Rufen Sie Netzwerkstatistiken über die netstat-Flow-Aktion ab

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Die Flow-Aktion „Allgemeine Sicherheitsorchestration – Netzwerkstatistiken über netstat abrufen“ ruft die Netzwerkstatistiken für eine betroffene Ressource auf einem Windows-basierten System ab. Diese Flow-Aktion kann den Untersuchungs- und Korrekturprozess beschleunigen.

    Die Flow-Aktion „Netzwerkstatistiken über netstat abrufen“ kann mit jedem Flow verwendet werden, um Netzwerkstatistiken aus einem Windows-basierten System abzurufen. Der Computer wird mit abgefragt Netstat Befehl einschließlich -A Und -O Parameter. So verbessern Sie die Ausgabedaten: Get-Process Befehl wird ebenfalls aufgerufen.

    Ergebnisse

    Mögliche Ergebnisse für diese Flow-Aktion:

    Tabelle : 1. Ergebnisse
    Ergebnis Beschreibung
    Erfolg Netzwerkstatistiken wurden im JSON-Format abgerufen.
    Fehler Beim Versuch, Netzwerkstatistiken abzurufen, ist ein Fehler aufgetreten. Weitere Fehlerinformationen sind im Ausgabefehler der Flow-Aktion verfügbar.
    Tabelle : 2. Eingabevariablen
    Variable Beschreibung
    Ziel [Zeichenfolge] Der vollqualifizierte Domänenname (FQDN) oder die IP-Adresse des Zielsystems.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

    Tabelle : 3. Ausgabevariablen
    Variable Beschreibung
    Antwort [Zeichenfolge]

    Eine JSON-Zeichenfolge, die die aktuell laufenden Prozesse auf dem Zielcomputer darstellt.

    JSON-Daten umfassen:

    pid
    Prozessbezeichner
    Lokaler _Port
    Lokaler Port für die Netzwerktransaktion
    Status
    Status der TCP-Verbindung.
    Hinweis:
    Dieses Feld ist für UDP-Verbindungen null.
    Local_address
    Lokaler vollqualifizierter Domänenname (FQDN) oder IP-Adresse
    Remote_address
    Vollqualifizierter Remote-Domänenname (FQDN) oder IP-Adresse
    protocol
    TCP oder UDP
    Remote_Port
    Remote-Port der Netzwerktransaktion
    path
    Der Dateipfad der ausführbaren Prozessdatei
    Hash
    Der Hash-Wert der ausführbaren Prozessdatei. Der Hash befindet sich in SHA-256 für PowerShell V4 oder höher. Andernfalls befindet sich der Hash in MD5.

    Beschränkungen

    Der MID-Server muss unterstützen PowerShell .

    SHA-256-Hash erfordert PowerShell V4.