Como detectar dispositivos USB sem usar o PowerShell
As informações de uma organização podem ser roubadas de várias maneiras, mas o roubo de dados por meio de uma unidade flash USB é provavelmente uma das maneiras mais fáceis. Os dispositivos USB são fisicamente ocultáveis e baratos. Portanto, ao conduzir uma investigação forense de como os dados foram roubados, você terá que verificar o uso da unidade USB na sua rede.
O Get-WMIObject do PowerShell revela todos os dispositivos USB conectados à sua rede em uma consulta com "win32_diskdrive". Você pode fazer isso com a atraente interface gráfica do ADAudit Plus, que fornece um painel consolidado de todos os seus relatórios do AD. Ele fornece relatórios especiais de "Auditoria de armazenamento USB" que rastreiam atividades de arquivos como "copiar e colar", "ler", "modificado" e plug-ins de dispositivos. A tabela abaixo faz uma comparação entre a detecção de dispositivos USB usando o PowerShell e o ADAudit Plus.
Windows PowerShell
Etapas para visualizar unidades USB conectadas com o PowerShell
Execute o "Get-WMIObject" junto com a consulta "win32_diskdrive".
Win32 é uma unidade de disco que um computador reconhece quando é executado no sistema operacional Windows.
Especifique o "Tipo de interface".
Código:
GET-WMIOBJECT win32_diskdrive | Where { $_.InterfaceType –eq ‘USB’ }
ADAudit Plus
Etapas para visualizar unidades USB conectadas com o ADAudit Plus
Faça login no console da web do ADAudit Plus com credenciais autorizadas. Clique na guia "Auditoria de servidor" e selecione "Auditoria de armazenamento USB" no painel esquerdo.
Isso fornece vários relatórios sobre "Todas as alterações de arquivos e pastas", "Leitura de arquivo", "Arquivo modificado", "Copiar e colar arquivo", "Plug-in de dispositivo removível".
Os relatórios fornecem informações detalhadas sobre o arquivo ou pasta acessado, o local da alteração, quem fez a alteração e qual modificação foi feita.
Você também pode realizar uma pesquisa filtrada por "servidor", "nome do filtro/pasta", "local", "modificado por" e "mensagem". Esses filtros ajudam a identificar qualquer evento específico que você esteja procurando.
Por que o ADAudit Plus é a melhor solução para identificar dispositivos conectados por USB.
- O ADAudit Plus oferece suporte a máquinas de 32 e 64 bits para fornecer vários relatórios em dispositivos de armazenamento removíveis.
- Oferece relatórios pré-configurados sobre "Auditoria de armazenamento USB".
- Além disso, você tem logins especiais de auditor de TI que concedem apenas permissões de visualização de relatórios.
- Atributos de filtro que ajudam a identificar eventos específicos no relatório.
- Facilita o cumprimento de diversas leis de conformidade, como HIPAA, GLBA, SOX e muito mais.
