Serveur MID Journal d’audit de la commande

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Le journal d’audit des commandes enregistre les commandes exécutées par le Serveur MID pour l’application Détection . Passez en revue les commandes pour vérifier s’il y a des anomalies ou des erreurs.

    Indicateur de configuration pour la phase de sécuritéAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID ServerAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID Server

    Le journal d’audit des commandes du MID Server est un enregistrement des commandes que les commandes exécutent pendant la Serveur MID détection. Par exemple, l’exécution d’un modèle peut exécuter plusieurs commandes distinctes. Le Serveur MID journal d’audit des commandes prend en charge les commandes PowerShell pour WMI et WinRM. Pour les commandes SSH, le journal d’audit prend en charge SSNC mais pas J2SSH. Au Québec, le journal d’audit des commandes prend uniquement en charge l’enregistrement des commandes exécutées pendant la détection.

    Activer le journal d’audit de commande

    Le Serveur MID journal d’audit est activé avec la Serveur MID propriété mid.log.command_audit.enable, qui est définie par défaut sur faux. Ajoutez la propriété dans la table Propriétés du MID Server [ecc_agent_property_list.do]. Une fois activés, les journaux d’audit Serveur MID de commande sont accessibles dans l’instance en accédant à Serveur MID > Journaux d'audit de commande [ecc_agent_command_audit_log_list.do]. Pour afficher ou modifier cette table, l’utilisateur doit avoir le rôle agent_security_admin.

    Données typiques dans les journaux d’audit des commandes du MID Server.

    Données enregistrées dans les journaux d’audit de commande

    Le Serveur MID journal d’audit de la commande enregistre le nom de la commande et le hachage de la commande. Si, par exemple, pendant la détection, une sonde n’exécute pas de commande, mais un script, le nom du script est enregistré. Le hachage de la commande est calculé en fonction du contenu du script, quel que soit son nom. Par conséquent, la modification du nom n’affecte pas le hachage de la commande.

    Lorsqu’une sonde, telle qu’une WMIRunner, exécute une commande avec plusieurs champs WMI, WMI crée un script pour interroger ces champs. Le script est créé temporairement sur l’hôte Serveur MID dans le dossier temp. Une fois le script exécuté, il est supprimé du dossier temporaire. Le script reçoit un nom basé sur les champs et un nombre aléatoire. Cependant, la clé de hachage est toujours la même pour les mêmes contenus.

    Le journal d’audit de commande signale l’état d’exécution comme une réussite ou un échec. L’entrée d’enregistrement est une réussite si la commande a été exécutée ou un échec si elle n’a pas pu s’exécuter. Le journal d’audit de la commande ne prend pas en compte le résultat de la commande en cours d’exécution. Par exemple, une commande qui s’exécute mais échoue à collecter des données est toujours répertoriée dans l’état d’exécution comme réussie.

    Discovery prend en charge les profils JEA pour WinRM. Le Serveur MID journal d’audit de la commande enregistre le profil JEA de la commande de détection, s’il est disponible. Pour plus d’informations sur les profils JEA, consultez Microsoft Just Enough Administration (JEA) pour Discovery .

    Par défaut, la table fait l’objet d’une rotation tous les sept jours. Pour plus d’informations, reportez-vous à la section Rotation de tables.