Operanden (Facettenwertextraktoren)
Die
CylanceOPTICS
-CAE verwendet Facettenwertextraktoren, um eine einzelne Eigenschaft (Facette) eines einzelnen Artefakts zu identifizieren, das mit einem von CylanceOPTICS
beobachteten Ereignis verknüpft ist. Facettenwertextraktoren sind zwar von sich aus eng gefasst, können aber logisch miteinander verknüpft werden, um komplexe Verhaltensweisen auf einem Gerät zu analysieren und ein Erkennungsereignis auszulösen.Extraktorname | Beschreibung | Unterstützte Facetten | |
---|---|---|---|
InstigatingProcess | Dieser Extraktor extrahiert eine Facette aus dem auslösenden Prozess eines Ereignisses und wird häufig verwendet, um den Namen oder die Befehlszeilenargumente eines Prozesses zu prüfen, der eine Aktion initiiert (z. B. Starten eines anderen Prozesses, Initiieren einer Netzwerkverbindung oder Schreiben in eine Datei). | Name (als String) CommandLine (als String) | |
InstigatingProcessImageFile | Dieser Extraktor extrahiert eine Facette aus der Image-Datei, die mit dem auslösenden Prozess eines Ereignisses verknüpft ist. Dies wird häufig verwendet, um verschiedene Attribute der Image-Datei zu prüfen (z. B. Name, Pfad, Hash oder Signaturstatus). | Path (als String) Size (als Integer) Md5Hash (als String) Sha256Hash (als String) IsHidden (als Boolean) IsReadOnly (als Boolean) Directory (als String) SuspectedFileType (als String) SignatureStatus (als String) IsSelfSigned (als Boolean) LeafDNSString (als String) LeafThumbprint (als String) LeafSignatureAlgorithm (als String) LeafCN (als String) LeafDN (als String) LeafOU (als String) LeafO (als String) LeafL (als String) LeafC (als String) | IssuerDNString (als String) IssuerThumbprint (als String) IssuerSignatureAlgorithm (als String) IssuerCN (als String) IssuerDN (als String) IssuerOU (als String) IssuerO (als String) IssuerL (als String) IssuerC (als String) RootDNString (als String) RootThumbprint (als String) RootSignatureAlgorithm (als String) RootCN (als String) RootDN (als String) RootOU (als String) RootO (als String) RootL (als String) RootC (als String) |
InstigatingProcessOwner | Dieser Extraktor extrahiert eine Facette aus dem mit dem auslösenden Prozess eines Ereignisses verknüpften Eigentümer. Dies wird häufig verwendet, um den Benutzer zu prüfen, der Eigentümer des Prozesses ist. | Name (als String) Domain (als String) | |
TargetFile | Dieser Extraktor extrahiert eine Facette aus einer Datei, in deren Zusammenhang ein Ereignis aufgetreten ist. Dies wird häufig verwendet, um verschiedene Attribute der Datei zu prüfen (z. B. Name, Pfad, Hash oder Signaturstatus). | Siehe „InstigatingProcessImageFile“ oben. | |
TargetFileOwner | Dieser Extraktor extrahiert eine Facette aus dem Eigentümer, der mit der Datei verknüpft ist, in deren Zusammenhang ein Ereignis aufgetreten ist. Dies wird häufig verwendet, um den Benutzer zu prüfen, der Eigentümer der Datei ist. | Siehe „InstigatingProcessOwner“ oben. | |
TargetNetworkConnection | Dieser Extraktor extrahiert eine Facette aus der Netzwerkverbindung, in deren Zusammenhang ein Ereignis aufgetreten ist. Dies wird häufig verwendet, um die Netzwerk-IP-Adresse oder den Port zu prüfen, für die/den eine Aktion ausgeführt wird. | SourceAddress (als IP-Adresse) SourcePort (als Integer) DestinationAddress (als IP-Adresse) DestinationPort (als Integer) | |
TargetProcess | Dieser Extraktor extrahiert eine Facette aus dem Prozess, in dessen Zusammenhang ein Ereignis aufgetreten ist. Dies wird häufig verwendet, um den Namen oder die Befehlszeilenargumente eines Prozesses zu prüfen, auf den reagiert wird. | Siehe „InstigatingProcess“ oben. | |
TargetProcessImageFile | Dieser Extraktor extrahiert eine Facette aus der Image-Datei, die mit einem Prozess verknüpft ist, in dessen Zusammenhang ein Ereignis aufgetreten ist. Dies wird häufig verwendet, um die Attribute der Image-Datei zu prüfen (z. B. Name, Pfad, Hash oder Signaturstatus). | Siehe „InstigatingProcessImageFile“ oben. | |
TargetProcessOwner | Dieser Extraktor extrahiert eine Facette aus dem Eigentümer, der mit einem Prozess verknüpft ist, in dessen Zusammenhang ein Ereignis aufgetreten ist. Dies wird häufig verwendet, um den Benutzer zu prüfen, der Eigentümer des Prozesses ist, auf den reagiert wird. | Siehe „InstigatingProcessOwner“ oben. | |
TargetRegistryKey | Dieser Extraktor extrahiert eine Facette aus dem Registrierungsschlüssel, in dessen Zusammenhang ein Ereignis aufgetreten ist. Dies wird häufig verwendet, um den Registrierungsschlüssel bzw. den Wert zu prüfen, auf den reagiert wird. | Path (als String) ValueName (als String) |
Pfadwertextraktoren
Extraktorname | Beschreibung |
---|---|
EnvVar | „EnvVar“ extrahiert eine Umgebungsvariable aus dem Betriebssystem. |
LiteralWithEnvVar | „LiteralWithEnvVar“ erweitert einen Pfad, der eine Umgebungsvariable enthält. |
Literal | „Literal“ stellt einen Literal-Wert dar und ist der häufigste Extraktor und Operand. |