Obter estatísticas de rede por meio da atividade netstat

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • A atividade de fluxo de trabalho Security Common Orchestration - Obter estatísticas de rede via netstat recupera as estatísticas de rede de um recurso afetado em um sistema baseado no Windows. Esta atividade pode acelerar o processo de investigação e correção.

    A atividade Obter estatísticas de rede via netstat pode ser usada com qualquer fluxo de trabalho para recuperar estatísticas de rede de um sistema baseado no Windows. A máquina é consultada com o comando netstat, incluindo os parâmetros -a e -o. Para aprimorar os dados de saída, o comando get-process também é invocado.

    Resultados

    Os resultados possíveis para esta atividade são:

    Tabela 1. Resultados
    Resultado Descrição
    Êxito As estatísticas de rede foram recuperadas no formato JSON.
    Falha Ocorreu um erro ao tentar recuperar as estatísticas da rede. Mais informações de erro estão disponíveis no erro de saída da atividade.
    Tabela 2. Variáveis de entrada
    Variável Descrição
    destino [cadeia de caracteres] O nome de domínio totalmente qualificado (FQDN) ou o endereço IP do sistema de destino.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.

    Tabela 3. Variáveis de saída
    Variável Descrição
    resposta [cadeia de caracteres]

    Uma cadeia de caracteres JSON que representa os processos em execução no momento na máquina de destino.

    Os dados JSON incluem:

    PID
    Identificador de processo
    _port local
    Porta local para a transação de rede
    state
    Status da conexão TCP.
    Nota:
    Este campo é nulo para conexões UDP.
    local_address
    Nome de domínio totalmente qualificado (FQDN) local ou endereço IP
    remote_address
    Nome de domínio totalmente qualificado (FQDN) ou endereço IP remoto
    protocolo
    TCP ou UDP
    remote_port
    Porta remota da transação de rede
    path
    O caminho do arquivo do executável do processo
    hash
    O valor de hash do executável do processo. O hash está em SHA-256 para PowerShell V4 ou superior. Caso contrário, o hash estará em MD5.

    Restrições

    O MID Server deve oferecer suporte ao PowerShell.

    O hash SHA-256 requer PowerShell V4.