top of page

Control de Accesos a Unidades Removibles

ACCESOS USB

image.png

Si se activa la opción, es posible registrar los accesos de dispositivos extraíbles (memorias USB, discos externos, tarjetas SD o MicroSD) en todas las máquinas de la red.

Para habilitar el registro de estos eventos, dispone de una guía sencilla haciendo clic en el botón (i).

image.png

Al activar la opción de notificación, recibirá un aviso cada vez que un usuario inserte un dispositivo extraíble.


⚠️ Atención: algunas plataformas de virtualización pueden presentar sus unidades virtuales como

“unidades extraíbles”; en ese caso, Windows será “engañado”.

Póngase en contacto con su proveedor para averiguar cómo mostrar la unidad correctamente como

“File System” y no como “Removable Storage”.

Para activar el registro de unidades extraíbles, es necesario:

  1. Activar la opción “Controlar almacenamiento extraíble” en las GPO                                          (Configuración avanzada > Acceso a objetos).

  2. Modificar la clave de registro habilitando la opción HotplugSecureOpen.

image.png
image.png

Registro del evento 6416: se ha incorporado la gestión del evento de Windows 6416, que permite

registrar automáticamente la conexión de dispositivos externos mediante el mecanismo Plug and Play.

En concreto, se rastrean los dispositivos USB con capacidad de almacenamiento, tales como:

  • Memorias USB

  • Discos duros externos

  • Tarjetas inteligentes USB

  • Otros dispositivos de almacenamiento extraíble

El evento se almacena en la fuente WINLOG, dentro de la categoría Plug and Play Events, donde

se registran tanto el tipo de dispositivo como su descripción de hardware.

En cuanto a la integración con el módulo SOC, éste aprovecha dichos eventos para alimentar sus procesos

de detección y notificación.

  • Señalar la inserción de dispositivos USB en equipos específicos.

  • Generar notificaciones o alertas dirigidas, por ejemplo, para el seguimiento por usuario o por estación.

​​

Quienes dispongan del plugin USB activo también pueden acceder a detalles avanzados, incluido el

contenido de los dispositivos conectados.

Funcionalidad de alerta


El evento 6416 puede configurarse de forma individual, lo que permite establecer notificaciones automáticas basadas en criterios específicos:

  • Inserción por parte de un usuario determinado

  • Conexión en un equipo específico

  • Tipo de dispositivo detectado

Activación del registro del evento 6416

Para activar el registro del evento es necesario configurar el criterio de control de seguridad siguiente:

Directivas de seguridad locales →
Configuración avanzada de directivas de auditoría →
Directivas de control del sistema → Auditoría detallada →
Controlar actividad Plug and Play
✅ Ajustar en: Éxito y error

image.png

ANÁLISIS IA

Está disponible (previa licencia dedicada) el nuevo botón Análisis IA en las cuadrículas de logs.

Esta función permite enviar hasta 100 eventos mostrados al motor de IA, que los analiza para resaltar automáticamente los logs críticos o sospechosos, ofreciendo una evaluación contextual y comprensible

incluso para usuarios menos experimentados.

El objetivo es proporcionar un soporte interpretativo avanzado, mejorando la comprensión de los logs

de seguridad y agilizando la identificación de acciones potencialmente riesgosas.

Si se superan los 100 logs, el sistema avisa y solo toma en consideración los primeros.

El informe generado es imprimible y exportable.

image.png
bottom of page