top of page

Lista de Accesos USB

Si la opción está activada, es posible detectar los accesos a dispositivos extraíbles (memorias USB, discos externos, SD, MicroSD) en todas las máquinas de la red

usbsss.png

Activación

Para habilitar el registro de estos eventos está disponible una guía específica, accesible haciendo clic en el botón [i].

Lista de Accesos USB 1.png

Para activar el registro de archivos extraíbles es necesario:​

1. Habilitar la opción “Control de almacenamiento extraíble” en las GPO (Configuración avanzada > Acceso a objetos).

LSP.png

2. Modificar la clave de registro activando la opción HotplugSecureOpen.

LSP2.png

Notificaciones

Al activar la opción de notificación, se enviará una alerta cada vez que un usuario inserte un dispositivo extraíble.

Lista de Accesos USB 2.png

ATENCIÓN:

Algunas plataformas de virtualización pueden hacer que sus unidades virtuales aparezcan como unidades extraíbles. En este caso, Windows puede interpretarlas de forma incorrecta: contactar con el proveedor para configurar la unidad como File System y no como Removable Storage.

Activación del registro del evento 6416

Para habilitar el registro del evento es necesario configurar el siguiente criterio de seguridad:​

Directivas de seguridad local → Configuración avanzada de auditoría → Directivas de auditoría del sistema → Auditoría detallada → Control de actividad Plug and Play

Configurar como: "Éxito y error".

LSP3.png

  • Registro del evento 6416

Se ha introducido la gestión del evento Windows 6416, que permite registrar automáticamente la conexión de dispositivos externos mediante el mecanismo Plug and Play.

En particular, se monitorizan dispositivos USB con capacidad de almacenamiento como:​

  • Memorias USB

  • Discos duros externos

  • Smart card USB

  • Otros dispositivos de almacenamiento extraíbles

El evento se registra en el origen WINLOG, categoría Plug and Play Events, indicando el tipo de dispositivo y la descripción del hardware.

  • Funcionalidad de alarma

El evento 6416 puede configurarse como alerta, permitiendo notificaciones automáticas basadas en criterios específicos:

  • Inserción por parte de un usuario determinado;

  • Conexión en una máquina específica;

  • Tipo de dispositivo detectado.

  • Integración con el módulo SOC

El módulo SOC utiliza estos eventos para:

  • Notificar la inserción de dispositivos USB en equipos específicos.

  • Generar notificaciones o alertas dirigidas (por usuario o estación de trabajo).

Con el plugin USB activo también es posible acceder a detalles avanzados, incluidos los contenidos de los dispositivos conectados.

Explicar el log seleccionado

Esta función utiliza un motor de análisis semántico basado en Inteligencia Artificial para nterpretar automáticamente el contenido de un único evento Syslog.

El sistema analiza el mensaje y devuelve una explicación detallada, dividida en secciones:

  • Qué ha sucedido: describe el evento detectado en lenguaje natural, indicando el usuario, el dispositivo y el contexto técnico (por ejemplo, accesos, errores o modificaciones).

  • Por qué es relevante: explica la importancia del evento, destacando riesgos, vulnerabilidades o implicaciones de seguridad.

  • Acciones: sugiere los controles o verificaciones recomendadas para la gestión del evento o la resolución del problema.

Cuando no hay información específica disponible para un determinado evento, la pestaña Wiki muestra los detalles técnicos del ID del evento, junto con posibles acciones alternativas o indicaciones para un análisis más profundo.

Lista de Accesos USB penultima.png
Lista de Accesos USB ultima.png

La explicación puede imprimirse o guardarse mediante los comandos disponibles en la parte inferior de la ventana.

Análisis IA

Disponible con licencia dedicada, el botón [Análisis IA] en las rejillas de logs permite enviar hasta 100 eventos a la inteligencia artificial, que los analiza para identificar automáticamente logs críticos o sospechosos, proporcionando una evaluación contextual y fácilmente comprensible incluso para usuarios no expertos.

El objetivo es ofrecer un soporte interpretativo avanzado, mejorando la comprensión de los logs de seguridad y acelerando la identificación de acciones potencialmente riesgosas.

Si los eventos superan los 100, el sistema notifica el exceso y considera únicamente los primeros.

El informe generado es imprimible y exportable.

Archivi Log

bottom of page