• Aucun résultat trouvé

Le tableau suivant répertorie les sections et valeurs disponibles pour la classe Windows Files :

Remarques Valeurs

Section

Files Class

VoirSections communes.

Id level time user_name

Executable (Utilisez ce paramètre pour différencier l'accès au fichier local ou distant. Voir la note 3.)

L'un des paramètres requis. Voir les notes 1 et 2.

Fichier ou dossier utilisé dans l'opération

files

L'un des paramètres requis. Utilisé uniquement avec files:rename et files:hardlink. Voir les notes 1 et 2.

Fichiers de destination, si l'opération utilise des fichiers source et de destination dest_file

Permet la création de règles class Files spécifiques aux types de lecteurs.

drive_type Network : accès fichier

réseau

Floppy : accès lecteur de disquettes

CD : accès CD ou DVD

OtherRemovable : accès lecteur USB ou autre lecteur amovible

OtherFixed : accès disque dur local ou autre disque dur fixe

Remarques Valeurs

Section

Crée un fichier dans un répertoire ou déplace un fichier dans un autre répertoire.

files:create directives

Ouvre le fichier avec accès en lecture seule.

files:read

Ouvre le fichier avec accès en lecture/écriture.

files:write

Exécute le fichier (exécuter un répertoire signifie que ce répertoire devient le répertoire courant).

files:execute

Supprime le fichier d'un répertoire ou le déplace vers un autre répertoire.

files:delete

Renomme un fichier dans le même répertoire.

Voir la note 2.

files:rename

Modifie les attributs d'un fichier. Les attributs surveillés comprennent :

files:attribute

read-only

hidden

archive

system

Crée un lien physique.

files:hardlink

Note 1

Si la section files est utilisée, le chemin d'accès à un dossier ou à un fichier surveillé peut être le chemin d'accès complet ou un caractère générique. Par exemple, voici quelques chemins d'accès valides :

files { Include “C:\\test\\abc.txt” } files { Include “*\\test\\abc.txt” } files { Include “*\\abc.txt” }

Si la sectiondest_file est utilisée, le chemin d'accès absolu ne peut pas être utilisé et il est nécessaire de placer un caractère générique en début de chemin pour représenter le lecteur.

Par exemple, voici quelques chemins d'accès valides : dest_file { Include “*\\test\\abc.txt” }

dest_file { Include “*\\abc.txt” }

Note 2

La directivefiles:rename prend une signification différente lorsqu'elle est associée aux sections files et dest_file.

Lorsqu'elle est associée à la section files, cela signifie que le changement de nom d'un fichier dans cette section est surveillé. Par exemple, la règle suivante surveille le changement de nom du fichier C:\test\abc.txt en tout autre nom :

Rule { tag "Sample1"

Class Files Id 4001 level 4

files { Include “C:\\test\\abc.txt” }

Executable { Include “*”}

user_name { Include “*” } directives files:rename }

Lorsqu'elle est associée à la section dest_file, cela signifie qu'aucun fichier ne pourra être renommé avec le nom d'un fichier de cette section. Par exemple, la règle suivante surveille le remplacement du nom de tout fichier par C:\test\abc.txt :

Rule { tag "Sample2"

Class Files Id 4001 level 4

dest_file { Include “*\\test\\abc.txt” } Executable { Include “*”}

user_name { Include “*” } directives files:rename }

La section files n'est pas obligatoire lorsque la section dest_file est utilisée. Si la section files est utilisée, les sections files et dest_file doivent correspondre.

Note 3

Pour qu'une directive différencie l'accès au fichier distant et local, définissez le chemin d'accès du fichier exécutable sur « SystemRemoteClient » :Executable { Include -path “SystemRemoteClient”

}

Cela permet de bloquer l'exécution d'une directive lorsque l'exécutable n'est pas un fichier local.

Détails avancés

Tous ou seulement quelques-uns des paramètres suivants apparaissent dans l'onglet Détails avancés des événements de sécurité pour la classe Files. Les valeurs de ces paramètres peuvent vous aider à comprendre le déclenchement d'une signature.

Explication Nom IUG

Nom du fichier auquel vous avez eu accès files

Applicable uniquement pour le changement de nom de fichier. Nouveau nom du fichier.

dest_file

La règle suivante empêche toute personne et tout processus de créer le fichierabc.txt dans le dossier C:\test\.

Rule { tag "Sample3"

Class Files Id 4001 level 4

files { Include “C:\\test\\abc.txt” }

Executable { Include “*”}

user_name { Include “*” } directives files:create }

Les diverses sections de cette règle ont les significations suivantes :

• Class Files : indique que la règle est associée à la classe des opérations de fichiers.

• Id 4001 : affecte l'ID 4001 à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit utiliser le même ID.

• level 4 : affecte un niveau de gravité « élevé » à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit avoir le même niveau de gravité.

• files { Include “C:\\test\\abc.txt” } : indique que la règle couvre le fichier et le chemin spécifiques C:\test\abc.txt. Si la règle couvre plusieurs fichiers, ajoutez-les dans cette section sur différentes lignes. Par exemple, lors de la surveillance des fichiers C:\test\abc.txt et C:\test\xyz.txt, la section est modifiée comme suit : files { Include “C:\\test\\abc.txt”

“C:\\test\\xyz.txt” }.

• Executable { Include “*”} : indique que cette règle est valide pour l'ensemble des processus.

Si vous souhaitez limiter votre règle à des processus spécifiques, ajoutez-les en entier dans cette section, avec le nom de chemin.

• user_name { Include “*” } : indique que cette règle est valide pour l'ensemble des utilisateurs (ou, plus précisément, pour le contexte de sécurité dans lequel un processus est exécuté).

Si vous souhaitez limiter votre règle à des contextes utilisateurs spécifiques, ajoutez-les dans cette section sous la forme Local/utilisateur ou Domaine/utilisateur. VoirSections communes pour plus d'informations.

• directives files:create : indique que cette règle couvre la création d'un fichier.

Documents relatifs