ルールの必須セクションとその値には、下に示すアイテムが含まれます。選択された Class セクションに関連する必須セクションについては、Windows のカスタム シグネチャの Class のセクションを参照してください。キーワードの Include および Exclude は、Id、level、および directives 以外のすべてのセクションで使用されます。Include は、指定した値に対してそのセクションが作用することを意味し、Exclude は、指定したもの以外のすべての値に対してそのセクションが作用することを意味します。
セクション名
|
値
|
説明
|
---|---|---|
Class
|
オペレーティング システムによって異なります。
|
このルールの適用対象になるクラスを指定します。
Windows のカスタム シグネチャを参照してください。
|
Id
|
4000 - 7999
|
シグネチャの一意の ID 番号。この番号の範囲は、カスタム ルールで使用できる範囲です。
|
level
|
0
1
2
3
4
|
シグネチャのセキュリティ レベル。
|
time
|
{include " *"}
|
このセクションに含まれるのはこの値だけです。
|
user_name
|
{include/exclude " ユーザまたはシステム アカウント"}
|
ルールの適用対象になるユーザ。特定のユーザまたはすべてのユーザを指定します。
Windows での注意:
ローカル ユーザの場合:
<コンピュータ名>/<ローカル ユーザ名> の形式を使用します。
ドメイン ユーザの場合:
<ドメイン名>/<ドメイン ユーザ名> の形式を使用します。
ローカル システムの場合:
Local/System を使用します。これは、Windows NT での NT Authority/System および Windows 2000 での <ドメイン>/<コンピュータ> と同等です。
リモートから開始されたアクションの一部は、リモート ユーザの ID をレポートしませんが、ローカル サービスとそのユーザ コンテキストが代わりに使用されます。ルールの開発時には、それに応じて計画する必要があります。プロセスが Null セッションのコンテキストで発生した場合、ユーザとドメインは "匿名" です。すべてのユーザにルールを適用する場合は、* を使用します。
|
application
|
{include/exclude " パスおよびアプリケーション名"}
|
そのインスタンスを作成した操作を実行したプロセスの完全なパス。操作がリモートである場合、application は操作を処理するローカルのサービスまたはサーバです。
一部のローカルの操作は、リモートであるかのように処理されます。たとえば、Windows の場合、application の名前はは操作を処理するローカルのサービスまたはサーバになります。すべてのアプリケーションにルールを適用する場合は、* を使用します。
|
directives -c -d
|
操作の種類
|
操作の種類はクラスによって異なります。後のセクションで、各クラスの操作の種類を示します。スイッチの 膨 および 謀 を使用する必要があることに注意してください。
|
|
1 つのルールの後に別のルールを追加し、複数のルールがあるシグネチャを作成することができます。同じシグネチャ内に含める各ルールの id セクションおよび level セクションの値は、同じであることが必要です。
|