Powershell ve ADAudit Plus kullanarak USB kullanım geçmişini tespit etme

USB depolama cihazları, bir kuruluştaki ağa bağlı makinelere zararlı kodlar yüklemek için kullanılabilir. Bu cihazlar, aynı zamanda kritik dosyaları kopyalamak için de kullanılabilir ve fikri mülkiyet (IP) hırsızlığı olaylarına yol açabilir. Bu tür kötü niyetli etkinlikleri kontrol etmek için sistem yöneticilerinin ağa bağlı bilgisayarlardan herhangi birine bağlı USB cihazlarının geçmişini izlemesi gerekir.

Aşağıda USB kullanım geçmişi raporunu Windows PowerShell ve ADAudit Plus ile alma için bir karşılaştırma verilmektedir:

Windows PowerShell

PowerShell kullanarak USB kullanım geçmişi tarihi bilgisini alma adımları:

  • Raporu almak istediğiniz etki alanını tanımlayın.
  • Raporu getirmek için ihtiyacınız olan LDAP özniteliklerini tanımlayın.
  • Raporu almak için birincil DC'yi tanımlayın.
  • Komut dosyasını derleyin.
  • Bunu Windows PowerShell'de yürütün.

Örnek Windows PowerShell komut dosyası:

Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*' | Select FriendlyName

Örnek çıktı:

sample-windows-powershell

ADAudit Plus

Raporu elde etmek için,

  • ADAudit Plus web konsolunda yönetici olarak oturum açın.
  • Sunucu Denetimi sekmesine gidin ve sol bölmedeki USB Depolama Alanı Denetimi Auditing bölümünden Çıkarılabilir Cihaz Eklentisi seçimini yapın.
  • Etki alanını seçin ve Oluştur öğesine tıklayın.
  • Raporu tercih edilen biçimlerden (CSV, PDF, HTML, CSVDE ve XLSX) herhangi birinde dışa aktarmak için Farklı Dışa Aktar seçimini yapın.
    how-to-detect-usb-usage-history

    • Şekilde de görebileceğiniz gibi, ManageEngine ADAudit Plus bir sistem yöneticisinin olası bir saldırının kaynağını tespit etmek üzere ihtiyaç duyduğu tüm ayrıntıları barındıran kapsamlı ancak sade bir rapor sunmaktadır:

    • Bilgisayar hesap adı
    • Tarih ve saat
    • Etki alanı adı
    • Kullanılan harici depolama cihazının türü ve kimliği

Windows PowerShell'i kullanarak USB kullanım geçmişi raporu almanın sınırlamaları şunlardır:

  • Elde edilen veriler bir bakışta çözümlenemez.
  • Farklı saat dilimleri ve tarih biçimleri için rapor oluşturmak zordur.
  • Raporu CSV dışında diğer dosya biçimlerinde dışa aktarmak zordur.
  • OU veya 'Kullanıcı adı başlangıcı' gibi daha fazla filtre uygulamak LDAP sorgusunun karmaşıklık düzeyini artırır.

Bir diğer yandan, ADAudit Plus, USB kullanım geçmişinin raporunu oluşturacak ve bunu basit ve sezgisel olarak tasarlanmış bir kullanıcı arayüzünde görüntüleyecektir.

  • Karmaşık PowerShell komut dosyalarından kaçının ve ADAudit Plus ile AD değişiklik denetimini basitleştirin
  • Ücretsiz Denemenizi Alın

İlgili Kaynaklar