演算子
このoperations部分では、プロセスによって実行される操作によって検出が発生するかどうかを定義します。空の場合、プロセスがイベントを生成すると検出がトリガーされます。
操作は、type属性を持つ操作要素と式要素を使用して定義されます。
<operation type="WriteFile">Expression</operation>
すべての操作で以下のコンポーネントがサポートされています。
BitsJobAddFile
ファイルはBITSジョブに追加されました。
サポートされているコンポーネント:
CodeInjection
プロセスが何らかの形式のコードインジェクションの対象となりました。
サポートされているコンポーネント:
CreateNamedPipe
名前付きパイプが作成されました。
サポートされているコンポーネント:
CreateProcess
プロセスが作成されました。
サポートされているコンポーネント:
DeleteFile
ファイルが削除されました。
サポートされているコンポーネント:
DeleteVolumeShadowCopy
ボリュームのシャドウコピーが削除されました。
サポートされているコンポーネント:
検出
この操作は、次の2つの方法で使用できます。
•通常のルールで使用 - クライアント側のウイルス対策でイベントがトリガーされた
•シーケンスルールで使用 - 検査によってトリガーされた検出のみ
サポートされているコンポーネント:
DnsRequest
DNSリクエストが行われました(通常はIP > ドメイン、ドメイン > IP)。
サポートされているコンポーネント:
HttpRequest
HTTPリクエストが行われました。
サポートされているコンポーネント:
LoadDLL
DLLがロードされました。
サポートされているコンポーネント:
LoadDriver
ドライバまたはカーネルモジュールがロードされました。
サポートされているコンポーネント:
ModuleDrop
実行可能ファイルがドロップされました。
サポートされているコンポーネント:
MultipleFilesChanged
変更された複数のファイルを処理します。
サポートされているコンポーネント:
OpenProcess
プロセスが開かれたときにトリガーされる、新しいルール属性が追加されました。lsass.exeに対するオープンプロセスのみが監視されます。
サポートされているコンポーネント:
ReadFile
監視対象ファイルが読み取られたときにトリガーされます。監視対象ファイルとは、機密情報または保存された資格情報(保存されたブラウザーパスワード、保存されたFTPクライアントパスワード、ADデータベースなど)を含むファイルを指します。
サポートされているコンポーネント:
RegDeleteKey
レジストリキーが削除されました。
サポートされているコンポーネント:
RegDeleteValue
レジストリの値が削除されました。
サポートされているコンポーネント:
RegRenameKey
レジストリキーの名前が変更されました。
サポートされているコンポーネント:
RegSetValue
レジストリキーが変更されました
サポートされているコンポーネント:
RenameFile
ファイルの名前が変更されました
サポートされているコンポーネント:
ScheduledTaskAdded
スケジュールされたタスクが追加されました。
サポートされているコンポーネント:
スクリプト
AMSIによって公開されたスクリプトが実行されました
サポートされているコンポーネント:
ServiceInstalled
サービスがインストールされました。
サポートされているコンポーネント:
•サービス
ServiceStarted
サービスが開始されました。
サポートされているコンポーネント:
•サービス
SetFileAttribute
ファイル属性が設定されました
サポートされているコンポーネント:
SystemApiCall
システム関数が呼び出されました
サポートされているコンポーネント:
TcpIpAccept
受信TCP/IP接続が承認されました
サポートされているコンポーネント:
TcpIpConnect
発信TCP/IP接続が確立されました
サポートされているコンポーネント:
TcpIpProtocolIdentified
TCP/IP接続に加えて、使用されるプロトコルを示します。
サポートされているコンポーネント:
TruncateFile
ファイルが切り捨てられました。
サポートされているコンポーネント:
UnloadDriver
ドライバまたはカーネルモジュールがアンロードされました。
サポートされているコンポーネント:
UserActivate
ユーザーがアクティベーションされました。
サポートされているコンポーネント:
UserAddToGroup
ユーザーがグループに追加されました。
サポートされているコンポーネント:
UserCreate
新しいユーザーが作成されました
サポートされているコンポーネント:
UserDisable
ユーザーが無効になりました。
サポートされているコンポーネント:
UserLogin
ユーザーがログインしました。
サポートされているコンポーネント:
UserLogout
ユーザーがログアウトしました。
サポートされているコンポーネント:
UserRemove
ユーザーが削除されました。
サポートされているコンポーネント:
UserRemovedFromGroup
ユーザーがグループから削除されました。
サポートされているコンポーネント:
VirtualDiskMounted
VirtualDiskMountからのイベントが実行されました。
サポートされているコンポーネント:
WmiExecution
WMI実行イベントがトリガーされました。
サポートされているコンポーネント:
WmiPersistence
このイベントは、コンシューマーがフィルターにバインドするときに生成されます。
サポートされているコンポーネント:
WmiQuery
WMIクエリがコンピューター上で実行されました。
サポートされているコンポーネント:
WriteFile
ファイルが書き込まれました
サポートされているコンポーネント:
|
以前のバージョンのWindowsでは、WMIイベントは生成されません。この機能は、Windows 10バージョン1803以降で使用できます。 一部のイベントでは、部分的な情報しか提供されません。 •ファイル書き込みイベント - 最初のファイル変更のみが記録されます(これはプロセスごとに行われます。2つのプロセスが同じファイルを変更した場合、両方の変更が記録されます) •レジストリ関連のイベント - 最初のレジストリキーの変更のみが記録されます(プロセスの初回) •DLLLoad - AVによってホワイトリストに登録されていないDLLのみが記録されます •TcpIpイベント - 最初の接続のみが記録されます(プロセスの初回) •HTTPイベント - 最初のリクエストのみが記録されます(プロセスの初回) •ModuleDrop(別名PEDrop) - 任意のモジュールの最初のドロップについてのみ報告されます(コンピューター上での初回) •AmsiTriggerEvent - 最初の実行のみが記録されます(コンピューター上での初回) |
