関心アーチファクト
アクションフィールドの関心アーチファクト(AOI)を使用して、
CylanceOPTICS
が自動応答アクションの実行対象にできるアーチファクトのリストを定義できます。AOI はオペランドと同じ構文に従います。状態を満たすイベントまたはイベントセットに関連付けられたアーチファクトはすべて AOI としてマークできます。AOI は、AOI と見なされるためにオペランドとして定義する必要はありません。フィルターが状態に適用されている場合、一部の AOI は自動応答アクションの対象にできないことに注意してください。たとえば、ファイル作成フィルターが状態に適用されている場合、ファイルやプロセス関連の AOI が使用可能になりますが、レジストリやネットワーク関連の AOI はありません。関係のない AOI が状態で提供された場合、
CylanceOPTICS
エージェントはその除外を適切に処理します。以下の表に、AOI 関係に適用可能なフィルターの概要を示します。カテゴリ | サブカテゴリ | 種類 | 適用可能な AOI |
|---|---|---|---|
ファイル | — | Create | InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetFile TargetFileOwner |
ファイル | — | Delete | InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetFile TargetFileOwner |
ファイル | — | Rename | InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetFile TargetFileOwner |
ファイル | — | Write | InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetFile TargetFileOwner |
ネットワーク | IPv4 | Connect | InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetNetworkConnection |
ネットワーク | IPv6 | Connect | InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetNetworkConnection |
ネットワーク | TCP | Connect | InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetNetworkConnection |
ネットワーク | UDP | Connect | InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetNetworkConnection |
プロセス | — | Exit | InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetProcess TargetProcessImageFile TargetProcessOwner |
プロセス | — | Start | InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetProcess TargetProcessImageFile TargetProcessOwner |
プロセス | CylancePROTECT Desktop | AbnormalExit | TargetProcess TargetProcessImageFile TargetProcessOwner |
レジストリ | — | PersistencePoint: KeyCreating | InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey |
レジストリ | — | PersistencePoint: KeyCreated | InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey |
レジストリ | — | PersistencePoint: KeyDeleting | InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey |
レジストリ | — | PersistencePoint: KeyDeleted | InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey |
レジストリ | — | PersistencePoint: KeyRenaming | InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey |
レジストリ | — | PersistencePoint: KeyRenamed | InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey |
レジストリ | — | PersistencePoint: ValueChanging | InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey |
レジストリ | — | PersistencePoint: ValueChanged | InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey |
レジストリ | — | PersistencePoint: ValueDeleting | InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey |
レジストリ | — | PersistencePoint: ValueDeleted | InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey |
スレッド | — | Create | InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetProcess TargetProcessImageFile TargetProcessOwner |
スレッド | — | Inject | InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetProcess TargetProcessImageFile TargetProcessOwner |
例:
"Actions": [ { "Type": "AOI", "ItemName": "InstigatingProcess", "Position": "PostActivation" }, { "Type": "AOI", "ItemName": "TargetProcess", "Position": "PostActivation" }, { "Type": "AOI", "ItemName": "InstigatingProcessOwner", "Position": "PostActivation" } ],