Validación del cliente de escucha de registros de eventos

El script de instalación de indicadores de ataque configura un observador de eventos y un productor o consumidor de Instrumental de administración de Windows (WMI) en la memoria de la máquina. WMI es un componente de Windows que le brinda información sobre el estado de los sistemas informáticos locales o remotos.

Para comprobar el registro correcto de WMI:

  • Ejecute el siguiente comando en PowerShell:

    Copiar 
    Get-WmiObject -Class '__FilterToConsumerBinding' -Namespace 'root\subscription' -Filter "Filter = ""__EventFilter.name='AlsidForAD-Launcher'"""

  • Si existe al menos un consumidor, obtendrá este tipo de salida:

    Copiar 
    > Get-WmiObject -Class '__FilterToConsumerBinding' -Namespace 'root\subscription' -Filter "Filter = ""__EventFilter.name='AlsidForAD-Launcher'"""


    __GENUS                 : 2
    __CLASS                 : __FilterToConsumerBinding
    __SUPERCLASS            : __IndicationRelated
    __DYNASTY               : __SystemClass
    __RELPATH               : __FilterToConsumerBinding.Consumer="ActiveScriptEventConsumer.Name=\"AlsidForAD-Launcher\"",F
                              ilter="__EventFilter.Name=\"AlsidForAD-Launcher\""
    __PROPERTY_COUNT        : 7
    __DERIVATION            : {__IndicationRelated, __SystemClass}
    __SERVER                : DC-999
    __NAMESPACE             : ROOT\subscription
    __PATH                  : \\DC-999\ROOT\subscription:__FilterToConsumerBinding.Consumer="ActiveScriptEventConsumer.Name
                              =\"AlsidForAD-Launcher\"",Filter="__EventFilter.Name=\"AlsidForAD-Launcher\""
    Consumer                : ActiveScriptEventConsumer.Name="AlsidForAD-Launcher"
    CreatorSID              : {1, 1, 0, 0...}
    DeliverSynchronously    : False
    DeliveryQoS             :
    Filter                  : __EventFilter.Name="AlsidForAD-Launcher"
    MaintainSecurityContext : False
    SlowDownProviders       : False
    PSComputerName          : DC-999

    • Si no hay ningún consumidor de WMI registrado, el comando no devuelve nada.

    • Este es un requisito previo para que el proceso se ejecute en el DC para WMI.

  • Ejecute el siguiente comando en PowerShell:

    Copiar 
    gcim win32_process | Where-Object { $_.CommandLine -match "Register-TenableADEventsListener.exe"}

  • Ejemplo de resultado válido:

    Copiar 
    PS C:\IOAInstall> gcim win32_process | Where-Object { $_.CommandLine -match "Register-TenableADEventsListener.exe"}

    ProcessId Name                                 HandleCount WorkingSetSize VirtualSize

    5748      Register-TenableADEventsListener.exe 152         4096000        4384534528

  • Ejecute el siguiente comando en PowerShell:

    Copiar 
    gcim win32_process | Where-Object { $_.CommandLine -match "TenableADWMIListener"}

  • Ejemplo de resultado válido:

Copiar 
> gcim win32_process | Where-Object { $_.CommandLine -match "TenableADWMIListener"}

ProcessId Name           HandleCount WorkingSetSize VirtualSize
--------- ----           ----------- -------------- -----------
952       powershell.exe 502         26513408       2199678185472