Flow-Aktion „Netzwerkstatistiken über Netstat“ abrufen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Mit der Flow-Aktion „Security Common Orchestration – Netzwerkstatistiken über Netstat abrufen“ werden die Netzwerkstatistiken für eine betroffene Ressource in einem Windows-basierten System abgerufen. Diese Flow-Aktion kann den Untersuchungs- und Korrekturprozess beschleunigen.

    Die Flow-Aktion „Netzwerkstatistiken über netstat abrufen“ kann mit jedem Flow verwendet werden, um Netzwerkstatistiken aus einem Windows-basierten System abzurufen. Der Computer wird mit dem Befehl netstat einschließlich der Parameter „-a“ und „-o“ abgefragt. Um die Ausgabedaten zu verbessern, wird auch der Befehl „get-process“ aufgerufen.

    Ergebnisse

    Mögliche Ergebnisse für diese Flow-Aktion sind:

    Tabelle : 1. Ergebnisse
    Ergebnis Beschreibung
    Erfolg Netzwerkstatistiken wurden im JSON-Format abgerufen.
    Fehler Beim Versuch, Netzwerkstatistiken abzurufen, ist ein Fehler aufgetreten. Weitere Fehlerinformationen sind im Ausgabefehler der Flow-Aktion verfügbar.
    Tabelle : 2. Eingabevariablen
    Variable Beschreibung
    Ziel [Zeichenfolge] Der vollqualifizierte Domänenname (FQDN) oder die IP-Adresse des Zielsystems.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

    Tabelle : 3. Ausgabevariablen
    Variable Beschreibung
    Antwort [Zeichenfolge]

    Eine JSON-Zeichenfolge, die die aktuell auf dem Zielcomputer laufenden Prozesse darstellt.

    JSON-Daten enthalten:

    pid
    Prozessbezeichner
    local _port
    Lokaler Port für die Netzwerktransaktion
    state
    Status der TCP-Verbindung.
    Hinweis:
    Dieses Feld ist für UDP-Verbindungen null.
    local_address
    Lokaler vollqualifizierter Domänenname (FQDN) oder IP-Adresse
    remote_address
    Vollqualifizierter Remote-Domänenname (FQDN) oder IP-Adresse
    protocol
    TCP oder UDP
    remote_port
    Remote-Port der Netzwerktransaktion
    path
    Der Dateipfad der ausführbaren Prozessdatei
    hash
    Der Hash-Wert der ausführbaren Prozessdatei. Der Hashwert ist SHA-256 für PowerShell V4 oder höher. Andernfalls befindet sich der Hash in MD5.

    Beschränkungen

    Der MID Server muss PowerShellunterstützen.

    SHA-256-Hash erfordert PowerShell V4.