Endpoint Protection

 View Only

  • 1.  Log utilisation clé USB

    Posted Dec 19, 2012 04:15 AM

    Bonjour,

     


    Tout d'abord j'utilise la version SEPM 12.1.1000.157 RU1 et les clients sont également en version 12.1.1000.157 RU1


    Pour des raisons de sécurité, j'ai besoin d'avoir les logs des utilisations des ports USB (lecture/ecritre des fichiers)

    J'ai donc activé une [politique de contrôle des applications et des périphériques] et activé l'option [Consigner les fichiers écrits sur lecteur USB [AC5]]

    J'ai bien les logs qui se mettent à jour sur chaque client. Je peux voir le log dans le journal de controle - Journaux de gestion des clients.

     


    Cependant, j'ai deux questions que je n'arrive pas à résoudre :

    1/ Comment pouvoir consulter les logs des clients à distance ? Est-il possible de consulter les logs depuis SEPM ?

    ------------------------------------

    2/ Comment definir des alertes d'utilisation ?

    J'ai défini une [alerte de controles avec la sécurité des clients / option evenements de controles des périphériques]. Je vois bien l'utilisation presque en direct cependant l'alerte est polluée par des lignes [SysPlant Aucun(e)   Le contrôle d'application et de périphérique est prêt. ]   et d'autres comme [C:/Program Files/Research In Motion/BlackBerry Desktop/Rim.Desktop.exe ] ou encore [C:/Program Files/Symantec/Symantec Endpoint Protection/12.1.1000.157.105/Bin/ccSvcHst.exe ] et j'ai donc beaucoup de lignes qui ne servent a rien dans mon log.

    Est-il possible d'avoir des alertes uniquement pour la lecture / creation de fichier sur les clés USB ?

    ------------------------------------


    Merci de votre aide


     



  • 2.  RE: Log utilisation clé USB

    Posted Dec 19, 2012 04:22 AM

     

    Hi,
    solution
     
    1: Connectez-vous pour Symantec Endpoint Protection Manager Console / SEPM
     
    2: cliquez sur "Politiques" -> cliquez sur "Application et contrôle de périphérique" sous "Afficher les politiques" -> modifier ou en créer une nouvelle application -> cliquer sur "Contrôle des applications" -> sur le panneau de droite, activez l'option "Connexion Les fichiers écrits sur les pilotes USB "
     
    3: cliquez sur bouton d'édition pour éditer «Fichiers journaux écrits pour les lecteurs USB" configuration de la politique
     
    4: Cliquez sur "Connexion écrites sur des disques USB" sous "Connexion écrites sur des disques USB" sur le panneau de gauche
     
    5: dans "Propriétés" étiquette, choisir le périphérique USB sera utilisé pour cette politique, par défaut est "*" signifie tout ce qui est périphérique USB seront appliqués avec ces paramètres.
     
    6: sous la rubrique "Actions", si vous souhaitez simplement enregistrer la création, la suppression ou l'écriture des tentatives de périphérique USB, s'il vous plaît cliquer sur "activer la journalisation" dans "créer, supprimer ou tentative d'écriture". si vous souhaitez enregistrer la lecture attemp soit, vous avez besoin de cocher "exploitation forestière ebable" sous "tentative de lecture"
     
    7: cliquez sur «OK» deux fois, puis faites un clic gauche de cette politique et d'affecter cette politique à des groupes
     
    comment afficher l'enregistrement de l'activation USB?
     
    1: identifier SEPM
     
    2: cliquez sur "Monitor" sur le panneau de gauche SEPM
     
    3: cliquez sur "logs" tag
     
    4: choisissez "contrôle des applications et le dispositif" comme type de journal, choisissez "contrôle des applications" comme contenu du journal.
     
    5: choisir l'intervalle de temps approperal et cliquez sur "afficher le journal" bouton
     
    6: vous pouvez trouver les mêmes informations de base de données de table "DBA.AGENT_BEHAVIOR_LOG_2"
     
     
    Vérifiez-les -
     
    https://www-secure.symantec.com/connect/forums/how-see-written-activity-usb-drive
     
    http://www.symantec.com/docs/TECH96690
     
    Toutefois lire ce IDEA ainsi -
     
    https://www-secure.symantec.com/connect/idea/files-written-usb-drives-detailed-log
     
    https://www-secure.symantec.com/connect/ideas/symantec-endpoint-protection-usb-device-logging
     
     
     


  • 3.  RE: Log utilisation clé USB

    Posted Dec 21, 2012 06:24 AM

     

    It was good for usb activy log in my settings but thanks for your explication for reading log from SEPM.

     

    But why can't we export these log automatically with a report ?

    In the monitor, i've defined a filter so i can see very quickly usb activity log.
    But i can't use this filter in report setting ?

    It could be interresting to a have a summary weekly with all the usb activity log.

     

    Do you have an idea ?

     

     

     



  • 4.  RE: Log utilisation clé USB

    Posted Dec 21, 2012 06:28 AM

    Hi,

    Check this thread may be help

     

    USB Storage Device Full Logs Description in SEPM 12.13

    https://www-secure.symantec.com/connect/forums/usb-storage-device-full-logs-description-sepm-121



  • 5.  RE: Log utilisation clé USB

    Posted Dec 27, 2012 04:42 AM
      |   view attached

     

    Hi thanks for your link but my question is the same since first of this topic.

    Maybe with these screens, it could be better

     

    Here is the screen in SEPM Monitor. This is good, i see just only USB log (with one filter ). It's ok

     

    But when i try to receive automatic notification, it's not good.

    => my notification condition settings:

     

    => Here is my notification received by mail

    Better quality in the attachment file

     

     

    So as you could see, there are a lot of line (in red)  that i don't want to see.

    What's the problem ?

    How to receive only USB log lines by mail  ?

     



  • 6.  RE: Log utilisation clé USB

    Posted Dec 27, 2012 04:49 AM

    Hi,

    I wish i could.

    I think this format not possible in mail notification.



  • 7.  RE: Log utilisation clé USB

    Posted Dec 28, 2012 01:54 AM

    HI,

    I have raised one of idea behalf of you.

    https://www-secure.symantec.com/connect/ideas/customize-sepm-mail-notification-report-tab