Операції

Скопіювати URL-адресу поточної статті Поділитись електронною поштою

Ця стаття (PDF) Повна документація (PDF)

Частина operations визначає виконувані процесом операції, які ініціюють виявлення. Якщо значення порожнє, виявлення ініціюється, коли процес генерує подію.

Операції визначаються за допомогою елемента операції з атрибутом type і елементом виразу.

<operation type="WriteFile">Expression</operation>

Указані нижче компоненти підтримуються всіма операціями.

•DateTime

•EnterpriseInspector

•SystemInfo

BitsJobAddFile

До завдання BITS додано файл.

Підтримувані компоненти:

•BitsJobAddFile

•DateTime

•EnterpriseInspector

•SystemInfo

CodeInjection

До процесу було застосовано певну форму включення коду.

Підтримувані компоненти:

•ClientProcessInfo

•CodeInjectionInfo

•DateTime

•Enterprise

•EnterpriseInspector

•FileItem

•LiveGrid

•Модуль

•ProcessInfo

•ServiceProcessInfo

•SystemInfo

CreateNamedPipe

Створено іменований канал pipe.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•FileItem

•SystemInfo

CreateProcess

Створено процес.

Підтримувані компоненти:

•DateTime

•Enterprise

•EnterpriseInspector

•FileItem

•LiveGrid

•Модуль

•ProcessInfo

•ServiceProcessInfo

•SystemInfo

DeleteFile

Файл видалено.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•FileItem

•SystemInfo

DeleteVolumeShadowCopy

Видалено тіньову копію тому.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•SystemInfo

•VolumeShadowCopyInfo

Виявлений об’єкт

Цю операцію можна використовувати двома різними способами:

•У звичайному правилі: подію ініційовано на клієнтському антивірусі

•У правилі послідовності: лише об’єкти, виявлені Inspect

Підтримувані компоненти:

•DateTime

•SystemInfo

DnsRequest

Створено запит DNS (IP-адреса > доменне ім’я, доменне ім’я > IP-адреса).

Підтримувані компоненти:

•DateTime

•DnsInfo

•EnterpriseInspector

•SystemInfo

HttpRequest

Створено HTTP-запит.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•Мережа

•SystemInfo

LoadDLL

Завантажено бібліотеку DLL.

Підтримувані компоненти:

•DateTime

•Enterprise

•EnterpriseInspector

•FileItem

•LiveGrid

•Модуль

•ProcessInfo

•ServiceProcessInfo

•SystemInfo

LoadDriver

Завантажено драйвер або модуль ядра.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•FileItem

•Модуль

•SystemInfo

ModuleDrop

Виконуваний файл було інстальовано дропером.

Підтримувані компоненти:

•DateTime

•Enterprise

•EnterpriseInspector

•FileItem

•LiveGrid

•Модуль

•SystemInfo

MultipleFilesChanged

Процес змінив кілька файлів.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•ProcessBehavior

•SystemInfo

OpenProcess

Додано новий атрибут правила, який активується під час відкриття процесу. Відстежується тільки відкритий процес у lsass.exe.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•FileItem

•OpenProcess

•SystemInfo

ReadFile

Активується під час читання відстежуваного файлу. Відстежувані файли — це файли, які містять конфіденційну інформацію або збережені облікові дані, наприклад збережені паролі браузера, збережені паролі клієнтів FTP, базу даних AD тощо.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•FileItem

•SystemInfo

RegDeleteKey

Видалено розділ реєстру.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•RegistryItem

•SystemInfo

RegDeleteValue

Значення реєстру видалено.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•RegistryItem

•SystemInfo

RegRenameKey

Перейменовано розділ реєстру.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•RegistryItem

•SystemInfo

RegSetValue

Змінено розділ реєстру.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•RegistryItem

•SystemInfo

RenameFile

Файл перейменовано.

Підтримувані компоненти:

•DateTime

•DestFileItem

•EnterpriseInspector

•FileItem

•SystemInfo

ScheduledTaskAdded

Додано заплановане завдання.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•FileItem

•ScheduledTask

•SystemInfo

Сценарії

Виконано сценарій, оброблений AMSI.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•Сценарії

•SystemInfo

ServiceInstalled

Інстальовано службу.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•FileItem

•Служба

•SystemInfo

ServiceStarted

Запущено службу.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•FileItem

•Служба

•SystemInfo

SetFileAttribute

Задано атрибут файлу.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•FileAttribute

•FileItem

•SystemInfo

SystemApiCall

Викликано системну функцію.

Підтримувані компоненти:

•ApiCall

•DateTime

•EnterpriseInspector

•SystemInfo

TcpIpAccept

Прийнято вхідне з’єднання TCP/IP.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•Мережа

•SystemInfo

TcpIpConnect

Встановлено вихідне з’єднання TCP/IP.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•Мережа

•SystemInfo

TcpIpProtocolIdentified

Описує протокол, який використовується поверх з’єднання TCP/IP.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•Мережа

•SystemInfo

TruncateFile

Файл скорочено.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•FileItem

•SystemInfo

UnloadDriver

Вивантажено драйвер або модуль ядра.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•FileItem

•SystemInfo

UserActivate

Користувача активовано.

Підтримувані компоненти:

•DateTime

•DoneByUser

•EnterpriseInspector

•SystemInfo

•TargetUser

UserAddToGroup

Користувача додано в групу.

Підтримувані компоненти:

•DateTime

•DoneByUser

•EnterpriseInspector

•SystemInfo

•TargetUser

•UserGroupData

UserCreate

Створено нового користувача.

Підтримувані компоненти:

•DateTime

•DoneByUser

•EnterpriseInspector

•SystemInfo

•TargetUser

UserDisable

Користувача вимкнуто.

Підтримувані компоненти:

•DateTime

•DoneByUser

•EnterpriseInspector

•SystemInfo

•TargetUser

UserLogin

Користувач увійшов у систему.

Підтримувані компоненти:

•DateTime

•DoneByUser

•EnterpriseInspector

•SystemInfo

•TargetUser

•UserLogonData

UserLogout

Користувач вийшов із системи.

Підтримувані компоненти:

•DateTime

•DoneByUser

•EnterpriseInspector

•SystemInfo

•TargetUser

•UserLogonData

UserRemove

Користувача видалено.

Підтримувані компоненти:

•DateTime

•DoneByUser

•EnterpriseInspector

•SystemInfo

•TargetUser

UserRemoveFromGroup

Користувача видалено з групи.

Підтримувані компоненти:

•DateTime

•DoneByUser

•EnterpriseInspector

•SystemInfo

•TargetUser

•UserGroupData

VirtualDiskMounted

Виконано подію з VirtualDiskMount.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•FileItem

•SystemInfo

WmiExecution

Активовано подію виконання WMI.

Підтримувані компоненти:

•DateTime

•FileItem

•SystemInfo

•WmiExecutionInfo

WmiPersistence

Подія генерується, коли клієнт прив’язується до фільтра.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•SystemInfo

•WmiPersistenceInfo

WmiQuery

Запит WMI було виконано на комп’ютері.

Підтримувані компоненти:

•DateTime

•SystemInfo

WriteFile

У файл виконано запис.

Підтримувані компоненти:

•DateTime

•EnterpriseInspector

•FileItem

•SystemInfo

Попередні версії Windows не відтворюють події WMI. Ця функція доступна у Windows 10 версії 1803 й новіших версій.

Деякі з подій надають лише часткову інформацію:

•Події запису у файл: записується лише перша зміна файлу (залежить від процесу; якщо два процеси змінюють той самий файл, записуються обидві зміни)

•Події, пов’язані з реєстром: записується лише перша зміна розділу реєстру (перший раз від процесу)

•DLLLoad: записуються лише бібліотеки DLL, які не внесені до білого списку антивірусом

•Події TcpIp: записується лише перше підключення (перший раз від певного процесу)

•Події http: записується лише перший запит (перший раз від певного процесу)

•ModuleDrop (також відомий як PEDrop) — відомості повертаються лише для першої інсталяції відповідного модуля дропером (перший раз на комп’ютері)

•AmsiTriggerEvent: записується лише перше виконання (вперше на комп’ютері)

˄˅