Opérandes (Extracteurs de valeur de facette) Passer la navigation

Opérandes (Extracteurs de valeur de facette)

Le CAE d'
CylanceOPTICS
utilise des extracteurs de valeurs de facet pour identifier une propriété individuelle (facet) d'un seul artefact associé à un évènement
CylanceOPTICS
observé. Bien que les extracteurs de valeurs de facet soient eux-mêmes limités, ils peuvent être regroupés de manière logique pour analyser les comportements complexes qui se produisent sur un terminal et déclencher un évènement de détection.
Nom de l'extracteur
Description
Facets pris en charge
InstigatingProcess
Cet extracteur extrait un facet du processus instigateur d'un évènement et est couramment utilisé pour inspecter les arguments de nom ou de ligne de commande d'un processus qui déclenche une action (par exemple, démarrer un autre processus, initier une connexion réseau ou écrire un fichier).
Nom (sous forme de chaîne)
CommandLine (sous forme de chaîne)
InstigatingProcessImageFile
Cet extracteur extrait un facet du fichier image qui est associé au processus instigateur d'un évènement. Il est couramment utilisé pour inspecter divers attributs du fichier image (par exemple, nom, chemin, hachage ou état de signature).
Chemin (sous forme de chaîne)
Taille (sous forme d'entier)
Md5Hash (sous forme de chaîne)
Sha256Hash (sous forme de chaîne)
IsHidden (sous forme de valeur booléenne)
IsReadOnly (sous forme de valeur booléenne)
Répertoire (sous forme de chaîne)
SuspectedFileType (sous forme de chaîne)
SignatureStatus (sous forme de chaîne)
IsSelfSigned (sous forme de valeur booléenne)
LeafDNSString (sous forme de chaîne)
LeafThumbprint (sous forme de chaîne)
LeafSignatureAlgorithm (sous forme de chaîne)
LeafCN (sous forme de chaîne)
LeafDN (sous forme de chaîne)
LeafOU (sous forme de chaîne)
LeafO (sous forme de chaîne)
LeafL (sous forme de chaîne)
LeafC (sous forme de chaîne)
IssuerDNString (sous forme de chaîne)
IssuerThumbprint (sous forme de chaîne)
IssuerSignatureAlgorithm (sous forme de chaîne)
IssuerCN (sous forme de chaîne)
IssuerDN (sous forme de chaîne)
IssuerOU (sous forme de chaîne)
IssuerO (sous forme de chaîne)
IssuerL (sous forme de chaîne)
IssuerC (sous forme de chaîne)
RootDNString (sous forme de chaîne)
RootThumbprint (sous forme de chaîne)
RootSignatureAlgorithm (sous forme de chaîne)
RootCN (sous forme de chaîne)
RootDN (sous forme de chaîne)
RootOU (sous forme de chaîne)
RootO (sous forme de chaîne)
RootL (sous forme de chaîne)
RootC (sous forme de chaîne)
InstigatingProcessOwner
Cet extracteur extrait un facet du propriétaire associé au processus instigateur d'un évènement. Il est couramment utilisé pour inspecter l'utilisateur propriétaire du processus.
Nom (sous forme de chaîne)
Domaine (sous forme de chaîne)
TargetFile
Cet extracteur extrait un facet d'un fichier sur lequel un évènement s'est produit. Il est couramment utilisé pour inspecter divers attributs du fichier (par exemple, nom, chemin, hachage ou état de signature).
Voir InstigatingProcessImageFile ci-dessus.
TargetFileOwner
Cet extracteur extrait un facet du propriétaire associé au fichier sur lequel un évènement s'est produit. Il est couramment utilisé pour inspecter l'utilisateur propriétaire du fichier.
Voir InstigatingProcessOwner ci-dessus.
TargetNetworkConnection
Cet extracteur extrait un facet de la connexion réseau sur laquelle un évènement s'est produit. Il est couramment utilisé pour inspecter l'adresse IP du réseau ou le port sur lequel des mesures sont prises.
SourceAddress (sous forme d'adresse IP)
SourcePort (sous forme d'entier)
DestinationAddress (sous forme d'adresse IP)
DestinationPort (sous forme d'entier)
TargetProcess
Cet extracteur extrait un facet du processus sur lequel un évènement s'est produit. Il est couramment utilisé pour inspecter les arguments de nom ou de ligne de commande d'un processus sur lequel des mesures sont prises.
Voir InstigatingProcess ci-dessus.
TargetProcessImageFile
Cet extracteur extrait un facet du fichier image associé un processus sur lequel un évènement s'est produit. Il est couramment utilisé pour inspecter les attributs du fichier image (par exemple, nom, chemin, hachage ou état de signature).
Voir InstigatingProcessImageFile ci-dessus.
TargetProcessOwner
Cet extracteur extrait un facet du propriétaire associé un processus sur lequel un évènement s'est produit. Il est couramment utilisé pour inspecter l'utilisateur propriétaire du processus sur lequel des mesures sont prises.
Voir InstigatingProcessOwner ci-dessus.
TargetRegistryKey
Cet extracteur extrait un facet de la clé de registre sur laquelle un évènement s'est produit. Il est couramment utilisé pour inspecter la valeur ou la clé de registre sur laquelle des mesures sont prises.
Chemin (sous forme de chaîne)
ValueName (sous forme de chaîne)

Extracteurs de valeurs de chemin

Nom de l'extracteur
Description
EnvVar
EnvVar extrait une variable d'environnement du système d'exploitation.
LiteralWithEnvVar
LiteralWithEnvVar développe un chemin contenant une variable d'environnement.
Literal
Literal, qui représente une valeur littérale, est l'extracteur et l'opérande les plus courants.