跳至主内容

原始事件处理规则

下表说明了 XDR 处理规则，具体说明哪些事件会被发送至控制中心进行进一步关联分析，哪些事件会被忽略。

同时注明是否执行聚合操作及其判定标准。

事件类型	类别	处理规则	聚合规则
全部	全部	忽略当前进程ID生成的所有事件。	不适用
创建	文件	忽略位于以下路径内的所有文件： `%系统%` 和 `%Windir%\Prefetch` `%程序文件%` `%程序文件(x86)%` `%Windir%` `Windows.Old` `.git` `%ProgramData%\USOPrivate` 忽略字体文件（ `.ttf` 和 `.ttc` ).	根据以下条件聚合事件：进程ID 文件路径
创建	进程	不适用	不适用
创建键	注册表	仅监控以下注册表键： `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` `HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce` `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run` `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce` `HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run` `HKLM\SYSTEM\CurrentControlSet\Control\hivelist` `HKLM\SYSTEM\ControlSet002\Control\Session` `HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon` `HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify` `HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell` `HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot` `HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders` `HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders` `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders` `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders` `HKLM\SYSTEM\CurrentControlSet\services` `HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce` `HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices` `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects` `HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs`	基于以下条件聚合事件：进程ID 注册表路径
连接	网络	忽略所有DNS连接（目标端口53）。	基于以下条件聚合事件：进程ID 源IP 目标IP 源端口目标端口
删除	文件	不适用	基于以下条件聚合事件：进程ID 文件路径
删除键	注册表	仅监控以下注册表项： `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` `HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce` `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run` `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce` `HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run` `HKLM\SYSTEM\CurrentControlSet\Control\hivelist` `HKLM\SYSTEM\ControlSet002\Control\Session` `HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon` `HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify` `HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell` `HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot` `HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders` `HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders` `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders` `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders` `HKLM\SYSTEM\CurrentControlSet\services` `HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce` `HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices` `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects` `HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs`	根据以下条件聚合事件：进程ID 键路径
删除值	注册表	仅监控以下注册表项： `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` `HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce` `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run` `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce` `HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run` `HKLM\SYSTEM\CurrentControlSet\Control\hivelist` `HKLM\SYSTEM\ControlSet002\Control\Session` `HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon` `HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify` `HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell` `HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot` `HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders` `HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders` `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders` `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders` `HKLM\SYSTEM\CurrentControlSet\services` `HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce` `HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices` `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects` `HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs`	根据以下条件聚合事件：进程ID 键路径值
登录	用户	不适用	不适用
注销	用户	不适用	不适用
修改	文件	忽略位于以下目录内的所有文件： `%ProgramFiles%` `%ProgramFiles(x86)%` `%Windir%` `Windows.Old` `.git` `%ProgramData%\USOPrivate` 忽略字体文件（ `.ttf` 和 `.ttc` ).	基于以下条件聚合事件：进程ID 文件路径
修改值	注册表	仅监控以下注册表项： `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` `HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce` `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run` `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce` `HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run` `HKLM\SYSTEM\CurrentControlSet\Control\hivelist` `HKLM\SYSTEM\ControlSet002\Control\Session` `HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon` `HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify` `HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell` `HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot` `HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders` `HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders` `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders` `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders` `HKLM\SYSTEM\CurrentControlSet\services` `HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce` `HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices` `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects` `HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs` `HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement\PrefetchParameters`	基于以下条件聚合事件：进程ID 注册表路径键值
移动	文件	不适用	不适用
读取	文件	忽略位于以下路径内的所有文件： `%ProgramFiles%` `%ProgramFiles(x86)%` `%Windir%` `Windows.Old` `.git` `%ProgramData%\USOPrivate` 忽略字体文件（ `.ttf` 和 `.ttc` ).	基于以下条件聚合事件：进程ID 文件路径
终止	进程	不适用	不适用

本节内容 :

本文档对您有帮助吗？

是否愿意提供反馈？点击此处提交修改建议。