購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
398
閲覧回数
0
いいね!
4
返信

Secure Endpoint コンソールで実行ユーザ(ログインユーザ)を確認する方法

ysohtome
Spotlight
Spotlight

‎2024-07-19 03:40 PM

コンピュータの管理画面には実行ユーザ(ログインユーザ)に関する情報が見られません。
そのため、イベント発生時にはホスト名とIPアドレスを参考にして、別途管理している資料から実行ユーザ(ログインユーザ)を特定しています。
そのため、重大なインシデント発生時には迅速な対応が出来なくなる可能性が有ります。

コンソール上でコンピュータの実行ユーザ(ログインユーザ)を確認する方法は無いでしょうか?

 

ラベル:
0 いいね!
4件の返信4

Kenichiro Kato
Cisco Employee
Cisco Employee

‎2024-07-25 09:56 AM

こんにちは。発生したEventに表示されているDevice Trajectoryのリンクにアクセスいただけますと、私が見た限りで言えばユーザ名がusernameという形ではっきり出ているパターンと、実行ファイルの場合はexecuting as <ユーザ名>@<ホスト名>.という形で表示されている場合がございます。

ただ、この場合、Policy設定のAdvanced Setting -> Administrative Features からSend username in Eventにチェックが入っていることをご確認ください。デフォルトでは有効になっていると思われます。

0 いいね!

ysohtome
Spotlight
Spotlight
Kenichiro Katoに対する応答

‎2024-07-25 02:52 PM

Device Trajectoryのリンク先で確認できました。
また、イベントのコネクタの詳細でも確認できる場合も有るようです。

ただし、上記2つとイベント発生時のみしか確認できません。

運用上、コンピュータの管理画面内でログインユーザ情報が見れれば良いのですが。

0 いいね!

Kenichiro Kato
Cisco Employee
Cisco Employee
ysohtomeに対する応答

‎2024-07-25 03:03 PM

通常、端末において複数ユーザが入っていることもありますし、通常ユーザでなくSystemユーザがプロセスを実行していることもあります(実際にそれがTrajectory上からも見えます)。Secure Endpointのコンピュータのページ上でログインユーザを表示させることは少なくとも現時点ではできない状況です。

0 いいね!

ysohtome
Spotlight
Spotlight
Kenichiro Katoに対する応答

‎2024-07-25 03:28 PM

"ユーザ"はログインユーザ、SystemユーザなどがありSecure Endpointの性格上 "実行ユーザは誰か" に視点をおいている訳ですね。


0 いいね!
Customers Also Viewed These Support Documents