Validation de l'observateur des journaux d'événements

Le script d'installation de l'indicateur d'attaque configure un observateur d'événements et un producteur/consommateur WMI (Windows Management Instrumentation) dans la mémoire de la machine. WMI est un composant Windows qui fournit des informations sur le statut des systèmes informatiques locaux ou distants.

Pour vérifier que l'inscription WMI est correcte :

  1. Dans PowerShell, exécutez la commande suivante :

    Copier 
    Get-WmiObject -Class '__FilterToConsumerBinding' -Namespace 'root\subscription' -Filter "Filter = ""__EventFilter.name='AlsidForAD-Launcher'"""

  2. S'il existe au moins un consommateur, vous obtenez ce type de sortie :

    Copier 
    > Get-WmiObject -Class '__FilterToConsumerBinding' -Namespace 'root\subscription' -Filter "Filter = ""__EventFilter.name='AlsidForAD-Launcher'"""


    __GENUS                 : 2
    __CLASS                 : __FilterToConsumerBinding
    __SUPERCLASS            : __IndicationRelated
    __DYNASTY               : __SystemClass
    __RELPATH               : __FilterToConsumerBinding.Consumer="ActiveScriptEventConsumer.Name=\"AlsidForAD-Launcher\"",F
                              ilter="__EventFilter.Name=\"AlsidForAD-Launcher\""
    __PROPERTY_COUNT        : 7
    __DERIVATION            : {__IndicationRelated, __SystemClass}
    __SERVER                : DC-999
    __NAMESPACE             : ROOT\subscription
    __PATH                  : \\DC-999\ROOT\subscription:__FilterToConsumerBinding.Consumer="ActiveScriptEventConsumer.Name
                              =\"AlsidForAD-Launcher\"",Filter="__EventFilter.Name=\"AlsidForAD-Launcher\""
    Consumer                : ActiveScriptEventConsumer.Name="AlsidForAD-Launcher"
    CreatorSID              : {1, 1, 0, 0...}
    DeliverSynchronously    : False
    DeliveryQoS             :
    Filter                  : __EventFilter.Name="AlsidForAD-Launcher"
    MaintainSecurityContext : False
    SlowDownProviders       : False
    PSComputerName          : DC-999

    • S'il n'existe pas de consommateur WMI enregistré, la commande ne retourne rien.

    • Il s'agit d'une condition préalable pour que le processus s'exécute sur le contrôleur de domaine pour WMI.

Pour récupérer l'observateur des journaux d'événements :

  • Dans PowerShell, exécutez la commande suivante :

    Copier 
    gcim win32_process | Where-Object { $_.CommandLine -match "Register-TenableADEventsListener.exe"}

  • Exemple de résultat valide :

    Copier 
    PS C:\IOAInstall> gcim win32_process | Where-Object { $_.CommandLine -match "Register-TenableADEventsListener.exe"}

    ProcessId Name                                 HandleCount WorkingSetSize VirtualSize

    5748      Register-TenableADEventsListener.exe 152         4096000        4384534528