Comment détecter l'historique de l'utilisation d'une clé USB à l'aide de PowerShell et d'ADAudit Plus ?
Les périphériques de stockage USB peuvent être utilisés pour télécharger des codes délétères sur les machines en réseau d'une organisation. Ils peuvent également être utilisés pour copier des fichiers critiques et entraîner des vols de propriété intellectuelle (PI). Pour vérifier ces activités malveillantes, les administrateurs système doivent suivre l'historique des périphériques USB connectés à l'un des ordinateurs du réseau.
Voici une comparaison entre l'obtention du rapport d'historique d'utilisation USB avec Windows PowerShell et ADAudit Plus :
Windows PowerShell
Étapes à suivre pour obtenir l'historique de l'utilisation de la clé USB à l'aide de PowerShell :
- Identifiez le domaine à partir duquel vous voulez récupérer le rapport.
- Identifiez les attributs LDAP dont vous avez besoin pour obtenir le rapport.
- Identifiez le DC primaire pour récupérer le rapport.
- Compilez le script.
- Exécutez-le dans Windows PowerShell.
Exemple de script Windows PowerShell :
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*' | Select FriendlyName
Sample output:
ADAudit Plus
Pour obtenir le rapport,
- Connectez-vous à la console web ADAudit Plus en tant qu’administrateur.
- Accédez à l'onglet Audit du serveur et dans la partie Audit du stockage USB à gauche, sélectionnez Plug-in périphérique amovible.
- Sélectionnez le domaine et cliquez sur Générer.
- Sélectionnez Exporter en tant que pour exporter le rapport dans l'un des formats préférés (CSV, PDF, HTML, CSVDE et XLSX).
- Le nom du compte de l'ordinateur
- Date et heure
- Nom de domaine
- Le type de périphérique de stockage externe utilisé et son ID
Comme vous pouvez le voir sur la figure, ManageEngine ADAudit Plus fournit un rapport complet mais simple contenant tous les détails nécessaires à un administrateur système pour identifier la source d'une attaque potentielle :
Voici les limites de l'obtention d'un rapport sur l'historique de l'utilisation de la clé USB à l'aide de Windows PowerShell :
- Les données obtenues ne peuvent être déchiffrées d'un seul coup d'œil.
- Il est difficile de générer le rapport pour différents fuseaux horaires et formats de date.
- Il est difficile d'exporter le rapport dans des formats de fichiers autres que CSV.
- L’application de plus de filtres, comme UO ou « Le nom de l'utilisateur commence par », augmentera la complexité de la requête LDAP.
D'autre part, ADAudit Plus génère un rapport sur l'historique de l'utilisation USB et l'affiche dans une interface utilisateur simple et intuitive
Ressources connexes:
Connexion-déconnexion
- Comment obtenir l'utilisateur actuellement connecté sur PowerShell
- Comment savoir sur quel ordinateur un utilisateur est connecté ?
- Comment voir à distance quels utilisateurs sont connectés à Windows ?
- Comment obtenir l'utilisateur connecté actuel
- Comment obtenir l'historique des connexions d'un utilisateur à l'aide de PowerShell
- Obtenir les identifiants du serveur Terminal
- Obtenir un rapport d'audit sur les activités de connexion et de déconnexion d'un compte d'utilisateur AD
- Comment obtenir les échecs des tentatives de connexion en utilisant powershell
- Get-rdusersession
- Comment obtenir le dernier utilisateur connecté sur un ordinateur distant à l'aide de Powershell ?
- Comment trouver l'ordinateur sur lequel un utilisateur s'est connecté à l'aide de powershell ?
- Comment obtenir la dernière connexion d'un utilisateur à l'aide de Powershell ?
- Comment déployer des services de bureau à distance à l'aide de Powershell ?
Blocage des comptes
- Afficher l'historique du verrouillage des comptes d'utilisateurs Active Directory
- Comment trouver des comptes d'utilisateurs verrouillés
- Comment trouver la source du blocage de compte
- Recherche de comptes verrouillés dans Active Directory
- Comment trouver la raison du blocage d'un compte à l'aide de Powershell ?
Journaux d'événements Windows
- Comment vérifier les journaux d'événements de Windows
- Comment auditer les journaux de sécurité à l'aide de powershell
- Get-winevent
- Script Powershell pour la sécurité
- Comment obtenir les journaux d'événements de sécurité sans powershell ?
- Comment surveiller le journal des événements à l'aide de powershell
Audit des serveurs de fichiers
- Comment surveiller les nouveaux fichiers dans un dossier ?
- Comment surveiller les modifications d'un dossier à l'aide de powershell
- Comment vérifier les permissions d'un dossier à l'aide de powershell
- Powershell Filesystemwatcher - Suivi des modifications de fichiers et de dossiers
- NTFSSecurity module powershell
- Get-fileintegrity
- Get-FileShare
- Comment auditer un cluster de basculement à l'aide de powershell
- How to get file creation date using powershell
- Comment obtenir le dernier fichier modifié dans un répertoire en utilisant powershell
- Script Powershell pour trouver des fichiers par propriétaire
Audit de l'Active Directory
- Comment savoir qui a créé un compte AD à l'aide de Powershell ?
- Comment auditer Active Directory à l'aide de powershell
- Obtenir des rapports sur Active Directory à l'aide de Powershell
- Comment savoir qui a supprimé un objet AD à l'aide de Powershell ?
- Comment obtenir un compte privilégié en utilisant powershell
- Obtenir des rapports sur les GPO sans powershell
- Comment auditer le mot de passe LAPS à l'aide de powershell ?
- Comment obtenir les propriétés d'adfs en utilisant powershell -ADAudit Plus
- Comment obtenir les diagnostics d'un serveur DNS à l'aide de Powershell ?
- Comment obtenir les liens vers les GPO à l'aide de Powershell
- Comment auditer les changements de l'Active Directory en utilisant powershel
- Comment surveiller un processus en temps réel à l'aide de powershell
Azure AD
Audit du serveur
Démarrage et arrêt des ordinateurs