Aktivieren Sie das MID-Audit-Protokoll [Neu in Security Center 1,3 Und aktualisiert in 1,5]

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Das Audit-Protokoll des MID-Server-Befehls zeichnet Details wie den Befehlsnamen, den Befehlshash, den Namen der verwendeten Anmeldeinformationen und den Ausführungsstatus auf.

    Nach der Aktivierung können Audit-Protokolle von Anwendern mit der Rolle „Agent_Security_admin“ in der Tabelle „ecc_Agent_Command_Audit_log“ oder durch Navigation zu angezeigt werden MID-Server > Befehlsauditprotokollean.

    Festlegen mid.log.command_audit.enableAuf „wahr“ in der Tabelle „MID-Servereigenschaften“ [ecc_Agent_property], um das Auditing für Befehle zu aktivieren, die vom MID-Server ausgeführt werden.

    Weitere Informationen

    Attribut Beschreibung
    Konfigurationsname mid.log.command_audit.enable
    Konfigurationstyp Datensatz der MID-Servereigenschaft [ecc_Agent_property]
    Datentyp Boolean
    Empfohlener Wert wahr
    Standardwert falsch
    Kategorie Fehlerbehandlung und -Protokollierung
    Sicherheitsrisiko
    • Schweregradpunktzahl: 2,2
    • CVSS-Punktzahl: Niedrig
    • Sicherheitsrisikodetails: Im Falle einer Sicherheitsuntersuchung kann diese Tabelle von Incident-Response-Teams verwendet werden, um die auf dem MID-Server ausgeführten Befehle zu auditieren. Ohne dieses Protokoll sind möglicherweise nicht genügend Details vorhanden, um auf Situationen wie die nicht autorisierte Accountverwendung zu reagieren.
    Abhängigkeiten und Voraussetzungen Keine