MID-Audit-Protokoll aktivieren [Neu in Security Center 1.3 und aktualisiert in 1.5]

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Das Audit-Protokoll für MID-Server-Befehle zeichnet Details wie den Befehlsnamen, den Befehlshash, den Namen der verwendeten Anmeldeinformationen und den Ausführungsstatus auf.

    Nach der Aktivierung können Audit-Protokolle von Benutzern mit der Rolle agent_security_admin in der Tabelle ecc_agent_command_audit_log oder durch Navigieren zu angezeigt werden MID-Server > Befehlsauditprotokollean.

    Legen Sie mid.log.command_audit.enable in der Tabelle „ecc_agent_property“ auf „true“ fest, um die Überwachung für vom MID-Server ausgeführte Befehle zu aktivieren.

    Weitere Informationen

    Attribut Beschreibung
    Konfigurationsname mid.log.command_audit.enable
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Datentyp boolean
    Empfohlener Wert wahr
    Standardwert falsch
    Kategorie Fehlerbehandlung und -protokollierung
    Sicherheitsrisiko
    • Schweregradpunktzahl: 2.2
    • CVSS-Punktzahl: Niedrig
    • Details zum Sicherheitsrisiko: Im Falle einer Sicherheitsuntersuchung kann diese Tabelle von Incident-Antwortteams verwendet werden, um die auf dem MID-Server ausgeführten Befehle zu prüfen. Ohne dieses Protokoll sind möglicherweise nicht genügend Details vorhanden, um auf Situationen wie die nicht autorisierte Kontoverwendung zu reagieren.
    Abhängigkeiten und Voraussetzungen Keine