Activer le journal d’audit MID [mis à jour dans Security Center 1.5]

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Le journal d’audit de la commande MID Server enregistre des détails tels que le nom de la commande, le hachage de la commande, le nom des informations d’identification utilisées et l’état d’exécution.

    Une fois activés, les journaux d’audit peuvent être consultés par les utilisateurs ayant le rôle agent_security_admin dans la table ecc_agent_command_audit_log ou en naviguant vers MID Server > Journaux d'audit de commande.

    Définissez la valeur mid.log.command_audit.enable sur vrai dans la table ecc_agent_property pour activer l’audit des commandes exécutées par le MID Server.

    En savoir plus

    Attribut Description
    Nom de la configuration mid.log.command_audit.enable
    Type de configuration Propriétés système (/sys_properties_list.do)
    Type de données booléen
    Valeur recommandée VRAI
    Valeur par défaut faux
    Catégorie Gestion et journalisation des erreurs
    Risque de sécurité
    • Score de gravité : 2,2
    • Score CVSS : faible
    • Détails du risque de sécurité : en cas d’enquête de sécurité, cette table peut être utilisée par les équipes de réponse aux incidents pour auditer les commandes exécutées sur le MID Server. Sans ce journal, il se peut que les détails soient insuffisants pour répondre à des situations telles que l’utilisation non autorisée d’un compte.
    Dépendances et prérequis Aucun