En organisations oplysninger kan stjæles på flere måder, men datatyveri via et USB-drev er sandsynligvis en af de nemmeste måder. USB-enheder er fysisk skjulte og billige. Så mens du udfører en kriminalteknisk undersøgelse af, hvordan data blev stjålet, skal du kontrollere USB-drevets brug i dit netværk.
PowerShells Get-WMIObject afslører alle USB-enheder, der er tilsluttet dit netværk, når de forespørges med 'win32_diskdrive'. Du kan gøre dette med ADAudit Plus' attraktive grafiske brugerflade, som giver et samlet dashboard over alle dine AD-rapporter. Den leverer særlige USB-lagerovervågningsrapporter, der sporer filaktivitet som 'kopier og indsæt', 'læs', 'ændret' og enheds-plugins. Tabellen nedenfor viser en sammenligning mellem detektering af USB-enheder ved hjælp af PowerShell og ADAudit Plus.
Kør 'Get-WMIObject' sammen med forespørgslen 'win32_diskdrive'.
Win32 er et diskdrev, som en computer genkender, når det kører på Windows-operativsystemet.
Angiv grænsefladetype.
GET-WMIOBJECT win32_diskdrive | Where { $_.InterfaceType –eq ‘USB’ }
Log ind på ADAudit Plus-webkonsollen med godkendte legitimationsoplysninger. Klik på fanen 'Serverovervågning', og vælg 'USB-lagerovervågning' i venstre rude.
Dette giver dig flere rapporter om 'Alle fil- og mappeændringer', 'Fil læst', "Fil ændret', 'Fil kopieret og indsat', 'Plugin til flytbar enhed'.
Rapporterne giver detaljerede oplysninger om den fil eller mappe, der blev tilgået, placeringen af ændringen, hvem der foretog ændringen, og hvilken ændring der blev foretaget.
Du kan også udføre en filtreret søgning efter 'server', 'filter-/mappenavn', 'placering', 'ændret af' og 'besked'. Disse filtre hjælper dig med at identificere enhver bestemt hændelse, du leder efter.
