跳至主要内容
  • 云解决方案
  • 附录
  • 原始事件处理规则

原始事件处理规则

下表阐述了 XDR 处理规则,具体说明哪些事件会被发送至 控制中心 进行关联分析和调查,哪些事件会被忽略。

同时列明了是否执行聚合操作及其判定标准。

事件类型

类别

处理规则

聚合规则

全部

全部

忽略当前进程ID生成的所有事件。

不适用

创建

文件

忽略位于以下目录内的所有文件:

  • %System%%Windir%\Prefetch

  • %ProgramFiles%

  • %ProgramFiles(x86)%

  • %Windir%

  • Windows.Old

  • .git

  • %ProgramData%\USOPrivate

忽略字体文件( .ttf.ttc ).

基于以下条件聚合事件:

  • 进程ID

  • 文件路径

创建

进程

不适用

不适用

创建键

注册表

仅监控以下注册表项:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run

  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

  • HKLM\SYSTEM\CurrentControlSet\Control\hivelist

  • HKLM\SYSTEM\ControlSet002\Control\Session

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders

  • HKLM\SYSTEM\CurrentControlSet\services

  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs

基于以下条件聚合事件:

  • 进程ID

  • 键路径

连接

网络

忽略所有DNS连接(目标端口53)。

基于以下条件聚合事件:

  • 进程ID

  • 源IP

  • 目标IP

  • 源端口

  • 目标端口

删除

文件

不适用

基于以下条件聚合事件:

  • 进程ID

  • 文件路径

删除键

注册表

仅监控以下注册表键:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run

  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

  • HKLM\SYSTEM\CurrentControlSet\Control\hivelist

  • HKLM\SYSTEM\ControlSet002\Control\Session

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders

  • HKLM\SYSTEM\CurrentControlSet\services

  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs

根据以下条件聚合事件:

  • 进程ID

  • 注册表路径

删除数值

注册表

仅监控以下注册表项:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run

  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

  • HKLM\SYSTEM\CurrentControlSet\Control\hivelist

  • HKLM\SYSTEM\ControlSet002\Control\Session

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders

  • HKLM\SYSTEM\CurrentControlSet\services

  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs

基于以下条件聚合事件:

  • 进程ID

  • 注册表路径

  • 键值

登录

用户

不适用

不适用

注销

用户

不适用

不适用

修改

文件

忽略以下目录内的所有文件:

  • %ProgramFiles%

  • %ProgramFiles(x86)%

  • %Windir%

  • Windows.Old

  • .git

  • %ProgramData%\USOPrivate

忽略字体文件( .ttf.ttc ).

基于以下条件聚合事件:

  • 进程ID

  • 文件路径

修改值

注册表

仅监控以下注册表项:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run

  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

  • HKLM\SYSTEM\CurrentControlSet\Control\hivelist

  • HKLM\SYSTEM\ControlSet002\Control\Session

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders

  • HKLM\SYSTEM\CurrentControlSet\services

  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs

  • HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement\PrefetchParameters

基于以下条件聚合事件:

  • 进程ID

  • 键路径

  • 数值

移动

文件

不适用

不适用

读取

文件

忽略位于以下目录内的所有文件:

  • %ProgramFiles%

  • %ProgramFiles(x86)%

  • %Windir%

  • Windows.Old

  • .git

  • %ProgramData%\USOPrivate

忽略字体文件( .ttf.ttc ).

基于以下条件聚合事件:

  • 进程ID

  • 文件路径

终止

进程

不适用

不适用

本节内容 :