23. 05. 2022
Cloud, Service Management
Oft ist es wichtig zu wissen ob die USB-Ports eines Servers benutzt wurden und falls ja, welche Operationen durchgeführt wurden. Mit der neuen Version des Safed Agent 1.7.0 ist es möglich USB-Ports für Windows Vista 2008 und höhere Versionen, zu überwachen. Der Agent kann WMI-Event-Notifikationen, welche die Zielinstanz „Win32_PnPEntity“ betreffen, empfangen. Die Events der Klassen “__InstanceCreationEvent”, “__InstanceDeletionEvent” und “__InstanceModificationEvent” werden aufgezeichnet, gefiltert und an den Syslog-Collector für weitere Analysen, und die Speicherung weitergeleitet.
Safed kann mit zwei einfachen Schritten für die Überwachung der USB-Ports konfiguriert werden:
Schritt 1 – USB-Monitoring erlauben: Wählen Sie im Menü auf der linken Seite „Network Configuration“ aus und kreuzen Sie die „Enable active USB auditing“-Box an. (Siehe Img.1)
Schritt 1 – USB-Monitoring erlauben
Schritt 2 – Hinzufügen einer neuen „EventLog Objective Configuration“: Wählen Sie „USB Event“ von der Liste „Identify the high level event“ aus (siehe Img. 2), falls gewünscht, können Sie einen Filter im Feld „General Search Term“ einfügen. Ein einfaches Beispiel hierfür wäre das Filtern nach „USB Mass Storage Devices“ um diese hinzuzufügen, zu entfernen oder zu ändern.
Schritt 2 – Hinzufügen einer neuen „EventLog Objective Configuration“:
Nach der oben beschriebenen Konfiguration, wird Safed alle USB-Events erkennen, mit einer Event-ID versehen (18 = USB hinzugefügt, 19 = USB entfernt, 20 = USB verändert) und an den Syslog-Collector senden. (Siehe Img. 3)
Syslog Collector
MarinovMihail
Developer at Würth Phoenix
“Hi guys! I’m Mihail and since the university years I has been fascinated by distributed systems and measurements on them. Now when I join the Neteye project I get the possibility to continue with this passion and this is great. My free time is completely dedicated to my wife and my daughters, I simply love them.”
Author
Latest posts by MarinovMihail
18. 06. 2019
NetEye, Unified Monitoring
Go pprof – How to Understand Where There is Memory Retention