OpenProcess
プロセスが開かれたときにトリガーされる、新しいルール属性が追加されました。
HIPSは、OpenProcessまたはDuplicateHandleを呼び出す場合にのみ、PROCESS_VM_WRITEおよび/またはPROCESS_VM_READプロセスアクセスのみを持つ、lsass.exe向けのOpenProcessイベントを送信します(前述のアクセスでプロセスが既に開かれている場合)
プロパティ |
タイプ |
説明 |
例 |
|---|---|---|---|
AccessRight |
|
可能な値は、以下のとおりです。 •1—PROCESS_TERMINATE •2—PROCESS_CREATE_THREAD •8—PROCESS_VM_OPERATION •16—PROCESS_VM_READ •32—PROCESS_VM_WRITE •64—PROCESS_DUP_HANDLE •128—PROCESS_CREATE_PROCESS •256—PROCESS_SET_QUOTA •512—PROCESS_SET_INFORMATION •1024—PROCESS_QUERY_INFORMATION •2048—PROCESS_SUSPEND_RESUME •4096—PROCESS_QUERY_LIMITED_INFORMATION •65536—DELETE •131072—READ_CONTROL •262144—WRITE_DAC •524288—WRITE_OWNER •1048576—SYNCHRONIZE •2097151—PROCESS_ALL_ACCESS |
例
<operations> <operation type="OpenProcess"> <condition component="OpenProcess" property="AccessRight" condition="contains" value="PROCESS_VM_READ" /> </operation> </operations> |
サポートされている操作
•OpenProcess