Définitions de vérification de DEX pour Windows
Les définitions de vérification pour Windows sont des ensembles prédéterminés de règles et de critères qui évaluent les performances, la sécurité et la conformité des appareils Windows. Ces vérifications peuvent couvrir divers aspects tels que l'utilisation du processeur, l'utilisation de la mémoire, les tests et les octets de réseau ainsi que les utilisateurs connectés.
Pour extraire les données complètes du playbook pour un appareil Windows, Agent Client Collector (ACC) doit s'exécuter en tant que compte système local. Pour en savoir plus sur la configuration du service ACC en tant que compte système local, consultez Exécuter ACC en tant qu’utilisateur de compte système local.
Remarque :
Vous pouvez configurer les définitions de vérification et les données récupérables associées. Certaines des définitions de vérification répertoriées peuvent récupérer des données qui contiennent des informations personnelles ou qui sont considérées comme des informations personnelles.
Définitions de vérification : application (mesures)
DEX offre les définitions de vérification suivantes qui sont accessibles uniquement lorsque l'application est en cours d'exécution, à l'exception des définitions de vérification os.win.check-app-crash-rate et os.win.check-app-last-access-time, qui le sont même lorsque l'application n'est pas en cours d'exécution. Dans les paramètres de définition de vérification :
- appName = nom de l'application. Exemple : Zoom.
- appSysId= sys_id de l’application.
- primaryProcess = liste des processus primaires de l'application séparés par un symbole de barre verticale (|). Le premier processus qui existe sur l'appareil de point de terminaison est prioritaire. Exemple 1 : chrome.exe. Exemple 2 : teams.exe|msteams.exe.Remarque :Si le processus primaire de l’application Microsoft Teams dans Windows 10 est teams.exe et que dans Windows 11, il est msteams.exe, lors de la détermination de la priorité en fonction de la disponibilité des processus sur l’appareil de point de terminaison, le processus qui est présent en premier sur l’appareil de point de terminaison a la priorité.
- secondaryProcesses = liste des processus secondaires de l'application séparés par un symbole de barre verticale (|). Exemple : cpthost.exe|cptservice.exe.
| Vérifier le nom de la définition | Paramètres de définition de vérification | Description |
|---|---|---|
| os.win.check-app-cpu-usage |
|
Vérifie la quantité de ressources de processeur utilisées par l'application. |
| os.win.check-app-memory-usage |
|
Vérifie la quantité de mémoire utilisée par l'application. |
| os.win.check-app-last-access-time |
|
Vérifie l'heure la plus récente de l'exécution de l'application. Remarque :
|
| os.win.check-app-last-updated |
|
Vérifie l'heure et la date de la dernière installation de la mise à jour de l'application. |
| os.win.check-app-crashes |
|
Récupère le taux d'incidents de l'application. Cette définition de vérification prend en charge les applications qui émettent des événements de rapport d’erreurs de fenêtre (WER) (ID d’événement = 1001 ou 1002) lors du gel.
Remarque : Cette définition de vérification ne nécessite pas que l'application soit en cours d'exécution. |
| os.win.check.app.gèle |
|
Récupère le taux de gel de l’application au cours des 5 dernières minutes. Cette définition de vérification prend en charge les applications qui émettent des événements de rapport d’erreurs de fenêtre (WER) (ID d’événement = 1001 ou 1002) lors du gel.
Remarque : Cette définition de vérification ne nécessite pas que l'application soit en cours d'exécution. |
| os.win.check-app-uptime |
|
Vérifie la durée d'activité de l'application donnée. |
| os.win.check-app-incoming-network-bytes |
|
Récupère les octets de réseau entrants d’une application pour les réseaux IPv4 et IPv6. |
| os.win.check-app-outgoing-network-bytes |
|
Récupère les octets de réseau sortants d’une application pour les réseaux IPv4 et IPv6. |
| os.win.check-app-domain-network-details |
|
Récupère la latence du réseau, la perte de paquets et la gigue pour le domaine d’application installé. |
| os.win.check-app-domain-network-route-details |
|
Récupère les détails complets du routage réseau pour le domaine d’application. |
| os.win.check-app-sccm | N/A | Récupère les mesures spécifiques à l’application pour l’application – Microsoft System Center Configuration Manager. |
Définitions de vérification : appareil (mesures)
DEX assure les types suivants de définitions de vérification pour l'appareil.
| Vérifier le nom de la définition | Description |
|---|---|
| os.win.check-system-cpu-usage | Vérifie l'utilisation actuelle du processeur. |
| os.win.check-system-cpu-details | Récupère l'ID et le nom du processeur, le nombre de cœurs physiques et logiques ainsi que les informations d'architecture. |
| os.win.check-system-memory-usage | Vérifie l'utilisation actuelle de la mémoire système. |
| os.win.check-system-last-access-time | Vérifie le dernier accès à l'appareil actuel. Remarque : Cette définition de vérification fonctionne sur les appareils verrouillés et déverrouillés. La première fois que cette définition de vérification s'exécute, les événements sont capturés et un message d'erreur s'affiche en raison de l'absence de données. |
| os.win.check-system-uptime | Vérifie le temps écoulé depuis le dernier démarrage du système. |
| os.win.check-system-disk-io-usage-read | Récupère les octets de disque lus par seconde. |
| os.win.check-system-disk-io-usage-write | Récupère les octets de disque écrits en fonction de la seconde. |
| os.win.check-system-energy-consumption | Récupère les valeurs de consommation d'énergie pour le processeur, le SoC, l'affichage, le disque, le réseau, le MBB, l'EMI, les autres éléments, le total et la perte d'un appareil Windows en milliwattheures. Remarque : Cette définition de vérification n'est pas compatible avec les machines virtuelles qui ne disposent pas de capteurs d'énergie. Contrairement à d'autres définitions de vérification qui récupèrent les données les plus récentes, cette définition de vérification récupère la somme des 5 dernières minutes de données. |
| os.win.check-system-time | Vérifie l'heure actuelle en heure universelle coordonnée (UTC) à l'aide de l'horodatage UNIX. |
| os.win.check-system-power-plan | Récupère le nom du plan de gestion de l'alimentation actif. |
| os.win.check-system-os-details | Récupère le nom, la version, la plateforme, l'architecture et la date d'installation du système d'exploitation. |
| os.win.check-system-device-crashes | Récupère les détails des différents incidents sur votre appareil. Remarque : Cette définition de vérification prend en charge l’écran bleu qui émet des événements système avec des ID d’événement = 41 1001. |
| os.win.check-system-device-events | Récupère les détails des événements qui se sont produits sur l'appareil pendant l'intervalle de temps spécifié. Les événements pour Windows incluent : le dernier démarrage et les utilisateurs connectés. |
| os.win.check-system-disk-usage | Récupère l'espace disque utilisé en pourcentage de l'espace total. |
| os.win.check-system-battery-details | Récupère les données relatives à la batterie, y compris le pourcentage restant de la batterie, la tension prévue, l'autonomie estimée et la capacité maximale de la batterie. Remarque :
|
| os.win.check-system-network-details | Récupère les détails du réseau, y compris Ethernet, Wi-Fi et d'autres informations pertinentes. |
| os.win.check-system-logged-in-users | Vérifie l'ID utilisateur de connexion des utilisateurs connectés à l'appareil. |
| os.win.check-system-power-consumption | Récupère la consommation électrique de l'appareil en milliwatts. Remarque : Cette définition de vérification est exclusivement compatible avec les ordinateurs physiques et ne prend pas en charge les ordinateurs virtuels. |
| os.win.check-system-admin-users | Récupère tous les comptes utilisateurs disposant de privilèges d'administration locaux. |
| os.win.check-system-bsod | Récupère le nombre, le message, l'ID, le niveau et l'heure des occurrences d'écran bleu. Remarque : Cette définition de vérification prend en charge l’écran bleu qui émet des événements système avec des ID d’événement = 1 001. |
| os.win.check-system-firewall-enabled | Vérifie si le pare-feu du système d'exploitation est actif et activé. |
| os.win.check-system-antimalware-details | Récupère les détails du logiciel anti-programme malveillant sur l'appareil. |
| os.win.check-system-reboot-details | Récupère la durée du redémarrage en secondes et l'horodatage du dernier redémarrage (en heure Epoch UNIX). Remarque : Les valeurs affichées peuvent ne pas refléter fidèlement les cas où les redémarrages du système ont été interrompus, par exemple lors de mises à jour du système, d'une coupure de courant ou d'une intervention manuelle. |
| os.win.check-system-os-setup-details | Récupère l'âge approximatif du système d'exploitation pour l'appareil. |
| os.win.check-system-network-adapter-details | Récupère les détails de l’adaptateur réseau pour l’appareil. |
| os.win.check-system-network-connection-profiles | Récupère les détails du profil de connexion réseau pour l’appareil. Remarque : Cette définition de vérification récupère le type de réseau, qui peut être utilisé pour vérifier l’état du VPN. |
| os.win.check-system-compliance-details | Récupère les détails de conformité du système. Cela inclut la liste de toutes les applications configurées et des valeurs de mesures qui ne sont pas conformes, et calcule une notation de conformité en fonction de cela. Remarque :
|
| os.win.check-system-battery-charge-percentage | Récupère le pourcentage de charge de la batterie sur l’appareil Windows. Remarque : Si la capacité actuelle est supérieure à la capacité nominale, la batterie est arrondie à 100 %. |
| os.win.check-system-windows-registry | Récupère les données du registre Windows. |
| os.win.check-system-memory-details | Récupère les détails de la mémoire système, tels que les détails de la mémoire virtuelle. |
| os.win.check-system-bios-details | Récupère les détails du BIOS du système. |
| os.win.check-system-executables | Récupère tous les exécutables (*.exe) présents sur l’ordinateur Windows. |
| os.win.check-system-custom-query-on-change | Exécutez la requête personnalisée fournie dans les paramètres. S’exécute uniquement si la valeur change. |
| os.all.check.internal.get-device-configuration-on-change | Obtient les configurations d’un appareil. Exemple : sudo configuré, débogage activé, utilisateur agent, etc. S’exécute uniquement si la valeur change. |
Définitions de vérification : actions de diagnostic
DEX assure les types suivants de définitions de vérification des actions de diagnostic.
| Vérifier le nom de la définition | Paramètres de définition de vérification | Description |
|---|---|---|
| Action de diagnostic | ||
| os.win.check-app-process-ids | --process_name=<nom du processus> | Récupère les ID de processus (PID) du processus parent et de tous les processus enfants associés à l'application. |
| os.win.check-process-cpu | N. A. | Récupère la liste de tous les processus en cours d'exécution ainsi que leur pourcentage d'utilisation du processeur, leur temps processeur, leur ID de processus (PID), leur ID de processus parent (PPID) ainsi que leur nom. |
| os.win.check-process-memory | N. A. | Récupère la liste de tous les processus en cours d'exécution ainsi que leur utilisation de la mémoire en kilo-octets (Ko), leur ID de processus (PID), leur ID de processus parent (PPID) ainsi que leur nom. |
| os.win.check-process-disk | N. A. | Récupère la liste de tous les processus en cours d'exécution ainsi que leur utilisation du disque en octets, leur ID de processus (PID), leur ID de processus parent (PPID) ainsi que leur nom. |
| os.win.check-rssi-value | N. A. | Récupère la valeur de l'indicateur d'intensité du signal reçu (RSSI) pour l'interface Wi-Fi actuellement connectée. La valeur RSSI indique l'intensité du signal entre le point d'accès sans fil (AP) et l'appareil, les valeurs RSSI plus élevées indiquant une intensité de signal supérieure. Remarque : Cette définition de vérification ne peut pas être appliquée à un ordinateur virtuel. |
| os.win.check-services-data | service_type =<Type de service (un de l’utilisateur, du système ou tous) | Récupère la liste de tous les services avec le PID, le nom de service, le nom d’affichage du service, l’état, le type de service. |
Définitions de vérification : actions de rattrapage
DEX assure les types suivants de définitions de vérification des actions de rattrapage.
| Vérifier le nom de la définition | Paramètres de définition de vérification | Description |
|---|---|---|
| os.win.action-kill-process | --pid=<ID de processus> OU --process_name=<liste des noms de fichiers exécutables séparés par des virgules> Remarque : L'ID de processus a priorité sur le nom de l'application. |
Arrête un processus en cours d'exécution, plusieurs processus spécifiés par leur ID de processus (PID) ou une liste de noms de fichiers exécutables (.exe). |
| os.win.action-restart-service | --service_name=<nom de service> | Redémarre les services des utilisateurs connectés qui prennent un nom de service comme entrée dans le système. |
| os.win.action-flush-dns-cache | N. A. | Vide le cache DNS sur un appareil Windows. |
| os.win.action-clear-browser-cache | --auto_close=<vrai/faux> Remarque : Lorsque la fermeture automatique est activée, le navigateur est fermé lors de l'effacement de son cache, et vice versa. --browsers=<Liste des navigateurs séparés par des virgules> |
Efface le cache des navigateurs pris en charge tels que Google Chrome, Mozilla Firefox et Microsoft Edge. Remarque : Avant d’exécuter cette définition de vérification, enregistrez le travail du navigateur. |
| os.win.action-clear-app-cache | auto_close = <Vrai/Faux si vous souhaitez que le processus soit fermé avant d’effacer le cache> process_name = <nom du processus> app_name = <nom de l’application> cache_path = <chemin d’accès au dossier de cache> Remarque : Le chemin d’accès au cache est pris en charge pour Zoom, Microsoft Outlook et Microsoft Teams. Le chemin d’accès du cache doit être saisi sans le chemin d’accès à l’utilisateur. Par exemple, si le cache se trouve dans le chemin d’accès C :\User\<UserName>\AppData\Roaming\Zoom\data, entrez AppData\Roaming\Zoom\data. |
Efface le cache de l’application. |
| os.win.action-removable-usb-storage-access | Accès : <deny_read/deny_write/deny_execute> Valeur : <vrai/faux> |
Contrôle l’accès aux disques de stockage USB amovibles pour l’accès en lecture, en écriture et en exécution. Remarque : Une fois la vérification exécutée, redémarrez l’appareil pour que les changements d’accès prennent effet. |
| os.win.action-disk-cleanup | Aucun | Efface les fichiers ou le cache indésirables à l’aide du nettoyage de Windows disque :
|