Secciones comunes obligatorias

Las secciones obligatorias de una regla y sus valores incluyen los elementos siguientes. Para ver las secciones obligatorias de la sección class seleccionada, consulte la sección Class correspondiente en Firmas personalizadas de Windows. Las palabras clave Include y Exclude se utilizan para todas las secciones excepto para Id, level y directives. Include significa que la sección funciona en el valor indicado y Exclude significa que la sección funciona en todos los valores excepto en el indicado.

Nombre de sección
Valor
Descripción
Class
Depende del sistema operativo.
Indica la clase a la que se aplica esta regla.
Id
4000 - 7999
El número de ID exclusivo de la firma. El intervalo de números es el disponible para reglas personalizadas.
level
0
1
2
3
4
El nivel de seguridad de la firma:
  • 0=Desactivado
  • 1=Azul (Información)
  • 2=Amarillo (Bajo)
  • 3= Naranja (Medio)
  • 4= Rojo (Alto)
time
{include "*"}
Esta sección sólo tiene este valor.
user_name
{include/exclude "cuenta de usuario o del sistema"}
 
Los usuarios a los que se aplica la regla. Especifique usuarios determinados o todos los usuarios.
Observaciones para Windows:
Para usuario local: utilice <nombre de equipo>/<nombre de usuario local>.
Para usuario de dominio: utilice <nombre de dominio>/<nombre de usuario del dominio>.
Para sistema local: use Local/System; esto equivale a NT Authority/System en Windows NT y <dominio>/<equipo> en Windows 2000.
Algunas acciones iniciadas remotamente no indican el ID del usuario remoto, sino que en su lugar utilizan el servicio local y su usuario de contexto. Es necesario planificar esto correctamente al desarrollar las reglas. Cuando se produce un proceso en el contexto de una sesión nula, el usuario y el dominio son “Anónimos”. Si una regla se aplica a todos los usuarios, utilice un asterisco (*).
aplicación
{include/exclude "ruta de acceso y nombre de la aplicación" }
La ruta completa del proceso que ha realizado la operación que ha creado la instancia. Cuando la operación es remota, la aplicación es el servicio/servidor local que gestiona la operación.
Algunas operaciones locales se gestionan como si fueran remotas. Por ejemplo, para Windows el nombre de aplicación será el servicio/servidor local que gestiona la aplicación. Si una regla se aplica a todas las aplicaciones, utilice un asterisco (*).
directives -c -d
tipo de operación
Los tipos de operación dependen de la clase y se enumeran para cada clase en las secciones posteriores. Tenga en cuenta que deben utilizarse los modificadores –c y –d.

 

Para crear una firma con varias reglas, basta con ir agregando una regla detrás de otra. Tenga presente que cada regla de la misma firma debe tener el mismo valor para sus secciones id y level.

Copyright © 2005 McAfee, Inc. Reservados todos los derechos.