Validation de l'observateur des journaux d'événements

Le script d'installation de l'indicateur d'attaque configure un observateur d'événements et un producteur/consommateur WMI (Windows Management Instrumentation) dans la mémoire de la machine. WMI est un composant Windows qui fournit des informations sur le statut des systèmes informatiques locaux ou distants.

Pour vérifier que l'inscription WMI est correcte :

  • Dans PowerShell, exécutez la commande suivante :

    Copier 
    Get-WmiObject -Class '__FilterToConsumerBinding' -Namespace 'root\subscription' -Filter "Filter = ""__EventFilter.name='AlsidForAD-Launcher'"""

  • S'il existe au moins un consommateur, vous obtenez ce type de sortie :

    Copier 
    > Get-WmiObject -Class '__FilterToConsumerBinding' -Namespace 'root\subscription' -Filter "Filter = ""__EventFilter.name='AlsidForAD-Launcher'"""


    __GENUS                 : 2
    __CLASS                 : __FilterToConsumerBinding
    __SUPERCLASS            : __IndicationRelated
    __DYNASTY               : __SystemClass
    __RELPATH               : __FilterToConsumerBinding.Consumer="ActiveScriptEventConsumer.Name=\"AlsidForAD-Launcher\"",F
                              ilter="__EventFilter.Name=\"AlsidForAD-Launcher\""
    __PROPERTY_COUNT        : 7
    __DERIVATION            : {__IndicationRelated, __SystemClass}
    __SERVER                : DC-999
    __NAMESPACE             : ROOT\subscription
    __PATH                  : \\DC-999\ROOT\subscription:__FilterToConsumerBinding.Consumer="ActiveScriptEventConsumer.Name
                              =\"AlsidForAD-Launcher\"",Filter="__EventFilter.Name=\"AlsidForAD-Launcher\""
    Consumer                : ActiveScriptEventConsumer.Name="AlsidForAD-Launcher"
    CreatorSID              : {1, 1, 0, 0...}
    DeliverSynchronously    : False
    DeliveryQoS             :
    Filter                  : __EventFilter.Name="AlsidForAD-Launcher"
    MaintainSecurityContext : False
    SlowDownProviders       : False
    PSComputerName          : DC-999

    • S'il n'existe pas de consommateur WMI enregistré, la commande ne retourne rien.

    • Il s'agit d'une condition préalable pour que le processus s'exécute sur le contrôleur de domaine pour WMI.

  • Dans PowerShell, exécutez la commande suivante :

    Copier 
    gcim win32_process | Where-Object { $_.CommandLine -match "Register-TenableADEventsListener.exe"}

  • Exemple de résultat valide :

    Copier 
    PS C:\IOAInstall> gcim win32_process | Where-Object { $_.CommandLine -match "Register-TenableADEventsListener.exe"}

    ProcessId Name                                 HandleCount WorkingSetSize VirtualSize

    5748      Register-TenableADEventsListener.exe 152         4096000        4384534528

  • Dans PowerShell, exécutez la commande suivante :

    Copier 
    gcim win32_process | Where-Object { $_.CommandLine -match "TenableADWMIListener"}

  • Exemple de résultat valide :

Copier 
> gcim win32_process | Where-Object { $_.CommandLine -match "TenableADWMIListener"}

ProcessId Name           HandleCount WorkingSetSize VirtualSize
--------- ----           ----------- -------------- -----------
952       powershell.exe 502         26513408       2199678185472