WmiQueryInfo
当用户或服务在系统上触发查询时,会发生 WMI 查询事件。
属性 |
类型 |
说明 |
|---|---|---|
ClientMachineFQDN |
字符串 |
客户端计算机的完全限定域名 |
IsLocal |
布尔值 |
如果为 false,则从远程计算机调用查询(例如,使用 WbemTest) |
Query |
字符串 |
在系统中触发了查询 |
示例
<?xml version="1.0" encoding="utf-8"?> <rule> <definition> <operations> <operation type="WmiQuery"> <condition component="WmiQueryInfo" property="Query" condition="contains" value="win32_service" /> </operation> </operations> </definition> <description> <name>Example WMI query event</name> <explanation> This tag supports markdown and html syntax. It is also true for maliciousCauses, benignCauses and recommendedActions tags. </explanation> <maliciousCauses> Content of tags with HTML text must be surrounded with CDATA xml tag. </maliciousCauses> <category> Default </category> </description> </rule> |
支持的行动
•WmiQuery