Les informations d'une organisation peuvent être volées de multiples façons, mais le vol de données par le biais d'une clé USB est probablement l'un des moyens les plus faciles. Les périphériques USB sont physiquement dissimulables et peu coûteux. Ainsi, en menant une enquête scientifique sur la façon dont les données ont été volées, vous devrez vérifier l'utilisation des clés USB sur votre réseau.
La fonction Get-WMIObject de PowerShell révèle tous les périphériques USB connectés à votre réseau lorsqu'elle est interrogée avec « win32_diskdrive ». Vous pouvez le faire grâce à l'interface graphique attrayante d'ADAudit Plus qui fournit un tableau de bord consolidé de tous vos rapports AD. Elle fournit des rapports spéciaux d'audit de stockage USB qui suivent l'activité des fichiers comme le copier-coller, la lecture et la modification, ainsi que les plug-ins des périphériques. Le tableau ci-dessous établit une comparaison entre la détection des périphériques USB à l'aide de PowerShell et d'ADAudit Plus.
Exécutez « Get-WMIObject » avec la requête « win32_diskdrive ».
Win32 est un lecteur de disque qu'un ordinateur reconnaît lorsqu'il fonctionne avec le système d'exploitation Windows.
Spécifiez le « Type d'interface ».
GET-WMIOBJECT win32_diskdrive | Where { $_.InterfaceType –eq ‘USB’ }
Connectez-vous à la console web d'ADAudit Plus avec les informations d’identification autorisées. Cliquez sur l'onglet « Audit de serveur » et sélectionnez « Audit du stockage USB » à gauche.
Cela vous permet d'obtenir de multiples rapports sur « Toutes les modifications de fichiers et de dossiers », « Fichier lu », « Fichier modifié », « Fichier copié-collé », « Plug-in de périphérique amovible ».
Les rapports fournissent des informations détaillées sur le fichier ou le dossier consulté, l'emplacement de la modification, l'auteur de la modification et la nature de la modification.
Vous pouvez également effectuer une recherche filtrée par « serveur », « nom du filtre/dossier », « emplacement », « modifié par » et « message ». Ces filtres vous aident à identifier tout événement particulier que vous recherchez.