La información de una organización puede ser robada de múltiples maneras, pero el robo de datos a través de una unidad flash USB es probablemente una de las formas más fáciles. Los dispositivos USB son físicamente ocultables y económicos. Por lo tanto, mientras realiza una investigación forense sobre cómo se robaron los datos, deberá verificar el uso de la unidad USB en su red.
Get-WMIObject de PowerShell revela todos los dispositivos USB conectados a la red cuando se consulta con 'win32_diskdrive'. Puede hacerlo con la atractiva interfaz gráfica de ADAudit Plus, que proporciona un panel de control consolidado de todos sus informes de AD. Proporciona informes especiales de 'Auditoría de almacenamiento USB' que rastrean la actividad de los archivos como 'copiar y pegar', 'leer', 'modificar' y complementos de dispositivos. En la tabla siguiente se muestra una comparación entre la detección de dispositivos USB mediante PowerShell y ADAudit Plus.
Ejecute 'Get-WMIObject' junto con la consulta 'win32_diskdrive'.
Win32 es una unidad de disco que una computadora reconoce cuando se ejecuta en el sistema operativo Windows.
Especifique el 'Tipo de interfaz'.
GET-WMIOBJECT win32_diskdrive | Where { $_.InterfaceType –eq ‘USB’ }
Inicie sesión en la consola web de ADAudit Plus con credenciales autorizadas. Haga clic en la pestaña 'Server Audit' y seleccione 'USB Storage Auditing' en el panel izquierdo.
Esto le brinda múltiples informes sobre 'All File and Folder Changes', 'File read', "File Modified', 'File Copy and paste', 'Removable device plug-in'.
Los informes proporcionan información detallada sobre el archivo o carpeta a la que se accede, la ubicación del cambio, quién realizó el cambio y qué modificación se realizó.
También puede realizar una búsqueda filtrada por 'server', 'filter/folder name', 'location' 'modified by', and 'message'. Estos filtros lo ayudan a identificar cualquier evento en particular que esté buscando.
