Integrare l'hub di Azure Stack con soluzioni di monitoraggio tramite l'inoltro syslog
Questo articolo illustra come usare syslog per integrare l'infrastruttura dell'hub di Azure Stack con soluzioni di sicurezza esterne già distribuite nel data center. Un esempio di tali soluzioni esterne è il sistema SIEM (Security Information Event Management). Il canale Syslog espone i controlli, gli avvisi e i log relativi alla sicurezza di tutti i componenti dell'infrastruttura dell'hub di Azure Stack. L'inoltro Syslog consente di eseguire l'integrazione con le soluzioni di monitoraggio di sicurezza e di recuperare tutti i controlli, gli avvisi e i log relativi alla sicurezza in modo da archiviarli e conservarli.
A partire dall'aggiornamento 1809, l'hub di Azure Stack ha un client syslog integrato che, una volta configurato, genera messaggi syslog con il payload in Common Event Format (CEF).
Il diagramma seguente descrive l'integrazione dell'hub di Azure Stack con un sistema SIEM esterno. È necessario prendere in considerazione due modelli di integrazione. Il primo (quello in blu) è l'infrastruttura dell'hub di Azure Stack, in cui sono compresi le macchine virtuali dell'infrastruttura e i nodi Hyper-V. Tutti i controlli, i log relativi alla sicurezza e gli avvisi generati da tali componenti vengono raccolti ed esposti centralmente tramite Syslog con payload CEF. Questo modello di integrazione è descritto nella presente pagina di documentazione. Il secondo modello di integrazione è quello illustrato in arancione e copre i controller di gestione della baseboard (BMC), l'host del ciclo di vita hardware (HLH), le macchine virtuali e le appliance virtuali che eseguono il software di monitoraggio e gestione dei partner hardware e i commutatori top of rack (TOR). Poiché questi componenti sono specifici per il partner hardware, è necessario contattare quest’ultimo per ottenere la documentazione su come integrare i componenti in questione con un sistema SIEM esterno.
Configurazione dell'inoltro Syslog
Il client Syslog dell'hub di Azure Stack supporta le configurazioni seguenti:
Syslog su TCP, con autenticazione reciproca (client e server) e crittografia TLS 1.2: In questa configurazione, sia il server syslog che il client syslog possono verificare l'identità tra loro tramite certificati. I messaggi vengono inviati tramite un canale crittografato TLS 1.2.
Syslog su TCP con autenticazione server e crittografia TLS 1.2: In questa configurazione il client syslog può verificare l'identità del server syslog tramite un certificato. I messaggi vengono inviati tramite un canale crittografato TLS 1.2.
Syslog su TCP, senza crittografia: In questa configurazione le identità del client syslog e del server syslog non vengono verificate. I messaggi vengono inviati in testo non crittografato su TCP.
Syslog su UDP, senza crittografia: In questa configurazione le identità del client syslog e del server syslog non vengono verificate. I messaggi vengono inviati in testo non crittografato tramite UDP.
Importante
Microsoft consiglia vivamente di usare TCP usando l'autenticazione e la crittografia (configurazione 1 o, al minimo, n. 2) per gli ambienti di produzione per proteggersi da attacchi man-in-the-middle e intercettazione dei messaggi.
Cmdlet per configurare l'inoltro Syslog
Per la configurazione dell'inoltro Syslog, è necessario l'accesso all'endpoint con privilegi (PEP). Per configurare l'inoltro Syslog, sono stati aggiunti due cmdlet di PowerShell al PEP :
### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server
Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]
### cmdlet to configure the certificate for the syslog client to authenticate with the server
Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]
Parametri cmdlet
Parametri per il cmdlet Set-SyslogServer :
| Parametro | Descrizione | Tipo | Necessario |
|---|---|---|---|
| ServerName | FQDN o indirizzo IP del server Syslog. | string | sì |
| ServerPort | Numero di porta su cui è in ascolto il server Syslog. | UInt16 | sì |
| NoEncryption | Forzare il client a inviare messaggi Syslog in testo non crittografato. | flag | no |
| SkipCertificateCheck | Ignorare la convalida del certificato fornito dal server Syslog durante l'handshake TLS iniziale. | flag | no |
| SkipCNCheck | Ignorare la convalida del valore di nome comune del certificato fornito dal server Syslog durante l'handshake TLS iniziale. | flag | no |
| UseUDP | Usare Syslog con UDP come protocollo di trasporto. | flag | no |
| Rimuovi | Rimuovere la configurazione del server dal client e arrestare l'inoltro Syslog. | flag | no |
Parametri per il cmdlet Set-SyslogClient :
| Parametro | Descrizione | Tipo |
|---|---|---|
| pfxBinary | Contenuto del file pfx, inviato tramite pipe a un Byte[], contenente il certificato che deve essere usato dal client come identità per l'autenticazione nel server Syslog. | Byte[] |
| CertPassword | Password per importare la chiave privata associata al file con estensione pfx. | SecureString |
| RemoveCertificate | Rimuovere il certificato dal client. | flag |
| OutputSeverity | Livello di registrazione dell'output. I valori sono Default o Verbose. Il valore Default (predefinito) include i livelli di gravità avviso, critico o errore. Il valore Verbose (dettagliato) include tutti i livelli di gravità dettagliato, informativo, avviso, critico o errore. | string |
Configurazione dell'inoltro Syslog con TCP, autenticazione reciproca e crittografia TLS 1.2
In questa configurazione il client Syslog dell'hub di Azure Stack inoltra i messaggi al server Syslog tramite TCP, con crittografia TLS 1.2. Durante l'handshake iniziale, il client verifica che il server fornisca un certificato valido e attendibile. Al contempo, fornisce un certificato al server come prova della propria identità. Questa configurazione è la più sicura perché garantisce una convalida completa sia dell'identità del client sia dell’identità del server e invia messaggi su un canale crittografato.
Importante
Microsoft consiglia vivamente di usare questa configurazione per gli ambienti di produzione.
Per configurare l'inoltro Syslog con TCP, l’autenticazione reciproca e la crittografia TLS 1.2, eseguire entrambi questi cmdlet in una sessione PEP:
# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>
Il certificato client deve avere la stessa radice di quella fornita durante la distribuzione dell'hub di Azure Stack. Deve inoltre contenere una chiave privata.
##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.
$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
$params = @{
ComputerName = $ErcsNodeName
Credential = $CloudAdminCred
ConfigurationName = "PrivilegedEndpoint"
}
$session = New-PSSession @params
$params = @{
Session = $session
ArgumentList = @($certContent, $certPassword)
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose
Invoke-Command @params -ScriptBlock {
param($CertContent, $CertPassword)
Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }
Configurazione dell'inoltro syslog con TCP, autenticazione server e crittografia TLS 1.2
In questa configurazione il client Syslog dell'hub di Azure Stack inoltra i messaggi al server Syslog tramite TCP, con crittografia TLS 1.2. Durante l'handshake iniziale, il client verifica anche che il server fornisca un certificato valido e attendibile. Questa configurazione impedisce al client di inviare messaggi a destinazioni non attendibili. TCP che usa l'autenticazione e la crittografia è la configurazione predefinita e rappresenta il livello minimo di sicurezza consigliato da Microsoft per un ambiente di produzione.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
Se si vuole testare l'integrazione del server syslog con il client dell'hub di Azure Stack usando un certificato autofirmato o non attendibile, è possibile usare questi flag per ignorare la convalida del server eseguita dal client durante l'handshake iniziale.
#Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
-SkipCNCheck
#Skip entirely the server certificate validation
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
-SkipCertificateCheck
Importante
Microsoft consiglia di usare il flag -SkipCertificateCheck per gli ambienti di produzione.
Configurazione dell'inoltro syslog con TCP e nessuna crittografia
In questa configurazione, il client syslog nell'hub di Azure Stack inoltra i messaggi al server syslog su TCP, senza crittografia. Il client non verifica l'identità del server né fornisce la propria identità al server per la verifica.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption
Importante
Microsoft consiglia di usare questa configurazione per gli ambienti di produzione.
Configurazione dell'inoltro syslog con UDP e senza crittografia
In questa configurazione, il client syslog nell'hub di Azure Stack inoltra i messaggi al server syslog tramite UDP, senza crittografia. Il client non verifica l'identità del server né fornisce la propria identità al server per la verifica.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -UseUDP
Anche se UDP senza crittografia è il più semplice da configurare, non fornisce alcuna protezione dagli attacchi man-in-the-middle e dall'intercettazione dei messaggi.
Importante
Microsoft consiglia di usare questa configurazione per gli ambienti di produzione.
Rimozione della configurazione dell'inoltro syslog
Per rimuovere completamente la configurazione del server syslog e arrestare l'inoltro syslog:
Rimuovere la configurazione del server syslog dal client
Set-SyslogServer -Remove
Rimuovere il certificato client dal client
Set-SyslogClient -RemoveCertificate
Verifica dell'installazione di syslog
Se il client syslog è stato connesso correttamente al server syslog, è consigliabile iniziare a ricevere gli eventi. Se non viene visualizzato alcun evento, verificare la configurazione del client syslog eseguendo i cmdlet seguenti:
Verificare la configurazione del server nel client syslog
Get-SyslogServer
Verificare l'installazione del certificato nel client syslog
Get-SyslogClient
Schema dei messaggi Syslog
L'inoltro syslog dell'infrastruttura dell'hub di Azure Stack invia messaggi formattati in Common Event Format (CEF). Ogni messaggio syslog è strutturato in base a questo schema:
<Time> <Host> <CEF payload>
Il payload CEF si basa sulla struttura seguente, ma il mapping per ogni campo varia a seconda del tipo di messaggio (evento Di Windows, Avviso creato, Avviso chiuso).
# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0
Mapping CEF per gli eventi endpoint con privilegi
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP
Tabella degli eventi per l'endpoint con privilegi:
| Evento | ID evento PEP | Nome attività PEP | Gravità |
|---|---|---|---|
| PrivilegedEndpointAccessed | 1000 | PrivilegedEndpointAccessedEvent | 5 |
| SupportSessionTokenRequested | 1001 | SupportSessionTokenRequestedEvent | 5 |
| SupportSessionDevelopmentTokenRequested | 1002 | SupportSessionDevelopmentTokenRequestedEvent | 5 |
| SupportSessionUnlocked | 1003 | SupportSessionUnlockedEvent | 10 |
| SupportSessionFailedToUnlock | 1004 | SupportSessionFailedToUnlockEvent | 10 |
| PrivilegedEndpointClosed | 1005 | PrivilegedEndpointClosedEvent | 5 |
| NewCloudAdminUser | 1006 | NewCloudAdminUserEvent | 10 |
| RemoveCloudAdminUser | 1007 | RemoveCloudAdminUserEvent | 10 |
| SetCloudAdminUserPassword | 1008 | SetCloudAdminUserPasswordEvent | 5 |
| GetCloudAdminPasswordRecoveryToken | 1009 | GetCloudAdminPasswordRecoveryTokenEvent | 10 |
| ResetCloudAdminPassword | 1010 | ResetCloudAdminPasswordEvent | 10 |
| PrivilegedEndpointSessionTimedOut | 1017 | PrivilegedEndpointSessionTimedOutEvent | 5 |
Tabella di gravità PEP:
| Gravità | Level | Valore numerico |
|---|---|---|
| 0 | Non definito | Valore: 0 Indica i log a tutti i livelli |
| 10 | Critico | Valore: 1. Indica i log per un avviso critico |
| 8 | Errore | Valore: 2. Indica i log per un errore |
| 5 | Avviso | Valore: 3. Indica i log per un avviso |
| 2 | Informazioni | Valore: 4. Indica i log per un messaggio informativo |
| 0 | Dettagliato | Valore: 5. Indica i log a tutti i livelli |
Mapping CEF per gli eventi dell'endpoint di ripristino
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP
Tabella degli eventi per l'endpoint di ripristino:
| Evento | ID evento REP | Nome attività REP | Gravità |
|---|---|---|---|
| RecoveryEndpointAccessed | 1011 | RecoveryEndpointAccessedEvent | 5 |
| RecoverySessionTokenRequested | 1012 | RecoverySessionTokenRequestedEvent | 5 |
| RecoverySessionDevelopmentTokenRequested | 1013 | RecoverySessionDevelopmentTokenRequestedEvent | 5 |
| RecoverySessionUnlocked | 1014 | RecoverySessionUnlockedEvent | 10 |
| RecoverySessionFailedToUnlock | 1015 | RecoverySessionFailedToUnlockEvent | 10 |
| RecoveryEndpointClosed | 1016 | RecoveryEndpointClosedEvent | 5 |
Tabella di gravità rep:
| Gravità | Level | Valore numerico |
|---|---|---|
| 0 | Non definito | Valore: 0 Indica i log a tutti i livelli |
| 10 | Critico | Valore: 1. Indica i log per un avviso critico |
| 8 | Errore | Valore: 2. Indica i log per un errore |
| 5 | Avviso | Valore: 3. Indica i log per un avviso |
| 2 | Informazioni | Valore: 4. Indica i log per un messaggio informativo |
| 0 | Dettagliato | Valore: 5. Indica i log a tutti i livelli |
Mapping CEF per gli eventi di Windows
* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Tabella di gravità per gli eventi di Windows:
| Valore di gravità CEF | Livello di evento di Windows | Valore numerico |
|---|---|---|
| 0 | Non definito | Valore: 0 Indica i log a tutti i livelli |
| 10 | Critico | Valore: 1. Indica i log per un avviso critico |
| 8 | Errore | Valore: 2. Indica i log per un errore |
| 5 | Avviso | Valore: 3. Indica i log per un avviso |
| 2 | Informazioni | Valore: 4. Indica i log per un messaggio informativo |
| 0 | Dettagliato | Valore: 5. Indica i log a tutti i livelli |
Tabella di estensione personalizzata per gli eventi di Windows nell'hub di Azure Stack:
| Nome dell'estensione personalizzato | Esempio di evento di Windows |
|---|---|
| MasChannel | Sistema |
| MasComputer | test.azurestack.contoso.com |
| MasCorrelationActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasCorrelationRelatedActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasEventData | Svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000 |
| MasEventDescription | Le impostazioni di Criteri di gruppo per l'utente sono state elaborate correttamente. Non sono state rilevate modifiche dall'ultima elaborazione riuscita di Criteri di gruppo. |
| MasEventID | 1501 |
| MasEventRecordID | 26637 |
| MasExecutionProcessID | 29380 |
| MasExecutionThreadID | 25480 |
| MasKeywords | 0x8000000000000000 |
| MasKeywordName | Verifica esito positivo |
| MasLevel | 4 |
| MasOpcode | 1 |
| MasOpcodeName | info |
| MasProviderEventSourceName | |
| MasProviderGuid | AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9 |
| MasProviderName | Microsoft-Windows-GroupPolicy |
| MasSecurityUserId | <Windows SID> |
| MasTask | 0 |
| MasTaskCategory | Creazione di processi |
| MasUserData | KB4093112!! 5112!! Installato!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/* |
| MasVersion | 0 |
Mapping CEF per gli avvisi creati
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Tabella di gravità degli avvisi:
| Gravità | Level |
|---|---|
| 0 | Non definito |
| 10 | Critico |
| 5 | Avviso |
Tabella di estensione personalizzata per gli avvisi creati nell'hub di Azure Stack:
| Nome dell'estensione personalizzato | Esempio |
|---|---|
| MasEventDescription | DESCRIZIONE: è stato creato un account <utente TestUser> per <TestDomain>. È un potenziale rischio di sicurezza. -- CORREZIONE: Contattare il supporto tecnico. Assistenza clienti è necessaria per risolvere questo problema. Non provare a risolvere questo problema senza assistenza. Prima di aprire una richiesta di supporto, avviare il processo di raccolta file di log usando le indicazioni fornite da https://aka.ms/azurestacklogfiles. |
Mapping CEF per gli avvisi chiusi
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information
L'esempio seguente mostra un messaggio syslog con il payload CEF:
2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10
Tipi di evento Syslog
La tabella elenca tutti i tipi di evento, gli eventi, lo schema dei messaggi o le proprietà inviati tramite il canale syslog. L'opzione di installazione dettagliata deve essere usata solo se per l'integrazione SIEM sono necessari eventi informativi di Windows.
| Tipo evento | Schema eventi o messaggi | Richiede un'impostazione dettagliata | Descrizione evento (facoltativo) |
|---|---|---|---|
| Avvisi dell’hub di Azure Stack | Per lo schema del messaggio di avviso, vedere mapping CEF per gli avvisi chiusi. Elenco di tutti gli avvisi in condivisi in un documento separato. |
No | Avvisi di integrità del sistema |
| Eventi endpoint con privilegi | Per lo schema dei messaggi dell'endpoint con privilegi, vedere mapping CEF per gli eventi dell'endpoint con privilegi. PrivilegedEndpointAccessed SupportSessionTokenRequested SupportSessionDevelopmentTokenRequested SupportSessionUnlocked SupportSessionFailedToUnlock PrivilegedEndpointClosed NewCloudAdminUser RemoveCloudAdminUser SetCloudAdminUserPassword GetCloudAdminPasswordRecoveryToken ResetCloudAdminPassword PrivilegedEndpointSessionTimedOut |
No | |
| Eventi endpoint di ripristino | Per lo schema del messaggio dell'endpoint di ripristino, vedere mapping CEF per gli eventi dell'endpoint di ripristino. RecoveryEndpointAccessed RecoverySessionTokenRequested RecoverySessionDevelopmentTokenRequested RecoverySessionUnlocked RecoverySessionFailedToUnlock Recovand RecoveryEndpointClosed |
No | |
| eventi Sicurezza di Windows | Per lo schema dei messaggi di evento di Windows, vedere Mapping CEF per gli eventi di Windows. |
Sì (per ottenere eventi informativi) | Digitare: -Informazioni - Avviso - Errore - Critico |
| Eventi ARM | Proprietà del messaggio: AzsSubscriptionId AzsCorrelationId AzsPrincipalOid AzsPrincipalPuid AzsTenantId AzsOperationName AzsOperationId AzsEventSource AzsDescription AzsResourceProvider AzsResourceUri AzsEventName AzsEventInstanceId AzsChannels AzsEventLevel AzsStatus AzsSubStatus AzsClaims AzsAuthorization AzsHttpRequest AzsProperties AzsEventTimestamp AzsAudience AzsIssuer AzsIssuedAt AzsApplicationId AzsUniqueTokenId AzsArmServiceRequestId AzsEventCategory |
No |
Ogni risorsa arm registrata può generare un evento. |
| Eventi BCDR | Schema dei messaggi: AuditingManualBackup { } AuditingConfig { Intervallo Conservazione IsSchedulerEnabled BackupPath } AuditingPruneBackupStore { IsInternalStore } |
No | Questi eventi tengono traccia delle operazioni di amministrazione dell'infrastruttura eseguite manualmente dal cliente, includono il backup dei trigger, la configurazione del backup delle modifiche e l'eliminazione dei dati di backup. |
| Eventi di creazione e chiusura degli errori infra | Schema dei messaggi: InfrastructureFaultOpen { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsCreatedTimeUtc, AzsSource } InfrastructureFaultClose { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
No | Gli errori attivano flussi di lavoro che tentano di correggere gli errori che possono causare avvisi. Se un errore non ha alcuna correzione, viene generato direttamente un avviso. |
| Eventi di creazione e chiusura degli errori del servizio | Schema dei messaggi: ServiceFaultOpen { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsCreatedTimeUtc, AzsSource } ServiceFaultClose { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
No | Gli errori attivano flussi di lavoro che tentano di correggere gli errori che possono causare avvisi. Se un errore non ha alcuna correzione, viene generato direttamente un avviso. |
| Eventi PEP WAC | Schema dei messaggi: Campi prefisso * ID firma: Microsoft-AzureStack-PrivilegedEndpoint: <ID evento PEP> * Nome: <PEP Task Name> * Gravità: mappata dal livello PEP (vedere la tabella PEP Severity riportata di seguito) * Chi: account usato per connettersi al PEP * WhichIP: indirizzo IP del server ERCS che ospita il PEP WACServiceStartFailedEvent WACConnectedUserNotRetrievedEvent WACEnableExceptionEvent WACUserAddedEvent WACAddUserToLocalGroupFailedEvent WACIsUserInLocalGroupFailedEvent WACServiceStartTimeoutEvent WACServiceStartInvalidOperationEvent WACGetSidFromUserFailedEvent WACDisableFirewallFailedEvent WACCreateLocalGroupIfNotExistFailedEvent WACEnableFlagIsTrueEvent WACEnableFlagIsFalseEvent WACServiceStartedEvent |
No |