Elenco Accessi USB
Se l’opzione è attivata, è possibile rilevare gli accessi ai dispositivi removibili (chiavette USB, dischi esterni,
SD, MicroSD) su tutte le macchine della rete.
Attivazione
Per abilitare la registrazione di questi eventi è disponibile una guida dedicata, accessibile cliccando sul pulsante [i].
Per attivare la registrazione degli archivi removibili è necessario:​
1. Abilitare l’opzione “Controlla Archivio rimovibile” nelle GPO (Configurazione Avanzata > Accesso agli oggetti).
2. Modificare la chiave di registro attivando l’opzione HotplugSecureOpen.
Notifiche
Attivando l’opzione di notifica, viene inviata una segnalazione ogni volta che un utente inserisce un dispositivo removibile.
ATTENZIONE:
Alcune piattaforme di virtualizzazione possono far apparire le proprie unità virtuali come unità removibili. In questo caso è Windows a interpretarli in modo errato: contattare il fornitore per configurare l’unità come File System e non come Removable Storage.
Attivazione registrazione evento 6416
Per attivare la registrazione dell’evento è necessario configurare il seguente criterio di sicurezza:​
Criteri di sicurezza locali → Configurazione avanzata dei criteri di controllo → Criteri di controllo del sistema → Analisi dettagliata → Controlla Attività Plug and Play
​
Impostare su: "Esito positivo e negativo".
-
Registrazione evento 6416
È stata introdotta la gestione dell’evento Windows 6416, che consente di registrare automaticamente il collegamento di dispositivi esterni tramite meccanismo Plug and Play.
In particolare, vengono tracciati i dispositivi USB dotati di capacità di archiviazione come:​
-
Chiavette USB
-
Hard disk esterni
-
Smart card USB
-
Altri dispositivi di storage rimovibili
L’evento viene registrato nella sorgente WINLOG, categoria Plug and Play Events, riportando il tipo di dispositivo e la descrizione hardware.
-
Funzionalità di allarme
L’evento 6416 è configurabile come allarme, permettendo notifiche automatiche in base a criteri specifici:
-
Inserimento da parte di un determinato utente;
-
Collegamento su una determinata macchina;
-
Tipo di dispositivo rilevato.
-
Integrazione con modulo SOC
Il modulo SOC utilizza questi eventi per:
-
Segnalare l’inserimento di dispositivi USB su specifici PC.
-
Generare notifiche o allarmi mirati (per utente o postazione).
Con il plugin USB attivo è inoltre possibile accedere a dettagli avanzati, inclusi i contenuti dei dispositivi collegati.
Spiega il log selezionato
Questa funzione utilizza un motore di analisi semantica basato su Intelligenza Artificiale per interpretare automaticamente il contenuto di un singolo evento Syslog. Il sistema analizza il messaggio e ne restituisce una spiegazione dettagliata, suddivisa in sezioni:
-
Cosa è successo: descrive l’evento rilevato in linguaggio naturale, indicando l’utente, il dispositivo e il contesto tecnico (es. accessi, errori o modifiche).
-
Perché conta: spiega la rilevanza dell’evento, evidenziando rischi, vulnerabilità o implicazioni di sicurezza.
-
Azioni: suggerisce i controlli o le verifiche consigliate per la gestione dell’evento o la risoluzione del problema.
Quando non sono disponibili informazioni specifiche per un determinato evento, la scheda Wiki riporta i dettagli tecnici dell’ID evento, insieme a possibili azioni alternative o indicazioni per ulteriori approfondimenti.
La spiegazione può essere stampata o salvata tramite i comandi disponibili nella parte inferiore della finestra.
Analisi IA
Disponibile con licenza dedicata, il pulsante [Analisi IA] nelle griglie di log consente di inviare fino a 100 eventi all’intelligenza artificiale, che li analizza per evidenziare automaticamente i log critici o sospetti, fornendo una valutazione contestuale e di facile lettura anche per utenti non esperti.
L’obiettivo è offrire un supporto interpretativo avanzato, migliorando la comprensione dei log di sicurezza e velocizzando l’individuazione di azioni potenzialmente rischiose.
Se gli eventi superano i 100, il sistema notifica l’eccedenza e considera solo i primi.
Il report generato è stampabile ed esportabile.