被动设备取证工具

Question

不确定是否有一个工具，但我基本上想找到一个或多个软件，我可以安装在网络中的所有主机上，例如我的办公室网络，如果有人将USB卡插入一台机器，或者他们下载/上传了一段代码，我可以注意到这些事件。

是否有什么东西至少可以做一件这样的事情，或者它更像是我需要建立的一个定制的解决方案？

任何建议都会很好。

Answer 1

基于主机的入侵检测系统应满足您的要求。可以是基于代理的或无代理的(远程代理)，在任何情况下，您都需要编写适当的策略来满足您的需求。监视事件的示例:文件校验和、日志事件、网络连接、内存中运行的进程等。

基于主机的IDS软件示例: OSSEC (请注意:基于此免费和开放源码软件的可用性进行评估的示例，不建议在生产环境中使用它以实现您的目标)。http://www.ossec.net

Answer 2

McAfee ePO (a.k.a McAfee病毒扫描)有一个附加组件，可以通过集中式ePO控制台管理端点配置扫描，还有另一个组件用于DLP被动敏感数据扫描，systems.bit可以阻止设备、特定设备，并且只允许传输特定数据。取决于规模，它可以是一个昂贵的或非常符合成本效益的解决方案。

我们也有赛门铁克、SEP和CSP，但它们正在被移除，因为它们是系统本身的巨大资源，据我所知，SEP组件产生了大量过剩的网络活动。基本上是猪和周围的痛苦，其中一些可能是人.我只是看到了它对我的生产系统做了什么，每当他们触摸它的配置。

它不是100%清楚您想要保护的最终目标或内容，如果您正在寻找敏感数据搜索，有各种特定数据的专用工具。

我个人使用过IC卡侦察和McAfee的代理和基于设备的DLP进行敏感数据搜索。Card是真正好的冠心病，很低的假阳性率对卡数据和可以做其他类型的数据，但确实错过了一些东西。McAfee DLP需要一些认真的调整，以减少假阳性，因此其结果是可消化的。