Ruft Netzwerkstatistiken über die Aktivität „netstat“ ab

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Die Workflow-Aktivität „Security Common Orchestration – Netzwerkstatistiken über Netstat abrufen“ ruft die Netzwerkstatistiken für eine betroffene Ressource auf einem Windows-basierten System ab. Diese Aktivität kann den Untersuchungs- und Korrekturprozess beschleunigen.

    Die Aktivität „Netzwerkstatistiken über netstat abrufen“ kann mit jedem Workflow zum Abrufen von Netzwerkstatistiken von einem Windows-basierten System verwendet werden. Der Computer wird mit dem Befehl netstat einschließlich der Parameter -a und -o abgefragt. Um die Ausgabedaten zu verbessern, wird auch der Befehl get-process aufgerufen.

    Ergebnisse

    Mögliche Ergebnisse für diese Aktivität sind:

    Tabelle : 1. Ergebnisse
    Ergebnis Beschreibung
    Erfolg Netzwerkstatistiken wurden im JSON-Format abgerufen.
    Fehler Beim Versuch, Netzwerkstatistiken abzurufen, ist ein Fehler aufgetreten. Weitere Fehlerinformationen sind im Aktivitätsausgabefehler verfügbar.
    Tabelle : 2. Eingabevariablen
    Variable Beschreibung
    Ziel [Zeichenfolge] Vollständig qualifizierter Domänenname (FQDN) oder IP-Adresse des Zielsystems.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

    Tabelle : 3. Ausgabevariablen
    Variable Beschreibung
    Antwort [Zeichenfolge]

    Eine JSON-Zeichenfolge, die die aktuell ausgeführten Prozesse auf dem Zielcomputer darstellt.

    JSON-Daten umfassen:

    pid
    Prozessbezeichner
    lokaler _port
    Lokaler Port für die Netzwerktransaktion
    Status
    Status der TCP-Verbindung
    Hinweis:
    Dieses Feld ist für UDP-Verbindungen null.
    local_address
    Lokaler vollständig qualifizierter Domänenname (FQDN) oder IP-Adresse
    remote_address
    Vollständig qualifizierter Remote-Domänenname (FQDN) oder IP-Adresse
    protocol
    TCP oder UDP
    remote_port
    Remote-Port der Netzwerktransaktion
    path
    Der Dateipfad der ausführbaren Prozessdatei
    hash
    Der Hashwert der ausführbaren Prozessdatei. Der Hash liegt in SHA-256 für PowerShell V4 oder höher vor. Andernfalls befindet sich der Hash in MD5.

    Beschränkungen

    Der MID Server muss PowerShellunterstützen.

    SHA-256-Hash erfordert PowerShell V4.