Ansichten:
Hinweis
Hinweis
Das Integritätsüberwachungsmodul durchsucht nach unerwarteten Änderungen in Verzeichnissen, Registrierungswerten, Registrierungsschlüsseln, Diensten, Prozessen, installierter Software, Ports, Gruppen, Benutzern, Dateien und der WQL-Abfrageanweisung auf Agenten. Um die Integritätsüberwachung zu aktivieren und zu konfigurieren, siehe Einrichten der Integritätsüberwachung.
Stellt eine Reihe von Prozessen dar.

Tag-Attribute

Dies sind XML-Attribute des Tags selbst, im Gegensatz zu den Attributen der Entität, die von den Integritätsüberwachungsregeln überwacht werden.
Attribut
Beschreibung
Erforderlich
Standardwert
Zulässige Werte
onChange
Wird in Echtzeit überwacht
No
false
true, false

Entitätensatzattribute

Dies sind die Attribute der Entität, die durch Integritätsüberwachungsregeln überwacht werden können.
  • CommandLine: Die vollständige Befehlszeile, wie sie von "ps -f" (Unix), "ps w" (Linux) oder Process Explorer (Windows) angezeigt wird.
  • Gruppe: Die Gruppe, unter der der Prozess läuft.
    • Unter Unix ist dies die "effektive" Gruppen-ID des Prozesses, die den Zugriff auf gemeinsame Ressourcen und in einigen Fällen den Dateizugriff bestimmt. Die Gruppen-ID kann sich ändern, wenn der Prozess Privilegien abgibt oder anderweitig seine effektiven Gruppenzugangsdaten ändert. Zum Beispiel könnte ein Programm Gruppen-IDs vorübergehend ändern und Schreibrechte erhalten, um Installationsdateien in ein Verzeichnis zu kopieren, in dem der Benutzer nur Leserechte hat.
    • Auf Windows ist dies die „aktuelle“ primäre Gruppe des Prozesses, wie sie durch ein benutzerspezifisches Zugriffstoken bei der Anmeldung festgelegt wird, das Zugriffs- und Ressourcenrechte für den Benutzer und alle von ihm ausgeführten Prozesse festlegt.
      Hinweis
      Hinweis
      Zusätzlich zu einer primären Gruppe haben Windows-Prozesse typischerweise eine oder mehrere zusätzliche Gruppenberechtigungen, die mit ihnen verbunden sind. Diese zusätzlichen Gruppenberechtigungen werden vom Agenten nicht überwacht – sie können im Sicherheitsreiter der Prozesseigenschaften in Process Explorer eingesehen werden.
  • Übergeordnet: Die PID des Prozesses, der diesen Prozess erstellt hat.
  • Pfad: Der vollständige Pfad zur Binärdatei des Prozesses. Unter Windows stammt dies von der GetModuleFileNameEx() API. Unter Linux und Solaris 10 wird dies durch das Lesen des Symlinks /proc/{pid}/exe oder /proc/{pid}/path/a.out erreicht. (Nicht verfügbar auf Solaris 9 und AIX.)
  • Prozess: Der Kurzname der Prozess-Binärdatei (ohne Pfad). Zum Beispiel, für "c:\windows\notepad.exe" wäre es "notepad.exe" und für "/usr/local/bin/httpd" wäre es "httpd".
  • Threads: Die Anzahl der Threads, die derzeit im Prozess ausgeführt werden.
  • Benutzer: Der Benutzer, unter dem der Prozess läuft. Unter Unix ist dies die "effektive" Benutzer-ID des Prozesses, die sich im Laufe der Zeit ändern kann, wenn der Prozess seine Berechtigungen reduziert oder anderweitig seine effektiven Benutzeranmeldeinformationen ändert.

Kurzzeichenattribute

  • STANDARD: Befehlszeile, Gruppe, übergeordnetes Element, Pfad (falls verfügbar), Prozessbenutzer

Bedeutung von "Schlüssel"

Der Schlüssel ist eine Kombination aus dem "Prozess"-Attribut (dem Kurznamen der ausführbaren Datei) und der PID. Die PID wird mit einem Pfadtrennzeichen dazwischen an den Namen angehängt, z. B. notepad.exe\1234 unter Windows und httpd/1234 unter Unix. Die Verwendung des Pfadtrennzeichens ermöglicht das erwartungsgemäße Funktionieren der Ein- oder Ausschlussübereinstimmung von Schlüssel="abc//".

Unterelemente

  • Include
  • Ausschließen
Siehe Integritätsüberwachungs-Regelsprache für eine allgemeine Beschreibung der erlaubten Attribute und Unterelemente von Include. Hier sind nur Informationen enthalten, die spezifisch für Includes und Excludes in Bezug auf diese EntitySet-Klasse sind.

Besondere Attribute von Einschließen und Ausschließen für ProzessSets

Das folgende Beispiel überwacht die Menge der laufenden Prozesse für notepad.exe unabhängig von der PID.
<ProcessSet>
<include key="notepad.exe\/" />
</ProcessSet>
Verschiedene andere Attribute eines Prozesses können in Ein- und Ausschluss-Feature-Tests verwendet werden. Die Feature-Tests unterstützen Unix-Glob-Stil-Wildcards mit /* und ?, und es gibt keine Normalisierung von Pfadtrennzeichen oder anderen Zeichen - es handelt sich um eine einfache Glob-Stil-Übereinstimmung mit dem Wert des Attributs.
CommandLine: Überprüft auf eine Platzhalterübereinstimmung mit dem Attribut commandLine des Prozesses. Das folgende Beispiel würde jeden Prozess überwachen, dessen Befehlszeile mit "/httpd /" übereinstimmt:
<ProcessSet>
<include commandLine="/httpd /" />
</ProcessSet>
Gruppe: Überprüft auf eine Platzhalterübereinstimmung mit dem Gruppenattribut des Prozesses. Die Textversion des Gruppennamens wird anstelle der numerischen Form verwendet: Verwenden Sie "daemon" anstelle von "2", um die Daemon-Gruppe unter Linux zu testen. Das folgende Beispiel würde jeden Prozess überwachen, der als eine der Gruppen root, daemon oder lp ausgeführt wird:
<ProcessSet>
<include group="root" />
<include group="daemon" />
<include group="lp" />
</ProcessSet>
Pfad: Überprüft auf eine Platzhalterübereinstimmung mit dem Pfadattribut des Prozesses. Das Pfadattribut ist auf einigen Plattformen nicht verfügbar. Das folgende Beispiel würde jeden Prozess überwachen, dessen Binärdatei sich unter System32 befindet:
<ProcessSet>
<include path="/\System32\/" />
</ProcessSet>
Benutzer: Überprüft auf eine Platzhalterübereinstimmung mit dem Benutzerattribut des Prozesses. Die Textversion des Benutzernamens wird verwendet, anstatt der numerischen Form: Verwenden Sie "root" anstelle von "0" (null), um den Superuser auf Unix zu testen. Das folgende Beispiel würde jeden Prozess überwachen, der als einer der integrierten Systembenutzer ausgeführt wird (z. B. NT AUTHORITY\SYSTEM, NT AUTHORITY\LOCAL SERVICE, NT AUTHORITY\NETWORK SERVICE):
<ProcessSet>
<include user="NT AUTHORITY\/" />
</ProcessSet>