Serveur MID Journal d’audit de commande

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • Le journal d’audit Serveur MID des commandes enregistre les commandes exécutées par le pour l’application Découverte . Examinez les commandes pour vérifier s’il y a des anomalies ou des erreurs.

    Indicateur de configuration pour la phase de sécuritéAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID ServerAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID Server

    Le journal d’audit des commandes de Serveur MID est un enregistrement des commandes Serveur MID exécutées lors de la détection. Par exemple, l’exécution d’un modèle peut exécuter plusieurs commandes distinctes. Le Serveur MID journal d’audit des commandes prend en charge les commandes Powershell pour WMI et WinRM. Pour les commandes SSH, le journal d’audit prend en charge SSNC mais pas J2SSH. Au Québec, le journal d’audit de commande prend uniquement en charge l’enregistrement des commandes exécutées pendant la détection.

    Activer le journal d’audit de commande

    Le Serveur MID journal d’audit est activé avec la Serveur MID propriété mid.log.command_audit.enable, qui est définie sur false par défaut. Ajoutez la propriété dans la table Propriétés de Serveur MID [ecc_agent_property_list.do]. Une fois activé, les journaux d’audit Serveur MID de commande sont accessibles dans l’instance en accédant à Serveur MID > Journaux d'audit de commande [ecc_agent_command_audit_log_list.do]. Pour afficher ou modifier cette table, l’utilisateur doit avoir le rôle agent_security_admin.

    Données typiques des journaux d’audit des commandes de Serveur MID.

    Données enregistrées dans les journaux d’audit de commande

    Le Serveur MID journal d’audit de commande enregistre le nom de la commande et le hachage de la commande. Si, par exemple, au cours de la découverte, une sonde n’exécute pas de commande mais un script, le nom du script est enregistré. Le hachage de commande est calculé en fonction du contenu du script, quel que soit son nom. Par conséquent, la modification du nom n’affecte pas le hachage de la commande.

    Lorsqu’une sonde, telle qu’un WMIRunner, exécute une commande avec plusieurs champs WMI, WMI crée un script pour interroger ces champs. Le script est créé temporairement sur l’hôte Serveur MID dans le dossier temp. Une fois le script exécuté, il est supprimé du dossier temporaire. Le script reçoit un nom basé sur les champs et un nombre aléatoire. Cependant, la clé de hachage est toujours la même pour les mêmes contenus.

    Le journal d’audit de la commande indique que l’état de l’exécution est une réussite ou un échec. L’entrée d’enregistrement est un succès si la commande a été exécutée ou un échec si elle n’a pas pu s’exécuter. Le journal d’audit de commande ne prend pas en compte le résultat de l’exécution de la commande. Par exemple, une commande qui s’exécute mais échoue à collecter des données est toujours répertoriée dans l’état d’exécution comme une réussite.

    Discovery prend en charge les profils JEA pour WinRM. Le Serveur MID journal d’audit de commande enregistre le profil JEA de la commande de détection, s’il est disponible. Consultez Microsoft Just Enough Administration (JEA) for Discovery pour plus d’informations sur les profils JEA.

    Par défaut, la table est pivotée tous les sept jours. Pour plus d’informations, consultez Rotation de table.