23. 05. 2022
Cloud, Service Management
Talvolta, specialmente per questioni di sicurezza è importante sapere, se le porte USB di un server siano state usate, e se sì, quali attività sono state effettuate. Con la nuova versione dell’agente Safed 1.7.0 possiamo monitorare le porte USB per Windows Vista 2008 e versioni superiori. L’agente può ricevere notifiche di eventi WMI che riguardano “Win32_PnPEntity”. Le attività delle classi “__InstanceCreationEvent”, “__InstanceDeletionEvent” e “__InstanceModificationEvent” vengono registrate, filtrate ed inoltrate al collettore syslog.
La configurazione di Safed per il monitoraggio delle porte USB è abbastanza facile:
Primo passo – consentire il monitoraggio: Dal menu di sinistra scegliamo “Network Configuration” e segniamo “Enable active USB auditing”. (Img. 1)
Primo passo – consentire il monitoraggio
Secondo passo – aggiungere una nuova “EventLog Objective Configuration”: Dalla lista “Identify the high level event” scegliamo “USB Event” (Img. 2). Se desiderato, possiamo inserire un filtro basato su “regular expression” al campo “General Search Term”. Un esempio sarebbe filtrare per “USB Mass Storage Devices” per essere informati di aggiunta, rimozione o modifica di dispositivi di archiviazione di massa USB.
Secondo passo – aggiungere una nuova “EventLog Objective Configuration”
Dopo questa configurazione, Safed registra tutte le attività USB, le identifica con una ID (18 = USB aggiunto, 19 = USB rimosso, 20 = USB modificato) e le manda al collettore syslog. (Img. 3)
Collettore syslog
MarinovMihail
Developer at Würth Phoenix
“Hi guys! I’m Mihail and since the university years I has been fascinated by distributed systems and measurements on them. Now when I join the Neteye project I get the possibility to continue with this passion and this is great. My free time is completely dedicated to my wife and my daughters, I simply love them.”
Author
Latest posts by MarinovMihail
18. 06. 2019
NetEye, Unified Monitoring
Go pprof – How to Understand Where There is Memory Retention