Rufen Sie Netzwerkstatistiken über die Netstat-Aktivität ab

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Mit der Workflow-Aktivität „Security Common Orchestration – Netzwerkstatistiken über Netstat abrufen“ werden die Netzwerkstatistiken für eine betroffene Ressource in einem Windows-basierten System abgerufen. Diese Aktivität kann den Untersuchungs- und Korrekturprozess beschleunigen.

    Die Aktivität „Netzwerkstatistiken über netstat abrufen“ kann mit jedem Workflow verwendet werden, um Netzwerkstatistiken von einem Windows-basierten System abzurufen. Der Computer wird mit dem Befehl netstat einschließlich der Parameter „ -a“ und „-o “ abgefragt. Um die Ausgabedaten zu verbessern, wird auch der Befehl „get-process“ aufgerufen.

    Ergebnisse

    Mögliche Ergebnisse für diese Aktivität sind:

    Tabelle : 1. Ergebnisse
    Ergebnis Beschreibung
    Erfolg Netzwerkstatistiken wurden im JSON-Format abgerufen.
    Fehler Beim Versuch, Netzwerkstatistiken abzurufen, ist ein Fehler aufgetreten. Weitere Fehlerinformationen sind im Aktivitätsausgabefehler verfügbar.
    Tabelle : 2. Eingabevariablen
    Variable Beschreibung
    Ziel [Zeichenfolge] Der vollqualifizierte Domänenname (FQDN) oder die IP-Adresse des Zielsystems.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

    Tabelle : 3. Ausgabevariablen
    Variable Beschreibung
    Antwort [Zeichenfolge]

    Eine JSON-Zeichenfolge, die die aktuell auf dem Zielcomputer laufenden Prozesse darstellt.

    JSON-Daten enthalten:

    pid
    Prozessbezeichner
    local _port
    Lokaler Port für die Netzwerktransaktion
    Staat
    Status der TCP-Verbindung.
    Hinweis:
    Dieses Feld ist für UDP-Verbindungen null.
    local_address
    Lokaler vollqualifizierter Domänenname (FQDN) oder IP-Adresse
    remote_address
    Vollqualifizierter Remote-Domänenname (FQDN) oder IP-Adresse
    protocol
    TCP oder UDP
    remote_port
    Remote-Port der Netzwerktransaktion
    path
    Der Dateipfad der ausführbaren Prozessdatei
    hash
    Der Hash-Wert der ausführbaren Prozessdatei. Der Hashwert ist SHA-256 für PowerShell V4 oder höher. Andernfalls befindet sich der Hash in MD5.

    Beschränkungen

    Der MID Server muss PowerShellunterstützen.

    SHA-256-Hash erfordert PowerShell V4.