?
La auditoría nativa es tediosa e involucra varios pasos. Los logs contienen demasiadas interferencias y es tedioso encontrar información crítica como el nombre del archivo eliminado, ya que no se menciona en el log.
DataSecurity Plus resuelve este problema al dar información detallada sobre los archivos eliminados, incluido el nombre, ubicación, nombre de host, etc., todo desde un lugar central. Puede incluso enviar alertas sobre estos eventos de eliminación.
