Security Active Directory – Share folder with Alientvault

 

Security Active Directory – Share folder with Alientvault

 

Pembuatan User AD

 

Terdeteksi Alientvault

 

Alientvault membaca Event yang telah membuat user Active Directory

Dengan Event Name: AlienVault HIDS: A user account was created by another user account.
Tanggal: 2021-11-17 15:18:50 GMT+7:00, Device IP: 192.168.43.32 [eth0].
user AD yang dibuat: vc10s. jika digunakan bersama domain: vc10s@Voc.ind

 

Share Folder

 

Pembuatan Share folder dan memberikan hak akses kepada user.

Klik kanan Folder > Security > Advanced > Permissions > Add > masukkan nama user > ok

 

Jangan lupa tambahkan User di auditing disamping Permissions, agar dapat membaca aktifitas user pada folder.

 

Edit local group policy untuk dapat membaca aktifitas log pada user AD di share folder

Control Panel > Klik Search lalu cari edit group policy.
lalu Buka Computer Config > windows setting > Security Setting > Local policy > audit Policy > lalu edit sesuai kebutuhan log mana yang dibutuhkan dan centang success dan failure. Tetapi disini saya hanya memilih 3, logon event – object access – policy change.

 

                                                                                                                 

 

Disini saya mencoba login ke share folder dan menambahkan beberapa file dan menghapus file

 

Saya menambahkan di dalam file pembukuan yaitu folder vc1

Dan SIEM Alientvault dapat membacanya.

 

Lalu saya mencoba menghapus sebuah file pada sharefolder.

 

 

Dan SIEM mampu membacanya lagi

Lalu kita coba masuk folder berbasis RAR

 

 

Terbaca oleh SIEM

 

 

Saya mencoba mengubah hak akses/permissions pada user baru di dalam folder utama.
Dari Read menjadi modify.

 

Alientvault mampu membaca beberapa perubahan, tetapi event dapat terbaca? Dikarenakan saya menambahkan audit pada folder.

 

 

 

Perubahan pada user, alientvault tidak memberikan deskripsi untuk user mana? Yang telah diubah permission/hak aksesnya. Disini? Alientvault hanya mampu membaca pada folder mana, user telah berubah. Tetapi untuk deskripsi detailnya? Tidak dijelaskan.

Disini saya mengubah user vc9.

User Vc10s ialah user utama pada folder utama, anggaplah folder tersebut punya Direktur Keuangan.

 

 

                                                                                                               

 

Jika saya menjelaskan secara topologi, Maka Client akan mengakses Server AD, dan Alientvault membaca client? Dikarenakan terdapat user AD yang sudah di setup. Jadi Client? Tidak diberikan SIEM dan hanya membaca pergerakan user yang sudah ada di server AD dan folder pada auditing.