Obter estatísticas de rede por meio da ação de fluxo netstat

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 1 min. de leitura

    • A ação de fluxo Orquestração comum de segurança - Obter estatísticas de rede via netstat recupera as estatísticas de rede de um recurso afetado em um sistema baseado no Windows. Esta ação de fluxo pode acelerar o processo de investigação e correção.

    A ação Obter estatísticas de rede via fluxo netstat pode ser usada com qualquer fluxo para recuperar estatísticas de rede de um sistema baseado no Windows. A máquina é consultada com netstat comando, incluindo -a e. -o parâmetros. Para aprimorar os dados de saída, get-process o comando também é invocado.

    Resultados

    Os resultados possíveis para esta ação de fluxo são:

    Tabela 1. Resultados
    Resultado Descrição
    Êxito As estatísticas de rede foram recuperadas no formato JSON.
    Falha Ocorreu um erro ao tentar recuperar estatísticas de rede. Mais informações de erro estão disponíveis no erro de saída da ação de fluxo.
    Tabela 2. Variáveis de entrada
    Variável Descrição
    destino [cadeia de caracteres] O nome de domínio totalmente qualificado (FQDN) ou o endereço IP do sistema de destino.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.

    Tabela 3. Variáveis de saída
    Variável Descrição
    resposta [cadeia de caracteres]

    Uma cadeia de caracteres JSON que representa os processos em execução atuais na máquina de destino.

    Os dados JSON incluem:

    PID
    Identificador do processo
    _port local
    Porta local para a transação de rede
    estado
    Status da conexão TCP.
    Nota:
    Este campo é nulo para conexões UDP.
    local_address
    Nome de domínio totalmente qualificado (FQDN) local ou endereço IP
    remote_address
    Nome de domínio totalmente qualificado remoto (FQDN) ou endereço IP
    protocolo
    TCP ou UDP
    remote_port
    Porta remota da transação de rede
    caminho
    O caminho do arquivo do executável do processo
    hash
    O valor de hash do executável do processo. O hash está em SHA-256 para PowerShell V4 ou superior. Caso contrário, o hash estará em MD5.

    Restrições

    O MID Server deve oferecer suporte a PowerShell .

    O hash SHA-256 requer o PowerShell V4.