ナビゲーションをスキップする

パス

パスは、ルール内の複数の状態オブジェクトのフローを CAE が解釈する方法を定義します。パスは、ルールが複数の状態オブジェクトで構成される(複数状態ルールとも呼ばれる)場合に使用します。状態は CAE ルールのフローを定義し、デバイスで発生する一連のイベントを、
CylanceOPTICS
が状態を追って監視できるようにします。それぞれは、「1、次に2、次に3」という発生の可能性があるシナリオを表します。
ルールに状態オブジェクトが 1 つしかない場合、Paths オブジェクトを使用する必要はありません。ルールは単一の状態オブジェクトで構成され、Paths オブジェクトの使用を明示的には必要としません。Paths オブジェクトを使用するルールは、明示的な定義のためにのみ Paths オブジェクトを必要とします(ルールの機能のためではありません)。
次の例では、2 つの状態オブジェクト(NewSuspiciousFile と CertUtilDecode)が使用されます。各状態には、それ自身のロジックセットがあります。
例 1
:次の設定では、CAE は NewSuspiciousFile 状態を満たすイベントを探します。この状態が満たされると、CAE は CertUtilDecode 状態を満たすイベントを探します。
"Paths": [ { "StateNames": [ "NewSuspiciousFile", "CertUtilDecode" ] } ],
例 2
:次の設定では、CAE は CertUtilDecode 状態を満たすイベントを探し、続いて NewSuspiciousFile 状態を探します。
"Paths": [ { "StateNames": [ "CertUtilDecode", "NewSuspiciousFile" ] } ],
例 3
:次の設定では、CAE は NewSuspiciousFile 状態か CertUtilDecodee 状態を満たすイベントを探します。これは、状態に異なるフィルターオブジェクトのセットがある場合に役立ちます。この例では、NewSuspiciousFile はファイル書き込みフィルターを使用し、CertUtilDecode はプロセス開始フィルターを使用します。
"Paths": [ { "StateNames": [ "CertUtilDecode" ] }, { "StateNames": [ "NewSuspiciousFile" ] } ],