Oft ist es wichtig zu wissen ob die USB-Ports eines Servers benutzt wurden und falls ja, welche Operationen durchgeführt wurden. Mit der neuen Version des Safed Agent 1.7.0 ist es möglich USB-Ports für Windows Vista 2008 und höhere Versionen, zu überwachen. Der Agent kann WMI-Event-Notifikationen, welche die Zielinstanz „Win32_PnPEntity“ betreffen, empfangen. Die Events der Klassen “__InstanceCreationEvent”, “__InstanceDeletionEvent” und “__InstanceModificationEvent” werden aufgezeichnet, gefiltert und an den Syslog-Collector für weitere Analysen, und die Speicherung weitergeleitet.
Safed kann mit zwei einfachen Schritten für die Überwachung der USB-Ports konfiguriert werden:
Schritt 1 – USB-Monitoring erlauben: Wählen Sie im Menü auf der linken Seite „Network Configuration“ aus und kreuzen Sie die „Enable active USB auditing“-Box an. (Siehe Img.1)
Schritt 1 – USB-Monitoring erlauben
Schritt 2 – Hinzufügen einer neuen „EventLog Objective Configuration“: Wählen Sie „USB Event“ von der Liste „Identify the high level event“ aus (siehe Img. 2), falls gewünscht, können Sie einen Filter im Feld „General Search Term“ einfügen. Ein einfaches Beispiel hierfür wäre das Filtern nach „USB Mass Storage Devices“ um diese hinzuzufügen, zu entfernen oder zu ändern.
Schritt 2 – Hinzufügen einer neuen „EventLog Objective Configuration“:
Nach der oben beschriebenen Konfiguration, wird Safed alle USB-Events erkennen, mit einer Event-ID versehen (18 = USB hinzugefügt, 19 = USB entfernt, 20 = USB verändert) und an den Syslog-Collector senden. (Siehe Img. 3)
“Hi guys! I’m Mihail and since the university years I has been fascinated by distributed systems and measurements on them. Now when I join the Neteye project I get the possibility to continue with this passion and this is great. My free time is completely dedicated to my wife and my daughters, I simply love them.”
Author
MarinovMihail
“Hi guys! I’m Mihail and since the university years I has been fascinated by distributed systems and measurements on them. Now when I join the Neteye project I get the possibility to continue with this passion and this is great. My free time is completely dedicated to my wife and my daughters, I simply love them.”
Both Microsoft and Google will terminate within summer/autumn 2022 the possibility of accessing POP and IMAP mailboxes using usernames and passwords! In the course of the year 2022 Microsoft and Google will terminate support for Basic Auth (the authentication with Read More
More and more companies are adopting the now “quasi-standard” JIRA Software issue tracking and software project management tool, and the emerging ticketing tool JIRA Service Management. For most of them, when transitioning from their previous system, it is essential to Read More
Welcome to the latest version of our Service Management solution EriZone version 5.9. Product: EriZoneRelease Number: 5.9Release Date: January 7, 2021Release Type: MinorPrevious Release: 5.8 These release notes for EriZone 5.9 describe changes and improvements, and provide information on how to upgrade. Read More
More and more enterprises rely on Microsoft Azure Active Directory as a company-wide identity provider for Office365, Teams, Sharepoint and other Microsoft and various non-Microsoft services. It provides Single Sign-On (SSO), so when opening any of these applications, if an Read More
This article will show you an EriZone innovation you can introduce into your process: a Transition Action for Activity Management. One of the main uses of this new feature is in the area of HR. There is no doubt that Read More