Die Prozessverfolgung zeichnet alle Prozessaktivitäten (Prozesserstellung, Prozessausgang) in einer zentralen Datenbank auf und dient der Überwachung der Anwendungsnutzung. Die gesammelten Informationen können über die Webschnittstelle abgefragt werden, um Tracking-Daten, Historie, Statistiken usw. zu erhalten.
|
In Kombination mit Sysmon und NetFlow kann die Prozessverfolgungsfunktion viele Einblicke in die Prozessaktivität, einschließlich der damit verbundenen Netzwerkaktivität, auf überwachten Systemen liefern. |
Anforderungen
Diese Funktion funktioniert durch Abfangen von Audit-Erfolgsereignissen, die in das Sicherheitsereignisprotokoll geschrieben werden, wenn die Audit-Prozessverfolgung in der lokalen Sicherheitsrichtlinie des überwachten Hosts aktiviert ist. Daher müssen einige Voraussetzungen erfüllt sein, bevor die Prozessverfolgung ordnungsgemäß funktionieren kann. Einzelheiten finden Sie unter Anforderungen.
Konfiguration
Nachverfolgung aller Prozesse (mit Ausnahmen)
Wählen Sie "Alle Prozesse außer den unten aufgeführten verfolgen", um alle Prozesse zu überwachen. Um Prozesse auszuschließen, klicken Sie auf die Schaltfläche "+" und geben Sie die auszuschließende Prozessdatei an (siehe Infobox unten).
Nur ausgewählte Prozesse verfolgen
Wählen Sie "Nur unten aufgeführte Prozesse verfolgen" und klicken Sie auf die Schaltfläche +, um Prozesse, die überwacht werden sollen, zur Liste hinzuzufügen.
|
Prozesse müssen entweder mit einem Platzhalter (z.B. *\postgres.exe) oder unter Verwendung des vollständigen Pfades (z.B. C:\Program Files (x86)\EventSentry\postgresql\bin\postgres.exe) hinzugefügt werden. |
Befehlszeile einbeziehen
Erfasst die Befehlszeile von Prozessen, wenn aktiviert. Die Prozessbefehlszeile wird entweder von Ereignis 4688 aus geparst, wenn es im Betriebssystem konfiguriert und vorhanden ist (suchen Sie hier nach "Process Command Line" für weitere Einzelheiten) oder vom laufenden Prozess aus abgefragt. Letzteres funktioniert nur, wenn der Prozess noch läuft, wenn der Agent versucht, diese Information zu erhalten, und funktioniert möglicherweise nicht für Prozesse, die nur für eine sehr kurze Zeit aktiv sind (z.B. weniger als 1 Sekunde).
|
Leistungswarnung: Wenn die Prozessbefehlszeile im Ereignis 4688 nicht verfügbar ist, kann EventSentry WMI verwenden, um die Prozessbefehlszeile zu erhalten. Dies kann zu einer erheblichen Leistungseinbuße führen, insbesondere auf Systemen mit einer hohen Prozessaktivität. |
|
Sicherheitswarnung: Verwenden Sie diese Option mit Vorsicht, Befehlszeilenargumente können sensible Informationen wie Benutzernamen und Passwörter enthalten. |
Ereignisse im Sysmon-Netzwerk
EventSentry kann mit dem Dienstprogramm Sysmon v7.x von Windows Sysinternals integriert werden.
Prüfsumme
Wenn diese Option aktiviert ist, wird die angegebene Art der Prüfsumme (SHA 256, 384 oder 512) jedes ausgeführten Prozesses berechnet und im Bericht zur Verfügung gestellt. Prüfsummen können mit Sites wie virustotal.com korreliert werden.
Es wird empfohlen, die Optimierung zu aktivieren, um die potenzielle CPU-Last zu reduzieren, die der EventSentry-Agent auf dem überwachten System hat, und die Optimierung in Hochsicherheitsumgebungen zu deaktivieren. Wenn die Optimierung aktiviert ist, wird der Agent die Prüfsumme häufig ausgeführter Prozesse vorübergehend zwischenspeichern. Die Standard-Optimierung greift auf zwischengespeicherte Prüfsummen zu, wenn sich die Schreibzeit der Datei seit der letzten Generierung einer Prüfsumme nicht geändert hat; die Hoch-Optimierung greift auf zwischengespeicherte Prüfsummen zu, wenn die gleiche Datei innerhalb der letzten 5 Sekunden ausgeführt wurde und sich die Schreibzeit nicht geändert hat.
Aktivieren der Prozessverfolgung im Betriebssystem
Da die Prozessverfolgung im Betriebssystem aktiviert sein muss, können Sie den Agenten so konfigurieren, dass er automatisch aktiviert wird, wenn er nicht bereits aktiviert ist. Weitere Informationen finden Sie unter Anforderungen.
Datenbank
Wählen Sie die Datenbankaktion, die auf die richtige Datenbank verweist.
Zusätzliche Merkmale
Wenn die angegebene Datenbank vorübergehend nicht verfügbar ist, dann speichert EventSentry die ausstehenden Prozessverfolgungsdaten im Cache und führt die Transaktionen aus, wenn der Datenbankserver wieder verfügbar ist.
