Como detectar o histórico de uso de USB usando o PowerShell e o ADAudit Plus
Dispositivos de armazenamento USB podem ser usados para carregar códigos prejudiciais em máquinas em rede em uma organização. Também pode ser usado para copiar arquivos críticos e resultar em roubo de propriedade intelectual (IP). Para verificar essas atividades maliciosas, os administradores do sistema precisam rastrear o histórico dos dispositivos USB conectados a qualquer um dos computadores em rede.
A seguir está uma comparação entre a obtenção de relatório do histórico de uso de USB com o Windows PowerShell e com o ADAudit Plus:
Windows PowerShell
Etapas para obter a data do histórico de uso de USB usando o PowerShell:
- Identifique o domínio do qual você deseja recuperar o relatório.
- Identifique os atributos LDAP necessários para buscar o relatório.
- Identifique o DC primário para recuperar o relatório.
- Compile o script.
- Execute-o no Windows PowerShell.
Exemplo de script do Windows PowerShell:
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*' | Select FriendlyName
Saída da amostra:
ADAudit Plus
Para obter o relatório,
- Faça login no console web do ADAudit Plus como administrador.
- Navegue até a guia Auditoria de servidor e da seção Auditoria de armazenamento USB no painel esquerdo, selecione Plug-in de dispositivo removível.
- Selecione o domínio e clique em Gerar.
- Selecione Exportar como para exportar o relatório em qualquer um dos formatos preferidos (CSV, PDF, HTML, CSVDE e XLSX).
- Nome da conta do computador
- Data e hora
- Nome do domínio
- Tipo de dispositivo de armazenamento externo usado e seu ID
Como você pode ver na figura, o ManageEngine ADAudit Plus fornece um relatório extenso, porém simples, com todos os detalhes necessários para que um administrador de sistema identifique a origem de um ataque potencial:
A seguir estão as limitações de obter um relatório do histórico de uso de USB usando o Windows PowerShell:
- Os dados obtidos não podem ser decifrados de uma só vez.
- É difícil gerar o relatório para diferentes fusos horários e formatos de data.
- É difícil exportar o relatório em formatos de arquivo diferentes de CSV.
- A aplicação de mais filtros, como UO ou "Nome de usuário começa com", aumentará a complexidade da consulta LDAP.
Por outro lado, o ADAudit Plus vai gerar o relatório do histórico de uso de USB e exibi-lo em uma interface de usuário simples e intuitiva.
