MID-Server Befehlsauditprotokoll

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Das Befehlsauditprotokoll zeichnet die Befehle auf, die von MID-Server für die Anwendung Discovery ausgeführt werden. Überprüfen Sie die Befehle auf Anomalien oder Fehler.

    Setup-Indikator für SicherheitsphaseSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurierenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurieren

    Das Audit-Protokoll für MID Server-Befehle ist eine Aufzeichnung der Befehle, die MID-Server während der Erkennung ausführt. Beispielsweise kann die Ausführung eines Musters viele separate Befehle ausführen. Das Befehlsauditprotokoll MID-Server unterstützt PowerShell-Befehle für WMI und WinRM. Bei SSH-Befehlen unterstützt das Audit-Protokoll SSNC, jedoch nicht J2SSH. In Quebec unterstützt das Befehlsauditprotokoll nur die Aufzeichnung der Befehle, die während der Erkennung ausgeführt werden.

    Aktivieren Sie das Befehlsauditprotokoll

    Das MID-Server Audit-Protokoll wird mit der MID-Server -Eigenschaft mid.log.command_audit.enableaktiviert, die standardmäßig auf „false“ festgelegt ist. Fügen Sie die Eigenschaft in der Tabelle „ MID Server-Eigenschaften “ [ecc_agent_property_list.do] hinzu. Nach der Aktivierung wird auf die Audit-Protokolle des Befehls MID-Server in der Instanz zugegriffen, indem Sie zu navigieren MID-Server > Befehlsauditprotokolle [ecc_agent_command_audit_log_list.do]. Um diese Tabelle anzuzeigen oder zu ändern, muss der Benutzer über die Rolle agent_security_admin verfügen.

    Typische Daten in den Audit-Protokollen des MID Server-Befehls.

    In den Befehlsauditprotokollen aufgezeichnete Daten

    Das Befehlsauditprotokoll MID-Server zeichnet den Namen des Befehls und den Befehls-Hash auf. Wenn beispielsweise während der Erkennung eine Probe keinen Befehl, sondern ein Skript ausführt, wird der Skriptname aufgezeichnet. Der Befehls-Hash wird unabhängig vom Namen basierend auf dem Inhalt des Skripts berechnet. Daher wirkt sich das Ändern des Namens nicht auf den Befehls-Hash aus.

    Wenn eine Probe, z. B. ein WMIRunner, einen Befehl mit mehreren WMI-Feldern ausführt, erstellt WMI ein Skript, um diese Felder abzufragen. Das Skript wird temporär auf dem Host MID-Server im temporären Ordner erstellt. Nachdem das Skript ausgeführt wurde, wird es aus dem temporären Ordner entfernt. Das Skript erhält einen Namen basierend auf den Feldern und eine Zufallszahl. Der Hash-Schlüssel ist jedoch bei gleichem Inhalt immer derselbe.

    Das Befehlsauditprotokoll meldet den Ausführungsstatus entweder als Erfolg oder Fehler. Der Datensatzeintrag ist ein Erfolg, wenn der Befehl ausgeführt wurde, oder ein Fehler, wenn er nicht ausgeführt werden konnte. Das Befehlsauditprotokoll berücksichtigt nicht das Ergebnis des ausgeführten Befehls. Zum Beispiel wird ein Befehl, der ausgeführt wird, aber beim Sammeln von Daten fehlschlägt, weiterhin im Ausführungsstatus als Erfolg aufgeführt.

    Discovery unterstützt JEA-Profile für WinRM. Im Audit-Protokoll des Befehls MID-Server wird das JEA-Profil des Erkennungsbefehls aufgezeichnet, sofern verfügbar. Weitere Informationen zu JEA-Profilen finden Sie unter Microsoft Just Enough Administration (JEA) for Discovery.

    Standardmäßig wird die Tabelle alle sieben Tage rotiert. Weitere Informationen finden Sie unter Tabellenrotation.