Informacje organizacji mogą być wykradane na wiele sposobów, ale prawdopodobnie jednym z najprostszych jest wykradanie danych za pomocą dysku flash USB. Urządzenia USB są łatwe do ukrycia i niedrogie. Dlatego w ramach dochodzenia, w jaki sposób dane zostały wykradzione, należy sprawdzić użycie dysków USB w swojej sieci.
Polecenie Get-WMIObject PowerShell użyte wraz z zapytaniem „win32_diskdrive” pozwala wykryć urządzenia USB podłączone do sieci. Można to przeprowadzić przy użyciu atrakcyjnego interfejsu graficznego ADAudit Plus, który zapewnia skonsolidowany pulpit nawigacyjny wszystkich raportów AD. Zapewnia specjalne raporty „Inspekcja urządzeń magazynujących USB”, które pozwalają śledzić aktywności pliku, takie jak „kopiuj-wklej”, „wczytaj”, „zmodyfikowano”, a także podłączanie urządzeń. W poniższej tabeli porównano metody wykrywania urządzeń USB za pomocą PowerShell i ADAudit Plus.
Uruchom polecenie „Get-WMIObject” wraz z zapytaniem „win32_diskdrive”.
Win32 to stacja dysków rozpoznawana przez komputer wykorzystujący system operacyjny Windows.
Określ „Typ interfejsu”.
GET-WMIOBJECT win32_diskdrive | Where { $_.InterfaceType –eq ‘USB’ }
Zaloguj się do konsoli sieciowej ADAudit Plus za pomocą uprawnionych poświadczeń. Kliknij kartę „Inspekcja serwera” i w lewym oknie wybierz opcję „Inspekcja urządzenia magazynującego USB”.
Pozwoli to uzyskać wiele raportów o „Wszystkich zmianach pliku i folderu”, „Odczycie pliku”, „Zmodyfikowanym pliku”, „Kopiowaniu i wklejaniu pliku”, „Podłączaniu wyjmowanych urządzeń”.
Raporty dostarczają szczegółowe informacje o pliku lub folderze, do którego uzyskano dostęp, lokalizacji zmiany, autorze zmiany oraz o tym, jaka modyfikacja została wprowadzona.
Można także wyszukiwać, stosując filtry „serwer”, „nazwa pliku/folderu”, „lokalizacja”, „zmodyfikowano przez” oraz „komunikat”. Filtry te pomogą określić wszelkie konkretne zdarzenia, których poszukujesz.
