ESET Inspect – 目录

运算

operations 部分定义进程执行的哪些操作会引发检测。如果为空,则在进程生成事件时触发检测。

操作是使用具有 type 属性的操作元素和表达式元素定义的。

<operation type="WriteFile">Expression</operation>

 

所有操作都支持以下组件。

DateTime

EnterpriseInspector

SystemInfo

BitsJobAddFile

已将文件添加到 BITS 作业中。

支持的组件:

BitsJobAddFile

DateTime

EnterpriseInspector

SystemInfo

CodeInjection

进程受到某种形式的代码注入的影响。

支持的组件:

ClientProcessInfo

CodeInjectionInfo

DateTime

Enterprise

EnterpriseInspector

FileItem

LiveGrid

模块

ProcessInfo

ServiceProcessInfo

SystemInfo

CreateNamedPipe

已创建命名管道。

支持的组件:

DateTime

EnterpriseInspector

FileItem

SystemInfo

CreateProcess

已创建进程。

支持的组件:

DateTime

Enterprise

EnterpriseInspector

FileItem

LiveGrid

模块

ProcessInfo

ServiceProcessInfo

SystemInfo

DeleteFile

文件已删除。

支持的组件:

DateTime

EnterpriseInspector

FileItem

SystemInfo

DeleteVolumeShadowCopy

已删除卷影副本。

支持的组件:

DateTime

EnterpriseInspector

SystemInfo

VolumeShadowCopyInfo

检测

可以通过两种不同的方式使用此操作:

在常规规则中使用 - 已在客户端病毒防护软件上触发事件

在序列规则中使用 - 仅限 Inspect 触发的检测

支持的组件:

DateTime

Endpoint

EnterpriseInspector

InspectDetection

网络

SystemInfo

DnsRequest

已发出 DNS 请求(通常是 IP > 域,域 > IP)。

支持的组件:

DateTime

DnsInfo

EnterpriseInspector

SystemInfo

HttpRequest

已发出 HTTP 请求。

支持的组件:

DateTime

EnterpriseInspector

网络

SystemInfo

LoadDLL

已加载 DLL。

支持的组件:

DateTime

Enterprise

EnterpriseInspector

FileItem

LiveGrid

模块

ProcessInfo

ServiceProcessInfo

SystemInfo

LoadDriver

已加载驱动程序或内核模块。

支持的组件:

DateTime

EnterpriseInspector

FileItem

模块

SystemInfo

ModuleDrop

已删除可执行文件。

支持的组件:

DateTime

Enterprise

EnterpriseInspector

FileItem

LiveGrid

模块

SystemInfo

MultipleFilesChanged

进程已修改多个文件。

支持的组件:

DateTime

EnterpriseInspector

ProcessBehavior

SystemInfo

OpenProcess

添加了一个新的规则属性,该属性在打开进程时触发。仅监视 lsass.exe 的已打开进程。

支持的组件:

DateTime

EnterpriseInspector

FileItem

OpenProcess

SystemInfo

ReadFile

在读取受监视的文件时触发。受监视的文件是指包含敏感信息或存储凭据(例如,存储的浏览器密码、存储的 FTP 客户端密码、AD 数据库等)的文件。

支持的组件:

DateTime

EnterpriseInspector

FileItem

SystemInfo

RegDeleteKey

已删除注册表项。

支持的组件:

DateTime

EnterpriseInspector

RegistryItem

SystemInfo

RegDeleteValue

已删除注册表的值。

支持的组件:

DateTime

EnterpriseInspector

RegistryItem

SystemInfo

RegRenameKey

已重命名注册表项。

支持的组件:

DateTime

EnterpriseInspector

RegistryItem

SystemInfo

RegSetValue

已更改注册表项。

支持的组件:

DateTime

EnterpriseInspector

RegistryItem

SystemInfo

RenameFile

已重命名文件。

支持的组件:

DateTime

DestFileItem

EnterpriseInspector

FileItem

SystemInfo

ScheduledTaskAdded

已添加计划任务。

支持的组件:

DateTime

EnterpriseInspector

FileItem

ScheduledTask

SystemInfo

脚本

已执行 AMSI 公开的脚本。

支持的组件:

DateTime

EnterpriseInspector

脚本

SystemInfo

ServiceInstalled

已安装服务。

支持的组件:

DateTime

EnterpriseInspector

FileItem

服务

SystemInfo

ServiceStarted

已启动服务。

支持的组件:

DateTime

EnterpriseInspector

FileItem

服务

SystemInfo

SetFileAttribute

已设置文件属性。

支持的组件:

DateTime

EnterpriseInspector

FileAttribute

FileItem

SystemInfo

SystemApiCall

已调用系统函数。

支持的组件:

ApiCall

DateTime

EnterpriseInspector

SystemInfo

TcpIpAccept

已接受传入的 TCP/IP 连接。

支持的组件:

DateTime

EnterpriseInspector

网络

SystemInfo

TcpIpConnect

已建立出站 TCP/IP 连接。

支持的组件:

DateTime

EnterpriseInspector

网络

SystemInfo

TcpIpProtocolIdentified

在 TCP/IP 连接之上,描述使用的协议。

支持的组件:

DateTime

EnterpriseInspector

网络

SystemInfo

TruncateFile

已截断文件。

支持的组件:

DateTime

EnterpriseInspector

FileItem

SystemInfo

UnloadDriver

已卸载驱动程序或内核模块。

支持的组件:

DateTime

EnterpriseInspector

FileItem

SystemInfo

UserActivate

已激活用户。

支持的组件:

DateTime

DoneByUser

EnterpriseInspector

SystemInfo

TargetUser

UserAddToGroup

用户已添加到组。

支持的组件:

DateTime

DoneByUser

EnterpriseInspector

SystemInfo

TargetUser

UserGroupData

UserCreate

已创建新用户。

支持的组件:

DateTime

DoneByUser

EnterpriseInspector

SystemInfo

TargetUser

UserDisable

已禁用用户。

支持的组件:

DateTime

DoneByUser

EnterpriseInspector

SystemInfo

TargetUser

UserLogin

用户已登录。

支持的组件:

DateTime

DoneByUser

EnterpriseInspector

SystemInfo

TargetUser

UserLogonData

UserLogout

用户已注销。

支持的组件:

DateTime

DoneByUser

EnterpriseInspector

SystemInfo

TargetUser

UserLogonData

UserRemove

已删除用户。

支持的组件:

DateTime

DoneByUser

EnterpriseInspector

SystemInfo

TargetUser

UserRemoveFromGroup

已从组中删除用户。

支持的组件:

DateTime

DoneByUser

EnterpriseInspector

SystemInfo

TargetUser

UserGroupData

VirtualDiskMounted

已执行 VirtualDiskMount 中的事件。

支持的组件:

DateTime

EnterpriseInspector

FileItem

SystemInfo

WmiExecution

已触发 WMI 执行事件。

支持的组件:

ClientEnterprise

ClientFileItem

ClientLiveGrid

ClientModule

ClientProcessInfo

DateTime

EnterpriseInspector

FileItem

SystemInfo

WmiExecutionInfo

WmiPersistence

当使用者绑定到过滤器时,将生成该事件。

支持的组件:

DateTime

EnterpriseInspector

SystemInfo

WmiPersistenceInfo

WmiQuery

已在计算机上执行 WMI 查询。

支持的组件:

ClientEnterprise

ClientFileItem

ClientLiveGrid

ClientModule

ClientProcessInfo

DateTime

EnterpriseInspector

SystemInfo

WmiQueryInfo

WriteFile

已写入文件。

支持的组件:

DateTime

EnterpriseInspector

FileItem

SystemInfo

 

重要信息

早期版本的 Windows 不会生成 WMI 事件。此功能自 Windows 10 版本 1803 便已开始提供。

某些事件仅提供部分信息:

文件写入事件 - 仅记录第一个文件更改(这取决于进程。如果两个进程更改了同一文件,则记录这两个更改)

注册表相关事件 - 仅记录第一个注册表项更改(第一次由进程记录)

DLLLoad - 仅记录未被 AV 列入白名单的 DLL

TcpIp 事件 - 仅记录第一个连接(第一次由进程记录)

Http 事件 - 仅记录第一个请求(第一次由进程记录)

ModuleDrop(又名 PEDrop)- 仅在首次删除给定模块时报告(首次在计算机上报告)

AmsiTriggerEvent - 仅记录第一次执行(首次在计算机上记录)