Le tableau suivant répertorie les sections et valeurs disponibles pour la classe Windows Registry :
Remarques Valeurs
Section
Registry Class
VoirSections communes.
Id level time user_name Executable
L'un des paramètres requis. Utilisez cet élément avec les opérations de clé (create, delete, rename, Opération de clé de Registre
keys
enumerate, monitor, restore, read, replace, load).
Voir la note 1.
Facultatif. Uniquement pour registry:rename lorsqu'une clé est renommée. La cible est le nom de la clé.
Opération de clé de Registre dest_keys
L'un des paramètres requis. Utilisez cet élément avec les opérations de valeur de Registre (delete, read, modify, create).
Opération de valeur de clé de Registre
values
Facultatif. Uniquement pour registry:modify ou registry:create. Voir la note 2.
Opération de valeur de clé de Registre. Nouvelles données de la valeur.
new_data
Supprime une clé ou une valeur de Registre.
registry:delete directives
Modifie le contenu d'une valeur de Registre ou les informations d'une clé de Registre.
registry:modify
Autorise la création d'une clé de Registre.
registry:create
Modifie les autorisations d'accès à une clé de Registre.
registry:permissions
Permet d'obtenir des informations sur une clé de Registre (nombre de sous-clés, etc.) ou le contenu d'une valeur de Registre.
registry:read
Énumère une clé de Registre, c'est-à-dire la liste de toutes ses sous-clés et valeurs.
registry:enumerate
Demande le contrôle d'une clé de Registre.
registry:monitor
Restaure une ruche à partir d'un fichier, comme la fonction de restauration regedit32.
registry:restore
Restaure un paramètre de Registre mais uniquement après redémarrage.
registry:replace
Charge les clés ou les valeurs de Registre à partir d'un fichier.
registry:load
Ouvre une clé de Registre existante.
registry:open_existing_key
Renomme une clé de Registre.
registry:rename
Note 1
HKEY_LOCAL_MACHINE, dans un chemin de Registre, est remplacé par \REGISTRY\MACHINE\
et CurrentControlSet par ControlSet. Par exemple, la valeur de Registre « abc » dans la clé de
Registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa apparaît comme suit :
\REGISTRY\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc.
Note 2
Les données de la section new data doivent être des valeurs hexadécimales. Par exemple, les données « def » de la valeur de Registre
“\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\abc” doivent apparaître comme suit : old_data { Include “%64%65%66”}.
Détails avancés
Tous ou seulement quelques-uns des paramètres suivants apparaissent dans l'onglet Détails avancés des événements de sécurité pour la classe Registry. Les valeurs de ces paramètres peuvent vous aider à comprendre le déclenchement d'une signature.
Explication Nom IUG
Nom de la clé de Registre affectée, y compris le nom de chemin. Remarque : Utiliser cette syntaxe
Pour cette clé Registry Key
\REGISTRY\MACHINE\
HKEY_LOCAL_MACHINE\
\REGISTRY\CURRENT_USER\
HKEY_CURRENT_USER\
\REGISTRY\MACHINE\SOFTWARE\CLASSES\
HKEY_CLASSES_ROOT\
REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWARE PROFILES\0001\
HKEY_CURRENT_CONFIG\
\REGISTRY\USER\
HKEY_USERS\
Nom de la valeur de Registre concaténée avec le nom de clé complet. Remarque : Utiliser cette syntaxe
Pour les valeurs de cette clé Registry Values
\REGISTRY\MACHINE\Test\*
HKEY_LOCAL_MACHINE\Test
\REGISTRY\CURRENT_USER\Test\*
HKEY_CURRENT_USER\Test
\REGISTRY\MACHINE\SOFTWARE\CLASSES\Test\*
HKEY_CLASSES_ROOT\Test
REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWARE PROFILES\0001\Test\*
HKEY_CURRENT_CONFIG\Test
\REGISTRY\USER\Test\*
HKEY_USERS\Test
Applicable uniquement pour les modifications de valeurs de Registre : données d'une valeur de Registre avant toute modification ou tentative de modification.
old data
Applicable uniquement pour les modifications de valeurs de Registre : données d'une valeur de Registre après modification réelle ou inachevée.
new data
Applicable uniquement pour les modifications de valeurs de Registre : type de données d'une valeur de Registre avant toute modification ou tentative de modification.
old data type
Applicable uniquement pour les modifications de valeurs de Registre : type de données d'une valeur de Registre après modification réelle ou inachevée.
new data type
La règle suivante vise à empêcher toute personne ou tout processus de supprimer la valeur de Registre « abc » dans la clé de Registre
« \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ».
Rule { tag "Sample8"
Class Registry Id 4001 level 4
values { Include “\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc” } application { Include “*”}
user_name { Include “*” } directives registry:delete }
Les diverses sections de cette règle ont les significations suivantes :
• Class Registry : indique que cette règle est associée aux requêtes envoyées à IIS.
• Id 4001 : affecte l'ID 4001 à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit utiliser le même ID.
• level 4 : affecte un niveau de gravité « élevé » à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit avoir le même niveau de gravité.
• values { Include “\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc” } : indique que la règle surveille la valeur de Registre abc dans la clé de Registre
« \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ». Si la règle couvre plusieurs valeurs, ajoutez-les dans cette section sur différentes lignes.
• application { Include “*”} : indique que cette règle est valide pour l'ensemble des processus.
Si vous souhaitez limiter votre règle à des processus spécifiques, ajoutez-les en entier dans cette section, avec le nom de chemin.
• user_name { Include “*” } : indique que cette règle est valide pour l'ensemble des utilisateurs (ou, plus précisément, pour le contexte de sécurité dans lequel un processus est exécuté).
Si vous souhaitez limiter votre règle à des contextes utilisateurs spécifiques, ajoutez-les dans cette section sous la forme Local/utilisateur ou Domaine/utilisateur. VoirSections communes pour plus d'informations.
• directives registry:delete : indique que cette règle couvre la suppression d'une clé ou valeur de Registre.