top of page

Controllo accessi di unità Removibili (opzionale)

ACCESSI USB

image.png

Se l’opzione è attivata, è possibile rilevare gli accessi ai dispositivi removibili (chiavette USB, dischi esterni,

SD, MicroSD) su tutte le macchine della rete.
Per abilitare la registrazione di questi eventi è disponibile una guida dedicata, accessibile cliccando sul pulsante (i).

image.png

Attivando l’opzione di notifica, viene inviata una segnalazione ogni volta che un utente inserisce un dispositivo removibile.

ATTENZIONE: alcune piattaforme di virtualizzazione possono far apparire le proprie unità virtuali come unità removibili.

In questo caso è Windows a interpretarli in modo errato: contattare il fornitore per configurare l’unità come File System e non come Removable Storage.

Per attivare la registrazione degli archivi removibili è necessario:

  1. Abilitare l’opzione “Controlla Archivio rimovibile” nelle GPO (Configurazione Avanzata > Accesso agli oggetti).

  2. Modificare la chiave di registro attivando l’opzione HotplugSecureOpen.

image.png
image.png
image.png

Registrazione evento 6416:  è stata introdotta la gestione dell’evento Windows 6416, che consente di registrare automaticamente il collegamento di dispositivi esterni tramite meccanismo Plug and Play.

In particolare, vengono tracciati i dispositivi USB dotati di capacità di archiviazione come:

  • Chiavette USB

  • Hard disk esterni

  • Smart card USB

  • Altri dispositivi di storage rimovibili

L’evento viene registrato nella sorgente WINLOG, categoria Plug and Play Events, riportando il tipo di dispositivo e la descrizione hardware.

Integrazione con modulo SOC

Il modulo SOC utilizza questi eventi per:

  • segnalare l’inserimento di dispositivi USB su specifici PC;

  • generare notifiche o allarmi mirati (per utente o postazione).

Con il plugin USB attivo è inoltre possibile accedere a dettagli avanzati, inclusi i contenuti dei dispositivi collegati.

Funzionalità di allarme

L’evento 6416 è configurabile come allarme, permettendo notifiche automatiche in base a criteri specifici:

  • inserimento da parte di un determinato utente;

  • collegamento su una determinata macchina;

  • tipo di dispositivo rilevato.

Attivazione registrazione evento 6416

Per attivare la registrazione dell’evento è necessario configurare il seguente criterio di sicurezza:

Criteri di sicurezza locali → Configurazione avanzata dei criteri di controllo → Criteri di controllo del sistema → Analisi dettagliata → Controlla Attività Plug and Play

✅ Impostare su: Esito positivo e negativo.

image.png

Analisi IA

Disponibile con licenza dedicata, il pulsante Analisi IA nelle griglie di log consente di inviare fino a 100 eventi all’intelligenza artificiale, che li analizza per evidenziare automaticamente i log critici o sospetti, fornendo una valutazione contestuale e di facile lettura anche per utenti non esperti.

L’obiettivo è offrire un supporto interpretativo avanzato, migliorando la comprensione dei log di sicurezza e velocizzando l’individuazione di azioni potenzialmente rischiose.

Se gli eventi superano i 100, il sistema notifica l’eccedenza e considera solo i primi.
Il report generato è stampabile ed esportabile.

image.png
bottom of page