Типи й відношення властивості, символи
Типи й відношення властивості (атрибут умови).
|
is(not)set |
is(not) |
is(not)empty |
(not)starts |
(not)contains |
(not)ends |
less, lessOrEqual, greater, greaterOrEqual |
|---|---|---|---|---|---|---|---|
рядок |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
символ |
✔ |
✔ |
✔ |
|
✔ |
|
|
int |
✔ |
✔ |
✔ |
|
✔ |
|
✔ |
логічне значення |
✔ |
✔ |
|
|
|
|
|
дата |
✔ |
✔ |
|
|
|
|
✔ |
хеш |
✔ |
✔ |
✔ |
|
|
|
|
uuid |
✔ |
✔ |
|
|
|
|
|
шлях |
✔ |
✔ |
✔ |
✔ |
✔ |
|
|
Адреса IPv4 |
✔ |
✔ |
✔ |
|
|
|
|
Адреса IPv6 |
✔ |
✔ |
✔ |
|
|
|
|
Набір значень |
✔ |
|
✔ |
|
✔ |
|
|
Символи
Якщо ви задаєте значення властивості для зіставлення
<condition component="ApiCall" property="ApiName" condition="is" value="RegisterRawInputDevices"/> |
Для типу властивості Символ можна використати код у вигляді цілого числа або рядкове значення заздалегідь визначеного символу.
Наприклад, для компонента ApiCall і властивості ApiName підтримуються такі значення:
•0—SetWinEventHook
•1—SetWindowsHookEx
•2—RegisterRawInputDevices
•3—GetAsyncKeyState
•4—UiLimitWriteClipboard
•5—UiWriteClipboard
•6—CredEnumerate
•7—CredReadDomainCredentials
•8—CredFindBestCredential
•9—CredBackupCredentials
•10—CredRead
•11—CredReadByTokenHandle
•12—VaultEnumerateCredentials
•21845—RawSocketCreated
•21846—SocketFilterAttached
Як значення можна використовувати код у вигляді цілого числа 2:
<condition component="ApiCall" property="ApiName" condition="is" value="2"/> |
або рядкове значення RegisterRawInputDevices:
<condition component="ApiCall" property="ApiName" condition="is" value="RegisterRawInputDevices"/> |
Наразі типи символів реалізовані в таких компонентах:
•ApiCall для властивості ApiName
•BitsJobAddFile для властивості SidNameUse
•ClientModule для властивостей FileOrigin, SignatureType, Whitelist
•ClientProcessInfo для властивості IntegrityLevel
•CodeInjectionInfo для властивості CodeInjectionType
•DnsInfo для властивості DnsResponseType
•DoneByUser для властивості SidNameUse
•Endpoint для властивостей DetectionType, Scanner, ScannerObjectType, Severity
•FileAttribute для властивості Attribute
•InspectDetection для властивості RuleSeverity
•Module для властивостей FileOrigin, SignatureType, Whitelist
•OpenProcess для властивості AccessRight
•ProcessInfo для властивості IntegrityLevel
•ScheduledTask для властивості Type
•Service для властивості LoadType
•ServiceProcessInfo для властивості IntegrityLevel
•SystemInfo для властивостей SystemArchitecture, SystemType
•TargetUser для властивості SidNameUse
•UserGroupData для властивості SidNameUse
•UserLogonData для властивості LogonType