序列规则
序列规则
序列规则使您能够在检测按特定顺序发生时创建事件。
示例
<?xml version="1.0" encoding="utf-8"?> <rule> <definition> <sequence count="2" maxSpan="1m"> <detection> <definition> <process> <condition component="FileItem" property="FileNameWithoutExtension" condition="is" value="notepad" /> </process> <operations> <operation type="Detection"> <condition component="InspectDetection" property="RuleName" condition="contains" value="Rule 01"/> </operation> </operations> </definition> </detection> <detection> <definition> <process> <condition component="FileItem" property="FileNameWithoutExtension" condition="is" value="notepad" /> </process> <operations> <operation type="Detection"> <operator type="and"> <condition component="InspectDetection" property="RuleName" condition="contains" value="Rule 02"/> <condition component="InspectDetection" property="RuleCategory" condition="is" value="Custom category"/> <condition component="InspectDetection" property="RuleSeverity" condition="is" value="Threat"/> </operator> </operation> </operations> </definition> </detection> <aggregateOn> <property name="Computer"/> <property name="Process"/> <property name="ParentProcess"/> </aggregateOn> </sequence> </definition> <description> <name>Notepad triggered sequence of detections</name> <category> Default </category> </description> <actions> <action name="ReportIncident"/> </actions> </rule> |
上面的规则示例中需要注意的事项:
1.sequence 标记指定整个序列必须匹配多少次才能创建事件,以及序列中第一次检测和最后一次检测之间的最长时间。
2.在上面的示例中,要触发序列规则,Rule 01 和 Rule 02 必须在 1 分钟内按该顺序触发两次检测。
3.aggregateOn 标记指定应将规则触发器归为一组的条件。
可能的值为:
o计算机
o进程
oParentProcess
4.唯一可用的操作是 ReportIncident。