Activer le journal d’audit MID [Nouveau dans Security Center 1.3 et mis à jour dans la version 1.5]

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Le journal d’audit de la commande Serveur MID enregistre des détails tels que le nom de la commande, le hachage de la commande, le nom des informations d’identification utilisées et l’état d’exécution.

    Une fois activés, les journaux d’audit peuvent être consultés par les utilisateurs ayant le rôle agent_security_admin dans la table ecc_agent_command_audit_log ou en naviguant vers MID Server > Journaux d'audit de commande.

    Définissez mid.log.command_audit.enable sur vrai dans la table ecc_agent_property pour activer l’audit des commandes exécutées par le MID Server.

    En savoir plus

    Attribut Description
    Nom de la configuration mid.log.command_audit.enable
    Type de configuration Propriétés système (/sys_properties_list.do)
    Type de données booléen
    Valeur recommandée VRAI
    Valeur par défaut faux
    Catégorie Gestion et enregistrement des erreurs
    Risque de sécurité
    • Score de gravité : 2,2
    • Score CVSS : faible
    • Détails des risques de sécurité : en cas d’enquête de sécurité, cette table peut être utilisée par les équipes de réponse aux incidents pour auditer les commandes exécutées sur le MID Server. Sans ce journal, il se peut qu’il n’y ait pas suffisamment de détails pour répondre à des situations telles que l’utilisation non autorisée du compte.
    Dépendances et prérequis Aucun