Laufende Services abrufen – WMI-Ergänzung

  • Freigeben Version: Washingtondc
  • Aktualisiert 10. Januar 2026
  • 1 Minute Lesedauer

    • Der Workflow „ Security Incident Response – Laufende Services abrufen“ erfasst laufende Services für ein Konfigurationselement, das einem Security Incident hinzugefügt wurde.

    Die Aktivität „Laufende Services abrufen – WMI-Ergänzung “ wird automatisch gestartet, um Informationen zu laufenden Services für einen Windows-Host abzurufen.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.

    Tabelle : 1. Eingabevariablen
    Variable Beschreibung
    Ziel [Zeichenfolge] Vollständig qualifizierter Domänenname (FQDN) des Zielsystems.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

    Tabelle : 2. Ausgabevariablen
    Variable Beschreibung
    Antwort [Zeichenfolge]

    Eine JSON-Zeichenfolge, die die aktuell ausgeführten Services auf dem Zielsystem darstellt.

    JSON-Daten umfassen:

    Name
    Der Name des Service
    pid
    Der Prozessbezeichner des ausgeführten Service
    service_type
    (Optional) Der Typ des ausgeführten Service.
    start_name
    Der Systemname für den Service
    path
    Der Dateipfad der ausführbaren Datei des ausgeführten Service
    start_mode
    Der Startmodus des ausgeführten Service.
    display_name
    Der Name des ausgeführten Service, wie er dem Benutzer angezeigt wird

    Beschränkungen

    Der MID Server muss PowerShellunterstützen.

    SHA-256-Hash erfordert PowerShell V4.