MID-Auditprotokoll aktivieren [Aktualisiert in Security Center 1.5]

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Das Audit-Protokoll für MID Server-Befehle zeichnet Details wie den Befehlsnamen, den Befehls-Hash, den Namen der verwendeten Anmeldeinformationen und den Ausführungsstatus auf.

    Nach der Aktivierung können Audit-Protokolle von Benutzern mit der Rolle agent_security_admin in der Tabelle ecc_agent_command_audit_log oder durch Navigieren zu angezeigt werden MID-Server > Befehlsauditprotokolle.

    Setzen Sie mid.log.command_audit.enable in der Tabelle ecc_agent_property auf „true“, um die Überwachung für vom MID-Server ausgeführte Befehle zu aktivieren.

    Weitere Informationen

    Attribut Beschreibung
    Konfigurationsname mid.log.command_audit.enable
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Datentyp boolean
    Empfohlener Wert Wahr
    Standardwert false
    Kategorie Fehlerbehandlung und -protokollierung
    Sicherheitsrisiko
    • Schweregradpunktzahl: 2.2
    • CVSS-Punktzahl: Niedrig
    • Details zum Sicherheitsrisiko: Im Falle einer Sicherheitsuntersuchung kann diese Tabelle von Incident-Reaktionsteams verwendet werden, um die auf dem MID-Server ausgeführten Befehle zu prüfen. Ohne dieses Protokoll sind möglicherweise nicht genügend Details vorhanden, um auf Situationen wie die nicht autorisierte Kontonutzung zu reagieren.
    Abhängigkeiten und Voraussetzungen Keine