MID サーバー コマンド監査ログ

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む3読むのに数分

    • コマンド監査ログには、 ディスカバリー アプリケーションに対して MID サーバー によって実行されたコマンドが記録されます。コマンドを確認して、例外やエラーがないことを確認します。

    セキュリティフェーズのインジケーターを設定するMID Server がネットワークの内部と外部の要素に接続できることを確認するMID Server を Linux または Windows ホストにダウンロードしてインストールするMID Server を構成MID Server セキュリティを設定MID Server がネットワークの内部と外部の要素に接続できることを確認するMID Server を Linux または Windows ホストにダウンロードしてインストールするMID Server を構成MID Server セキュリティを設定

    MID Server コマンド監査ログは、MID サーバー が検出中に実行するコマンドのレコードです。たとえば、1 つのパターンを実行して、多くの個別のコマンドを実行できます。MID サーバー コマンド監査ログは、WMI および WinRM の Powershell コマンドをサポートしています。SSH コマンドの場合、監査ログは SSNC をサポートしますが、J2SSH はサポートしません。Quebec では、コマンド監査ログは検出中に実行されたコマンドの記録のみをサポートしています。

    コマンド監査ログの有効化

    MID サーバー の監査ログは MID サーバー プロパティ mid.log.command_audit.enable で有効になります。このプロパティは、デフォルトでは false に設定されています。MID Server プロパティ テーブル [ecc_agent_property_list.do] にプロパティを追加します。有効にすると、インスタンス内のコマンド監査ログにアクセスするには、 MID サーバー 次に移動します MID サーバー > コマンド監査ログ [ecc_agent_command_audit_log_list.do]。このテーブルを表示または変更するには、ユーザーは agent_security_admin ロールが必要です。

    MID Server コマンド監査ログの一般的なデータ。

    コマンド監査ログに記録されるデータ

    MID サーバー コマンド監査ログには、コマンドの名前とコマンドハッシュが記録されます。たとえば、検出中にプローブがコマンドを実行せず、代わりにスクリプトを実行すると、スクリプト名が記録されます。コマンドハッシュは、名前に関係なく、スクリプトの内容に基づいて計算されます。そのため、名前を変更してもコマンドハッシュには影響しません。

    WMIRunner などのプローブが複数の WMI フィールドを持つコマンドを実行すると、WMI はそれらのフィールドをクエリするためのスクリプトを 1 つ作成します。スクリプトは MID サーバー ホストの temp フォルダーに一時的に作成されます。スクリプトが実行されると、temp フォルダーから削除されます。スクリプトには、フィールドとランダムな番号に基づいて名前が付けられます。ただし、同じ内容のハッシュキーは常に同じです。

    コマンド監査ログは、実行ステータスを成功または失敗として報告します。レコードエントリは、コマンドが実行された場合は成功、実行できなかった場合は失敗です。コマンド監査ログでは、実行されているコマンドの結果は考慮されません。たとえば、実行してもデータ収集に失敗したコマンドは、実行ステータスに成功と表示されます。

    Discovery は WinRM の JEA プロファイルをサポートしています。MID サーバー コマンド監査ログには、Discovery コマンドの JEA プロファイルが記録されます (利用可能な場合)。JEA プロファイルの詳細については、「Microsoft Just Enough Administration (JEA) for Discovery」を参照してください。

    デフォルトでは、テーブルは 7 日ごとにローテーションされます。詳細については、「テーブルローテーション」を参照してください。