Définitions de vérification de DEX pour Windows
Les définitions de vérification pour Windows sont des ensembles prédéterminés de règles et de critères qui évaluent les performances, la sécurité et la conformité des appareils Windows. Ces vérifications peuvent couvrir divers aspects tels que l'utilisation du processeur, l'utilisation de la mémoire, les tests et les octets de réseau ainsi que les utilisateurs connectés.
Pour extraire les données complètes du playbook pour un appareil Windows, Agent Client Collector (ACC) doit s'exécuter en tant que compte système local. Pour en savoir plus sur la configuration du service ACC en tant que compte système local, consultez Exécuter ACC en tant qu’utilisateur de compte système local.
Remarque :
Vous pouvez configurer les définitions de vérification et les données récupérables associées. Certaines des définitions de vérification répertoriées peuvent récupérer des données qui contiennent des informations personnelles ou qui sont considérées comme des informations personnelles.
Définitions de vérification : application (mesures)
DEX offre les définitions de vérification suivantes qui sont accessibles uniquement lorsque l'application est en cours d'exécution, à l'exception des définitions de vérification os.win.check-app-crash-rate et os.win.check-app-last-access-time, qui le sont même lorsque l'application n'est pas en cours d'exécution. Dans les paramètres de définition de vérification :
- appName = nom de l'application. Exemple : Zoom.
- appSysId= sys_id de l’application.
- primaryProcess = liste des processus primaires de l'application séparés par un symbole de barre verticale (|). Le premier processus qui existe sur l'appareil de point de terminaison est prioritaire. Exemple 1 : chrome.exe. Exemple 2 : teams.exe|msteams.exe.Remarque :Si le processus primaire de l’application Microsoft Teams dans Windows 10 est teams.exe et que dans Windows 11, il est msteams.exe, lors de la détermination de la priorité en fonction de la disponibilité des processus sur l’appareil de point de terminaison, le processus qui est présent en premier sur l’appareil de point de terminaison a la priorité.
- secondaryProcesses = liste des processus secondaires de l'application séparés par un symbole de barre verticale (|). Exemple : cpthost.exe|cptservice.exe.
| Vérifier le nom de la définition | Paramètres de définition de vérification | Description |
|---|---|---|
| os.win.check-app-cpu-usage |
|
Vérifie la quantité de ressources de processeur utilisées par le processus primaire et le processus secondaire de l’application. |
| os.win.check-app-memory-usage |
|
Vérifie la quantité de mémoire utilisée par le processus primaire et le processus secondaire de l’application. |
| os.win.check-app-last-access-time |
|
Vérifie l'heure la plus récente de l'exécution de l'application. Remarque :
|
| os.win.check-app-last-updated |
|
Vérifie l'heure et la date de la dernière installation de la mise à jour de l'application. |
| os.win.check-app-crashes |
|
Récupère le taux d'incidents de l'application. Cette définition de vérification prend en charge les applications qui émettent un événement de rapport d’erreur de fenêtre (WER) (ID d’événement = 1000) lors d’un plantage.
Remarque : Cette définition de vérification ne nécessite pas que l'application soit en cours d'exécution. |
| os.win.check.app. Gels |
|
Récupère le taux de gel de l’application au cours des 5 dernières minutes. Cette définition de vérification prend en charge les applications qui émettent des événements de rapport d’erreur de fenêtre (WER) (ID d’événement = 1001 ou 1002) lors du gel.
Remarque : Cette définition de vérification ne nécessite pas que l'application soit en cours d'exécution. |
| os.win.check-app-uptime |
|
Vérifie la durée d'activité de l'application donnée. |
| os.win.check-app-incoming-network-bytes |
|
Récupère les octets de réseau entrants d'une application pour les réseaux IPv4 et IPv6. |
| os.win.check-app-outgoing-network-bytes |
|
Récupère les octets de réseau sortants d'une application pour les réseaux IPv4 et IPv6. |
| os.win.check-app-domain-network-details |
|
Récupère la latence du réseau, la perte de paquets et la gigue pour le domaine de l'application installée. Remarque : Le système utilise l’Internet Control Message Protocol (ICMP) pour collecter des mesures de performances réseau, telles que la latence, la gigue et la perte de paquets. |
| os.win.check-app-domain-network-route-details |
|
Récupère les détails complets de l'acheminement réseau pour le domaine de l'application. |
| os.win.check-app-sccm | Néant | Récupère les mesures spécifiques à l’application pour l’application : Microsoft System Center Configuration Manager. |
| os.win.check-app-zscaler-service-status |
|
Récupère les informations sur l’état de service Zscaler. |
Définitions de vérification : appareil (mesures)
DEX assure les types suivants de définitions de vérification pour l'appareil.
| Vérifier le nom de la définition | Description |
|---|---|
| os.win.check-system-cpu-usage | Vérifie l'utilisation actuelle du processeur. |
| os.win.check-system-cpu-details | Récupère l’ID et le nom du processeur, le nombre de cœurs physiques et logiques ainsi que les informations d’architecture. |
| os.win.check-system-memory-usage | Vérifie l'utilisation actuelle de la mémoire système. |
| os.win.check-system-last-access-time | Vérifie le dernier accès à l'appareil actuel. Remarque : Cette définition de vérification fonctionne sur les appareils verrouillés et déverrouillés. La première fois que cette définition de vérification s’exécute, les événements sont capturés et un message d’erreur s’affiche, car aucune donnée préalable n’est disponible. |
| os.win.check-system-uptime | Vérifie le temps écoulé depuis le dernier démarrage du système. |
| os.win.check-system-disk-io-usage-read | Récupère les octets de disque lus par seconde. |
| os.win.check-system-disk-io-usage-write | Récupère les octets de disque écrits en fonction de la seconde. |
| os.win.check-system-energy-consumption | Récupère les valeurs de consommation d'énergie pour le processeur, le SoC, l'affichage, le disque, le réseau, le MBB, l'EMI, les autres éléments, le total et la perte d'un appareil Windows en milliwattheures. Remarque : Cette définition de vérification n'est pas compatible avec les machines virtuelles qui ne disposent pas de capteurs d'énergie. Contrairement à d'autres définitions de vérification qui récupèrent les données les plus récentes, cette définition de vérification récupère la somme des 5 dernières minutes de données. |
| os.win.check-system-time | Vérifie l'heure actuelle en heure universelle coordonnée (UTC) à l'aide de l'horodatage UNIX. |
| os.win.check-system-power-plan | Récupère le nom du plan de gestion de l'alimentation actif. |
| os.win.check-system-os-details | Récupère le nom, la version, la plateforme, l'architecture et la date d'installation du système d'exploitation. |
| os.win.check-system-device-crashes | Récupère les détails des différents incidents sur votre appareil. Remarque : Cette définition de vérification prend en charge l'écran bleu qui émet des événements système avec des ID d'événement = 41,1001. |
| os.win.check-system-device-events | Récupère les détails des événements qui se sont produits sur l'appareil pendant l'intervalle de temps spécifié. Les événements pour Windows incluent : le dernier démarrage et les utilisateurs connectés. |
| os.win.check-system-disk-usage | Récupère l'espace disque utilisé en pourcentage de l'espace total. |
| os.win.check-system-battery-details | Récupère les données relatives à la batterie, y compris le pourcentage restant de la batterie, la tension prévue, l'autonomie estimée et la capacité maximale de la batterie. Remarque :
|
| os.win.check-system-network-details | Récupère les détails du réseau, y compris Ethernet, Wi-Fi et d'autres informations pertinentes. |
| os.win.check-system-logged-in-users | Vérifie l'ID utilisateur de connexion des utilisateurs connectés à l'appareil. |
| os.win.check-system-power-consumption | Récupère la consommation électrique de l'appareil en milliwatts. Remarque : Cette définition de vérification est exclusivement compatible avec les ordinateurs physiques et ne prend pas en charge les ordinateurs virtuels. |
| os.win.check-system-admin-users | Récupère tous les comptes utilisateurs disposant de privilèges d'administration locaux. |
| os.win.check-system-bsod | Récupère le nombre, le message, l'ID, le niveau et l'heure des occurrences d'écran bleu. Remarque : Cette définition de vérification prend en charge l'écran bleu qui émet des événements système avec des ID d'événement = 1001. |
| os.win.check-system-firewall-enabled | Vérifie si le pare-feu du système d'exploitation est actif et activé. |
| os.win.check-system-antimalware-details | Récupère les détails du logiciel anti-programme malveillant sur l'appareil. |
| os.win.check-system-reboot-details | Récupère la durée du redémarrage en secondes et l'horodatage du dernier redémarrage (en heure Epoch UNIX). Remarque : Les valeurs affichées peuvent ne pas refléter fidèlement les cas où les redémarrages du système ont été interrompus, par exemple lors de mises à jour du système, d'une coupure de courant ou d'une intervention manuelle. |
| os.win.check-system-os-setup-details | Récupère l'âge approximatif du système d'exploitation pour l'appareil. |
| os.win.check-system-network-adapter-details | Récupère les détails de la carte réseau de l'appareil. |
| os.win.check-system-network-connection-profiles | Récupère les détails du profil de connexion réseau de l'appareil. Remarque : Cette définition de vérification récupère le type de réseau, qui peut être utilisé pour vérifier l’état du VPN. |
| os.win.check-system-compliance-details | Récupère les détails de conformité du système. Cela inclut la liste de toutes les applications configurées et les valeurs de mesures qui ne sont pas conformes, et calcule une note de conformité en fonction de ces informations. Remarque :
|
| os.win.check-system-battery-charge-percentage | Récupère le pourcentage de charge de la batterie sur l’appareil Windows. Remarque : Si la capacité actuelle est supérieure à la capacité nominale, la batterie est arrondie à 100 %. |
| os.win.check-system-windows-registry | Récupère les données du registre Windows. |
| os.win.check-system-memory-details | Récupère les détails de la mémoire système et les détails de la mémoire virtuelle. |
| os.win.check-system-bios-details | Récupère les détails du Bios système. |
| os.win.check-system-executables | Récupère tous les exécutables (*.exe) présents sur l’ordinateur Windows. |
| os.win.check-system-custom-query-on-change | Exécutez la requête personnalisée fournie dans les paramètres. S’exécute uniquement si la valeur change. |
| os.all.check.internal.get-device-configuration-on-change | Obtient les configurations d’un appareil. Exemple : sudo configuré, débogage activé, utilisateur agent, et ainsi de suite. S’exécute uniquement si la valeur change. |
| os.win.check-system-boot-details | Obtient les détails de démarrage le plus récent d’un appareil à partir du journal des Windows événements. Remarque : L’heure de démarrage n’est capturée que lors d’un démarrage complet de l’appareil. Windows génère l’ID d’événement 100 lors d’un démarrage complet pour mesurer les performances. L’heure de démarrage n’est pas enregistrée lorsque l’appareil reprend, est restauré ou démarré via des opérations à distance ou de machine virtuelle, car l’ID d’événement 100 n’est pas généré |
| os.win.check-system-gpu-usage-details | Surveillez l’utilisation du GPU (Graphics Processing Unit) et de la VRAM (Video Random Access Memory) sur la page Périphérique pour évaluer les performances graphiques et identifier les goulots d’étranglement. |
Définitions de vérification : actions de diagnostic
DEX assure les types suivants de définitions de vérification des actions de diagnostic.
| Vérifier le nom de la définition | Paramètres de définition de vérification | Description |
|---|---|---|
| Action de diagnostic | ||
| os.win.check-app-process-ids | --process_name=<nom du processus> | Récupère les ID de processus (PID) du processus parent et de tous les processus enfants associés à l'application. |
| os.win.check-process-cpu | Néant | Récupère la liste de tous les processus en cours d'exécution ainsi que leur pourcentage d'utilisation du processeur, leur temps processeur, leur ID de processus (PID), leur ID de processus parent (PPID) ainsi que leur nom. |
| os.win.check-process-memory | Néant | Récupère la liste de tous les processus en cours d'exécution ainsi que leur utilisation de la mémoire en kilo-octets (Ko), leur ID de processus (PID), leur ID de processus parent (PPID) ainsi que leur nom. |
| os.win.check-process-disk | Néant | Récupère la liste de tous les processus en cours d'exécution ainsi que leur utilisation du disque en octets, leur ID de processus (PID), leur ID de processus parent (PPID) ainsi que leur nom. |
| os.win.check-rssi-value | Néant | Récupère la valeur de l'indicateur d'intensité du signal reçu (RSSI) pour l'interface Wi-Fi actuellement connectée. La valeur RSSI indique l'intensité du signal entre le point d'accès sans fil (AP) et l'appareil, les valeurs RSSI plus élevées indiquant une intensité de signal supérieure. Remarque : Cette définition de vérification ne peut pas être appliquée à un ordinateur virtuel. |
| os.win.check-services-data | service_type =<type de service (un utilisateur, système ou tous) | Récupère la liste de tous les services avec le PID, le nom du service, le nom d'affichage du service, l'état et le type de service. |
Définitions de vérification : actions de rattrapage
DEX assure les types suivants de définitions de vérification des actions de rattrapage.
| Vérifier le nom de la définition | Paramètres de définition de vérification | Description |
|---|---|---|
| os.win.action-kill-process | --pid=<ID de processus> OU --process_name=<liste des noms de fichiers exécutables séparés par des virgules> Remarque : L'ID de processus a priorité sur le nom de l'application. |
Arrête un processus en cours d'exécution, plusieurs processus spécifiés par leur ID de processus (PID) ou une liste de noms de fichiers exécutables (.exe). |
| os.win.action-restart-service | --service_name=<nom de service> | Redémarre les services des utilisateurs connectés qui prennent un nom de service comme entrée dans le système. |
| os.win.action-flush-dns-cache | Néant | Vide le cache DNS sur un appareil Windows. |
| os.win.action-clear-browser-cache | --auto_close=<vrai/faux> Remarque : Lorsque la fermeture automatique est activée, le navigateur est fermé lors de l'effacement de son cache, et vice versa. --browsers=<Liste des navigateurs séparés par des virgules> |
Efface le cache des navigateurs pris en charge tels que Google Chrome, Mozilla Firefox et Microsoft Edge. Remarque : Avant d’exécuter cette définition de vérification, enregistrez le travail du navigateur. |
| os.win.action-clear-app-cache | auto_close = <Vrai/Faux si vous souhaitez que le processus soit fermé avant d'effacer le cache> process_name = <nom du processus> appName = <nom de l'application> cache_path = <chemin d'accès au dossier de cache> Remarque : Le chemin d’accès au cache est pris en charge pour Zoom, Microsoft Outlook et Microsoft Teams. Le chemin d'accès au cache doit être saisi sans le chemin d'accès à l'utilisateur. Par exemple, si le cache se trouve au chemin d'accès C:\User\<UserName>\AppData\Roaming\Zoom\data, saisissez AppData\Roaming\Zoom\data. |
Efface le cache de l'application. |
| os.win.action-network-drive | Action : <MAPPER/SUPPRIMER> drive_letter network_path |
Mappe ou supprime un lecteur réseau en fonction du paramètre d’entrée d’action, qui prend en charge les valeurs suivantes :
|
|
os.win.action-restart-application |
process_name = <nom du processus> appName = <nom de l'application> |
Redémarre l’application si elle est en cours d’exécution. |
| os.win.action-removable-usb-storage-access | Accès : <deny_read/deny_write/deny_execute> Valeur : <vrai/faux> |
Contrôle l’accès aux disques de stockage USB amovibles pour l’accès en lecture, en écriture et en exécution. Remarque :
|
| os.win.action-désinstallation-application | app_name = <nom de l’application> | Désinstallez une application. |
| os.win.action-zscaler-zpa-reconnect | Néant | Résout les problèmes de connectivité Zscaler. |
| os.win.action-restart-one-drive | Néant | Redémarre OneDrive sur l’ordinateur de l’utilisateur final. |
| nettoyage-disque.win.action | Néant | Efface les fichiers ou le cache indésirables à l’aide du nettoyage de Windows disque :
|
| os.win.action-windows-registry-action | registry_path = <chemin d’accès absolu de la clé de registre Windows> (chemin d’accès complet de la clé de registre à ajouter) registry_data = <données à ajouter ou à modifier dans une clé de registre donnée> Registry_type = <type de données de clé de registre> (une des options fournies par défaut) |
Apermet à l’utilisateur de créer une nouvelle clé de registre Windows ou d’en modifier une existante. Les utilisateurs peuvent ajouter de nouvelles clés ou mettre à jour les types de données et de valeur des entrées de registre existantes selon les besoins. |
| os.win.action-delete-file | file_name_or_path = <nom ou chemin d’accès du fichier> | Supprimezdéfinitivement le fichier saisi. Le fichier saisi doit avoir une extension de type valide. |
| os.win.action-clear-google-chrome-browsing-data | remove_web_data = <vrai/faux si vous souhaitez supprimer les données Web> | Supprime toutes les données de navigation sur Google Chrome de tous les profils Google Chrome. |
| os.win.action-purge-recyclage-corbeille | Néant | La purge de la corbeille effacera tous les fichiers de la corbeille. |
| os.win.action-reset-google-chrome-settings | Néant | Crécupère les paramètres et supprime toutes les extensions Google Chrome installées sur tous les profils Google Chrome. |
| os.win.action-toggle-power-plan | power_mode - Équilibré, hautes performances, économiseur d’énergie | Basculer entre les différents plans d’alimentation. |
| os.win.action-elevate-temporary-admin |
durée user_id = ID de l’utilisateur |
Élève l’accès administrateur temporaire aux utilisateurs pendant un certain temps afin d’effectuer des tâches spécifiques sans compromettre la sécurité. |
| os.win.action-fix-classic-outlook-data-files | Néant | Corrige les fichiers de données OST / PST à l’aide de SCANPST.EXE dans Outlook classique |