Rule { tag "Sample8"
Class Registry Id 4001 level 4
values { Include “\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc” } application { Include “*”}
user_name { Include “*” } directives registry:delete }
Les diverses sections de cette règle ont les significations suivantes :
• Class Registry : indique que cette règle est associée aux requêtes envoyées à IIS.
• Id 4001 : affecte l'ID 4001 à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit utiliser le même ID.
• level 4 : affecte un niveau de gravité « élevé » à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit avoir le même niveau de gravité.
• values { Include “\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc” } : indique que la règle surveille la valeur de Registre abc dans la clé de Registre
« \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ». Si la règle couvre plusieurs valeurs, ajoutez-les dans cette section sur différentes lignes.
• application { Include “*”} : indique que cette règle est valide pour l'ensemble des processus.
Si vous souhaitez limiter votre règle à des processus spécifiques, ajoutez-les en entier dans cette section, avec le nom de chemin.
• user_name { Include “*” } : indique que cette règle est valide pour l'ensemble des utilisateurs (ou, plus précisément, pour le contexte de sécurité dans lequel un processus est exécuté).
Si vous souhaitez limiter votre règle à des contextes utilisateurs spécifiques, ajoutez-les dans cette section sous la forme Local/utilisateur ou Domaine/utilisateur. VoirSections communes pour plus d'informations.
• directives registry:delete : indique que cette règle couvre la suppression d'une clé ou valeur de Registre.
Remarques Valeurs
Section
L'un des paramètres requis. Le nom d'un service se trouve dans le Registre sous
Nom du service représentant l'objet de l'opération créatrice de l'instance
services
HKLM\SYSTEM\CurrentControlSet\Services\. Voir la note 1.
L'un des paramètres requis. Ce nom apparaît dans le gestionnaire des services. Voir la note 1.
Nom d'affichage du service display_names
Supprime un service.
services:delete directives
Crée un service.
services:create
Démarre un service.
services:start
Arrête un service.
services:stop
Suspend un service.
services:pause
Reprend un service après suspension.
services:continue
Modifie le mode de démarrage d'un service.
services:startup
Active un profil matériel.
services:profile_enable
Désactive un profil matériel.
services:profile_disable
Modifie les informations de connexion d'un service services:logon
Note 1
La section service doit contenir le nom du service de la clé de Registre correspondante sous HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.
La section display_names doit contenir le nom d'affichage du service, qui apparaît dans le gestionnaire des services et qui se trouve dans la valeur de Registre
HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<nom du service>\.
Détails avancés
Tous ou seulement quelques-uns des paramètres suivants apparaissent dans l'onglet Détails avancés des événements de sécurité pour la classe Services. Les valeurs de ces paramètres peuvent vous aider à comprendre le déclenchement d'une signature.
Valeurs possibles Explication
Nom IUG
Nom du service Windows affiché dans le gestionnaire des services.
display names
Nom du système du service Windows dans
services
HKLM\CurrentControlSet\Services\.
Ce nom peut être différent de celui qui s'affiche dans le gestionnaire des services.
Applicable uniquement au démarrage d'un service : params
paramètres transmis au service lors de l'activation.
Boot, System, Automatic, Manual, Disabled Applicable uniquement à la
création ou aux modifications du old startup
mode de démarrage d'un
Valeurs possibles Explication
Nom IUG
service : spécifie le mode de démarrage avant toute modification ou tentative de modification.
Boot, System, Automatic, Manual, Disabled Applicable uniquement aux
modifications du mode de new startup
démarrage d'un service : spécifie le mode de démarrage d'un service après modification réelle ou inachevée.
Applicable uniquement aux modifications du mode de logon
connexion d'un service : informations de connexion (système ou compte utilisateur) utilisées par le service.
La règle suivante permet d'empêcher la désactivation du service d'alerte.
Rule { tag "Sample9"
Class Services Id 4001 level 4
Service { Include “Alerter” } application { Include “*”}
user_name { Include “*” } directives service:stop }
Les diverses sections de cette règle ont les significations suivantes :
• Class Services : indique que la règle est associée à la classe des opérations de fichiers.
• Id 4001 : affecte l'ID 4001 à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit utiliser le même ID.
• level 4 : affecte un niveau de gravité « élevé » à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit avoir le même niveau de gravité.
• Service { Include “Alerter” } : indique que la règle couvre le service nommé « Alerter ». Si la règle couvre plusieurs services, ajoutez-les dans cette section sur différentes lignes.
• application { Include “*”} : indique que cette règle est valide pour l'ensemble des processus.
Si vous souhaitez limiter votre règle à des processus spécifiques, ajoutez-les en entier dans cette section, avec le nom de chemin.
• user_name { Include “*” } : indique que cette règle est valide pour l'ensemble des utilisateurs (ou, plus précisément, pour le contexte de sécurité dans lequel un processus est exécuté).
Si vous souhaitez limiter votre règle à des contextes utilisateurs spécifiques, ajoutez-les dans cette section sous la forme Local/utilisateur ou Domaine/utilisateur. VoirSections communes pour plus d'informations.
• directives service:stop : indique que cette règle couvre la désactivation d'un service.