Video Screencast Help

Log utilisation clé USB

Created: 19 Dec 2012 | 6 comments

Bonjour,

 

Tout d'abord j'utilise la version SEPM 12.1.1000.157 RU1 et les clients sont également en version 12.1.1000.157 RU1

Pour des raisons de sécurité, j'ai besoin d'avoir les logs des utilisations des ports USB (lecture/ecritre des fichiers)

J'ai donc activé une [politique de contrôle des applications et des périphériques] et activé l'option [Consigner les fichiers écrits sur lecteur USB [AC5]]

J'ai bien les logs qui se mettent à jour sur chaque client. Je peux voir le log dans le journal de controle - Journaux de gestion des clients.

 

Cependant, j'ai deux questions que je n'arrive pas à résoudre :

1/ Comment pouvoir consulter les logs des clients à distance ? Est-il possible de consulter les logs depuis SEPM ?

------------------------------------

2/ Comment definir des alertes d'utilisation ?

J'ai défini une [alerte de controles avec la sécurité des clients / option evenements de controles des périphériques]. Je vois bien l'utilisation presque en direct cependant l'alerte est polluée par des lignes [SysPlant Aucun(e)   Le contrôle d'application et de périphérique est prêt. ]   et d'autres comme [C:/Program Files/Research In Motion/BlackBerry Desktop/Rim.Desktop.exe ] ou encore [C:/Program Files/Symantec/Symantec Endpoint Protection/12.1.1000.157.105/Bin/ccSvcHst.exe ] et j'ai donc beaucoup de lignes qui ne servent a rien dans mon log.

Est-il possible d'avoir des alertes uniquement pour la lecture / creation de fichier sur les clés USB ?

------------------------------------

Merci de votre aide

 

Comments 6 CommentsJump to latest comment

Ashish-Sharma's picture

 

Hi,
solution
 
1: Connectez-vous pour Symantec Endpoint Protection Manager Console / SEPM
 
2: cliquez sur "Politiques" -> cliquez sur "Application et contrôle de périphérique" sous "Afficher les politiques" -> modifier ou en créer une nouvelle application -> cliquer sur "Contrôle des applications" -> sur le panneau de droite, activez l'option "Connexion Les fichiers écrits sur les pilotes USB "
 
3: cliquez sur bouton d'édition pour éditer «Fichiers journaux écrits pour les lecteurs USB" configuration de la politique
 
4: Cliquez sur "Connexion écrites sur des disques USB" sous "Connexion écrites sur des disques USB" sur le panneau de gauche
 
5: dans "Propriétés" étiquette, choisir le périphérique USB sera utilisé pour cette politique, par défaut est "*" signifie tout ce qui est périphérique USB seront appliqués avec ces paramètres.
 
6: sous la rubrique "Actions", si vous souhaitez simplement enregistrer la création, la suppression ou l'écriture des tentatives de périphérique USB, s'il vous plaît cliquer sur "activer la journalisation" dans "créer, supprimer ou tentative d'écriture". si vous souhaitez enregistrer la lecture attemp soit, vous avez besoin de cocher "exploitation forestière ebable" sous "tentative de lecture"
 
7: cliquez sur «OK» deux fois, puis faites un clic gauche de cette politique et d'affecter cette politique à des groupes
 
comment afficher l'enregistrement de l'activation USB?
 
1: identifier SEPM
 
2: cliquez sur "Monitor" sur le panneau de gauche SEPM
 
3: cliquez sur "logs" tag
 
4: choisissez "contrôle des applications et le dispositif" comme type de journal, choisissez "contrôle des applications" comme contenu du journal.
 
5: choisir l'intervalle de temps approperal et cliquez sur "afficher le journal" bouton
 
6: vous pouvez trouver les mêmes informations de base de données de table "DBA.AGENT_BEHAVIOR_LOG_2"
 
Réf - http://www.symantec.com/docs/TECH155578
 
Vérifiez-les -
 
https://www-secure.symantec.com/connect/forums/how-see-written-activity-usb-drive
 
http://www.symantec.com/docs/TECH96690
 
Toutefois lire ce IDEA ainsi -
 
https://www-secure.symantec.com/connect/idea/files-written-usb-drives-detailed-log
 
https://www-secure.symantec.com/connect/ideas/symantec-endpoint-protection-usb-device-logging
 
 
 

Thanks In Advance

Ashish Sharma

 

 

Antoine's picture

 

It was good for usb activy log in my settings but thanks for your explication for reading log from SEPM.

 

But why can't we export these log automatically with a report ?

In the monitor, i've defined a filter so i can see very quickly usb activity log.
But i can't use this filter in report setting ?

It could be interresting to a have a summary weekly with all the usb activity log.

 

Do you have an idea ?

 

 

 

Ashish-Sharma's picture

Hi,

Check this thread may be help

 

USB Storage Device Full Logs Description in SEPM 12.13

https://www-secure.symantec.com/connect/forums/usb...

Thanks In Advance

Ashish Sharma

 

 

Antoine's picture

 

Hi thanks for your link but my question is the same since first of this topic.

Maybe with these screens, it could be better

 

Here is the screen in SEPM Monitor. This is good, i see just only USB log (with one filter ). It's ok

 

But when i try to receive automatic notification, it's not good.

=> my notification condition settings:

 

=> Here is my notification received by mail

Better quality in the attachment file

 

 

So as you could see, there are a lot of line (in red)  that i don't want to see.

What's the problem ?

How to receive only USB log lines by mail  ?

 

SEPM_Report_USBlog.png
Ashish-Sharma's picture

Hi,

I wish i could.

I think this format not possible in mail notification.

Thanks In Advance

Ashish Sharma

 

 

Ashish-Sharma's picture

HI,

I have raised one of idea behalf of you.

https://www-secure.symantec.com/connect/ideas/cust...

Thanks In Advance

Ashish Sharma