Serveur MID Journal d’audit de la commande

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Le journal d’audit des commandes enregistre les commandes exécutées par le Serveur MID pour l’application Découverte . Passez en revue les commandes pour vérifier s’il y a des anomalies ou des erreurs.

    Indicateur de configuration pour la phase de sécuritéAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID ServerAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID Server

    Le journal d’audit des commandes Serveur MID est un enregistrement des commandes exécutées Serveur MID lors de la détection. Par exemple, l’exécution d’un modèle peut exécuter plusieurs commandes distinctes. Le journal d’audit Serveur MID de commande prend en charge les commandes Powershell pour WMI et WinRM. Pour les commandes SSH, le journal d’audit prend en charge SSNC mais pas J2SSH. Au Québec, le journal d’audit des commandes ne prend en charge que l’enregistrement des commandes exécutées lors de la détection.

    Activer le journal d’audit de commande

    Le Serveur MID journal d’audit est activé avec la Serveur MID propriété mid.log.command_audit.enable, qui est définie sur false par défaut. Ajoutez la propriété dans la table des propriétés du serveur MID [ecc_agent_property_list.do]. Une fois activé, les journaux d’audit Serveur MID de commande sont accessibles dans l’instance en naviguant vers Serveur MID > Journaux d'audit de commande [ecc_agent_command_audit_log_list.do]. Pour afficher ou modifier cette table, l’utilisateur doit disposer du rôle agent_security_admin.

    Données typiques dans les journaux d’audit des commandes de Serveur MID.

    Données enregistrées dans les journaux d’audit de commande

    Le Serveur MID journal d’audit de la commande enregistre le nom de la commande et le hachage de la commande. Si, par exemple, lors de la détection, une sonde n’exécute pas de commande, mais un script à la place, le nom du script est enregistré. Le hachage de la commande est calculé en fonction du contenu du script, quel que soit son nom. Par conséquent, la modification du nom n’affecte pas le hachage de la commande.

    Lorsqu’une sonde, telle qu’une WMIRunner, exécute une commande comportant plusieurs champs WMI, WMI crée un script pour interroger ces champs. Le script est créé temporairement sur l’hôte Serveur MID dans le dossier temporaire. Une fois le script exécuté, il est supprimé du dossier temp. Le script reçoit un nom basé sur les champs et un nombre aléatoire. Cependant, la clé de hachage est toujours la même pour les mêmes contenus.

    Le journal d’audit de commande indique que l’état d’exécution est une réussite ou un échec. L’entrée d’enregistrement est un succès si la commande a été exécutée ou un échec si elle n’a pas pu s’exécuter. Le journal d’audit de la commande ne tient pas compte du résultat de la commande en cours d’exécution. Par exemple, une commande qui s’exécute mais qui échoue à collecter des données est toujours répertoriée dans l’état d’exécution comme ayant réussi.

    Discovery prend en charge les profils JEA pour WinRM. Le Serveur MID journal d’audit de commande enregistre le profil JEA de la commande Discovery, s’il est disponible. Pour plus d’informations sur les profils JEA, consultez Microsoft Just Enough Administration (JEA) pour Discovery .

    Par défaut, la table effectue une rotation tous les sept jours. Pour plus d’informations, reportez-vous à la rubrique Rotation des tables.