 |
HinweisDas Integritätsüberwachungsmodul durchsucht nach unerwarteten Änderungen in Verzeichnissen, Registrierungswerten, Registrierungsschlüsseln, Diensten, Prozessen, installierter Software, Ports, Gruppen, Benutzern, Dateien und der WQL-Abfrageanweisung auf Agenten. Um die Integritätsüberwachung zu aktivieren und zu
konfigurieren, siehe Einrichten der Integritätsüberwachung.
|
Stellt eine Gruppe von Abhörports dar.
Tag-Attribute
Dies sind XML-Attribute des Tags selbst, im Gegensatz zu den Attributen der Entität,
die von den Integritätsüberwachungsregeln überwacht werden.
|
Attribut
|
Beschreibung
|
Erforderlich
|
Standardwert
|
Zulässige Werte
|
|
beiÄnderung
|
Wird in Echtzeit überwacht
|
No
|
false
|
true, false
|
Entitätensatzattribute
Dies sind die Attribute der Entität, die durch Integritätsüberwachungsregeln überwacht
werden können.
- Created: Nur Windows - XP SP2+ und Server 2003 SP1+ erforderlich. Wird von den Funktionen GetExtendedTcpTable() oder GetExtendedUdpTable() der Windows-API zurückgegeben. Gibt an, wann die Bind-Operation, die diese TCP- oder UDP-Verbindung erstellt hat, stattgefunden hat.
- Listeners: Die Anzahl der aktiven Listener für diese Kombination aus Protokoll, IP-Adresse und Portnummer. Dies spiegelt die Anzahl der Sockets wider, die an den angegebenen Port gebunden sind und darauf lauschen, und kann größer sein als die Anzahl der Prozesse, die auf dem Port lauschen, wenn Prozesse mehrere Sockets an den Port binden. Dieses Attribut hat keinen Wert, wenn nur ein Socket an den angegebenen Port gebunden ist.
- Path: (Nur Windows - XP SP2+ und Server 2003 SP1+ erforderlich.) Gibt den vollständigen Pfad des Moduls an, das den Port besitzt, falls verfügbar. Unter Windows stammt dies von den GetOwnerModuleFromXxxEntry()-Funktionen der Windows-API. Laut Microsoft-Dokumentation ist die Zuordnung von Verbindungstabelleneinträgen zu Eigentümermodulen eine bewährte Methode.
- Process: (Nur Windows - XP SP2+ und Server 2003 SP1+ erforderlich.) Gibt den Kurznamen des Moduls an, dem der Port gehört, falls verfügbar. Unter Windows stammt dies aus den GetOwnerModuleFromXxxEntry()-Funktionen der Windows-API. Laut Microsoft-Dokumentation ist die Auflösung von Verbindungstabelleneinträgen zu Eigentümermodulen eine bewährte Methode. In einigen Fällen kann der zurückgegebene Eigentümermodulname ein Prozessname wie "svchost.exe", ein Dienstname (wie "RPC") oder ein Komponentenname wie "timer.dll" sein.
- ProcessId: (Nur Windows - XP SP2+ und Server 2003 SP1+ erforderlich.) Gibt die PID des Prozesses an, der das Bind für diesen Port ausgeführt hat.
- User: (Nur Linux.) Gibt den Benutzer an, dem der Port gehört.
Bedeutung von "Schlüssel"
Der Schlüssel hat folgendes Format:
<PROTOCOL>/<IP ADDRESS>/<PORT>Beispiel:
tcp/172.14.207.94/80 udp/172.14.207.94/68
IPV6
Wenn die IP-Adresse IPv6 ist, ist der Schlüssel im gleichen Format, aber das Protokoll
ist TCP6 oder UDP6 und die IP-Adresse ist eine IPv6-Adresse, wie sie vom Befehl getnameinfo
zurückgegeben wird:
tcp6/3ffe:1900:4545:3:200:f8ff:fe21:67cf/80 udp6/3ffe:1900:4545:3:200:f8ff:fe21:67cf/68
Übereinstimmung des Schlüssels
Dies ist kein hierarchischer Schlüssel, daher ist ** nicht anwendbar. Unix-ähnliches
Glob-Matching ist mit * und ? möglich. Das folgende Muster passt auf Port 80 der IP-Adressen
72.14.207.90 bis 72.14.207.99:
*/72.14.207.9?/80Das folgende Muster entspricht Port 80 auf den IP-Adressen 72.14.207.2, 72.14.207.20
bis 72.14.207.29 sowie 72.14.207.200 bis 72.14.207.255:
*/72.14.207.2*/80Das folgende Muster entspricht Port 80 auf jeder IP.
*/80Das folgende Beispiel würde Änderungen an den abhörenden Ports überwachen, aber Port
80 für TCP in IPv4 und IPv6 ignorieren:
<PortSet> <include key="*"/> <exclude key="tcp*/*/80"/> </PortSet>
Unterelemente
- Include
- Ausschließen
Siehe Integritätsüberwachungs-Regelsprach für eine allgemeine Beschreibung von Include und Exclude sowie deren erlaubte Attribute
und Unterelemente. Hier sind nur Informationen enthalten, die spezifisch für Includes
und Excludes in Bezug auf diese EntitySet-Klasse sind.
Besondere Attribute von Einschließen und Ausschließen für PortSets
Verschiedene andere Attribute des Ports können in Ein- und Ausschlussfunktionstests
verwendet werden. Diese Tests vergleichen einen Wert mit dem Wert eines Attributs
des Ports; beachten Sie die Plattformunterstützung für verschiedene Attribute - nicht
alle Attribute sind plattformübergreifend oder sogar in Plattformrevisionen verfügbar,
daher ist die Verwendung dieser Tests in Ein- und Ausschluss-Tags von begrenztem Nutzen.
Die Funktionstests unterstützen Unix-Glob-Muster mit * und ?, und es gibt keine Normalisierung
von Pfadtrennzeichen oder anderen Zeichen - es handelt sich um einen einfachen Abgleich
mit dem Wert des Attributs.
Pfad: Überprüft auf eine Platzhalterübereinstimmung mit dem Pfadattribut des Ports. Das
folgende Beispiel würde Ports überwachen, die von Prozessen mit der Haupt-IIS-Binärdatei
betrieben werden:
<PortSet> <include path="*\system32\inetsrv\inetinfo.exe"/> </PortSet>
Prozess: Überprüft auf eine Platzhalterübereinstimmung mit dem Prozessattribut des Ports.
Das folgende Beispiel würde Ports überwachen, die von allem, was in einer svchost.exe-
oder outlook.*-Binärdatei läuft, genutzt werden:
<PortSet> <include process="svchost.exe"/> <include process="outlook.\*"/> </PortSet>
Benutzer: Überprüft auf eine Platzhalterübereinstimmung mit dem Benutzerattribut des Ports.
Das folgende Beispiel würde Ports auf einem Unix-System überwachen, die dem Superuser
(root) gehören:
<PortSet> <include user="root"/> </PortSet>