Obligatorische allgemeine Abschnitte

Zu den obligatorischen Abschnitten einer Regel und deren Werten gehören die nachfolgenden Elemente. Die für den ausgewählten Abschnitt class obligatorischen Abschnitte finden Sie im Klassenabschnitt unter Benutzerdefinierte Windows-Signaturen. Die Schlüsselwörter Include und Exclude werden für alle Abschnitte mit Ausnahme von „Id“, „level“ und „directives“ verwendet. Include bedeutet, dass der Abschnitt für den angegebenen Wert gilt, und Exclude bedeutet, dass der Abschnitt für alle Werte mit Ausnahme des angegebenen Wertes gilt.

Abschnittsname
Wert
Beschreibung
Class
Abhängig vom Betriebssystem.
Gibt die Klasse an, für die diese Regel gilt.
Id
4000 - 7999
Die eindeutige ID-Nummer der Signatur. Der Nummernbereich ist derjenige, der für benutzerdefinierte Regeln verfügbar ist.
level
0
1
2
3
4
Die Sicherheitsebene der Signatur:
  • 0 = Deaktiviert
  • 1 = Blau (Informationen)
  • 2 = Gelb (Niedrig)
  • 3 = Orange (Mittel)
  • 4= Rot (Hoch)
time
{include "*"}
Dieser Abschnitt hat nur diesen einen Wert.
user_name
{include/exclude "Benutzer oder Systemkonto"}
 
Die Benutzer, für die diese Regel gilt. Legen Sie bestimmte oder alle Benutzer fest.
Anmerkungen für Windows:
Für lokale Benutzer: verwenden Sie <Rechnername>/<lokaler Benutzername>.
Für Domänenbenutzer: verwenden Sie <Domänenname>/<Domänenbenutzername>.
Für lokales System: verwenden Sie Lokal/System; dies entspricht NT-Autorität/System unter Windows NT und <Domäne>/<Computer> unter Windows 2000.
Manche extern initiierte Aktionen berichten nicht die ID des externen Benutzers, sondern benutzen den lokalen Dienst und dessen Benutzerkontext. Sie müssen beim Entwickeln von Regeln eine entsprechende Planung vornehmen. Wenn ein Prozess im Kontext einer „Nullsitzung“ vorkommt, sind Benutzer und Domäne „anonym“. Wenn eine Regel für alle Benutzer gilt, verwenden Sie *.
application
{include/exclude "Pfad- und Anwendungsname" }
Der vollständige Pfad des Prozesses, der die Instanz erstellende Operation durchgeführt hat. Wenn es sich um eine externe Operation handelt, ist die Anwendung der lokale Dienst/Server, der die Operation durchführt.
Manche lokalen Operationen werden wie externe Operationen behandelt. Beispielsweise ist unter Windows der Anwendungsname der lokale Dienst/Server, der die Operation durchgeführt hat. Wenn eine Regel für alle Anwendungen gilt, verwenden Sie *.
directives -c -d
Operationstyp
Die Operationstypen sind klassenabhängig und werden in den nachfolgenden Abschnitten für jede Klasse aufgelistet. Beachten Sie, dass die Schalter –c und –d verwendet werden müssen.

 

Sie können eine Signatur erstellen mit mehreren Regeln, indem Sie die Regeln nacheinander hinzufügen. Beachten Sie, dass jede Regel in derselben Signatur denselben Wert haben muss für die Abschnitte id und level.

Copyright © 2005 McAfee, Inc. Alle Rechte vorbehalten.