Listener-Validierung für Ereignisprotokolle

Das Indicator of Attack-Installationsskript konfiguriert einen Ereignis-Watcher und einen WMI-Producer/Consumer (Windows-Verwaltungsinstrumentation) im Arbeitsspeicher des Computers. WMI ist eine Windows-Komponente, die Ihnen Informationen über den Status von lokalen oder Remote-Computersystemen liefert.

So überprüfen Sie die korrekte WMI-Registrierung:

  • Führen Sie in PowerShell den folgenden Befehl aus:

    Kopieren 
    Get-WmiObject -Class '__FilterToConsumerBinding' -Namespace 'root\subscription' -Filter "Filter = ""__EventFilter.name='AlsidForAD-Launcher'"""

  • Wenn mindestens ein Consumer vorhanden ist, erhalten Sie diese Art der Ausgabe:

    Kopieren 
    > Get-WmiObject -Class '__FilterToConsumerBinding' -Namespace 'root\subscription' -Filter "Filter = ""__EventFilter.name='AlsidForAD-Launcher'"""


    __GENUS                 : 2
    __CLASS                 : __FilterToConsumerBinding
    __SUPERCLASS            : __IndicationRelated
    __DYNASTY               : __SystemClass
    __RELPATH               : __FilterToConsumerBinding.Consumer="ActiveScriptEventConsumer.Name=\"AlsidForAD-Launcher\"",F
                              ilter="__EventFilter.Name=\"AlsidForAD-Launcher\""
    __PROPERTY_COUNT        : 7
    __DERIVATION            : {__IndicationRelated, __SystemClass}
    __SERVER                : DC-999
    __NAMESPACE             : ROOT\subscription
    __PATH                  : \\DC-999\ROOT\subscription:__FilterToConsumerBinding.Consumer="ActiveScriptEventConsumer.Name
                              =\"AlsidForAD-Launcher\"",Filter="__EventFilter.Name=\"AlsidForAD-Launcher\""
    Consumer                : ActiveScriptEventConsumer.Name="AlsidForAD-Launcher"
    CreatorSID              : {1, 1, 0, 0...}
    DeliverSynchronously    : False
    DeliveryQoS             :
    Filter                  : __EventFilter.Name="AlsidForAD-Launcher"
    MaintainSecurityContext : False
    SlowDownProviders       : False
    PSComputerName          : DC-999

    • Wenn kein WMI-Consumer registriert ist, gibt der Befehl nichts zurück.

    • Dies ist eine Voraussetzung dafür, dass der Prozess auf dem DC für WMI ausgeführt wird.

  • Führen Sie in PowerShell den folgenden Befehl aus:

    Kopieren 
    gcim win32_process | Where-Object { $_.CommandLine -match "Register-TenableADEventsListener.exe"}

  • Beispiel für ein gültiges Ergebnis:

    Kopieren 
    PS C:\IOAInstall> gcim win32_process | Where-Object { $_.CommandLine -match "Register-TenableADEventsListener.exe"}

    ProcessId Name                                 HandleCount WorkingSetSize VirtualSize

    5748      Register-TenableADEventsListener.exe 152         4096000        4384534528

  • Führen Sie in PowerShell den folgenden Befehl aus:

    Kopieren 
    gcim win32_process | Where-Object { $_.CommandLine -match "TenableADWMIListener"}

  • Beispiel für ein gültiges Ergebnis:

Kopieren 
> gcim win32_process | Where-Object { $_.CommandLine -match "TenableADWMIListener"}

ProcessId Name           HandleCount WorkingSetSize VirtualSize
--------- ----           ----------- -------------- -----------
952       powershell.exe 502         26513408       2199678185472