Sections communes obligatoires

Les sections obligatoires d’une règle et leurs valeurs comprennent les éléments ci-dessous. Pour les sections obligatoires relatives à la section class sélectionnée, consultez la section Signatures personnalisées Windows. Les mots clés Include et Exclude sont utilisés pour toutes les sections, sauf pour Id, level et directives. Include signifie que la section travaille sur la valeur indiquée etExclude signifie que la section travaille sur toutes les valeurs sauf sur celle qui est indiquée.

Nom de la section
Valeur
Description
Class
Dépend du système d’exploitation.
Indique la classe à laquelle cette règle s’applique.
Consultez la section Signatures personnalisées Windows.
Id
4000 – 7999
Numéro d’ID unique de la signature. La série de numéros disponibles est la même que pour les règles personnalisées.
level
0
1
2
3
4
Niveau de sécurité de la signature :
  • 0 = Désactivé
  • 1 = Bleu (Informations)
  • 2 = Jaune (Faible)
  • 3 = Orange (Moyen)
  • 4 = Rouge (Élevé)
time
{include "*"}
Cette section contient uniquement cette valeur unique.
user_name
{include/exclude "utilisateur ou compte système"}
 
Utilisateurs auxquels la règle s’applique. Spécifiez des utilisateurs particuliers ou l’ensemble des utilisateurs.
Remarques pour Windows :
Pour l’utilisateur local : utilisez <machine name>/<local user name>.
Pour l’utilisateur de domaine : utilisez <domain name>/<domain user name>.
Pour le système local : utilisez Local/System, équivalent d’Autorité NT/système pour Windows NT et <domain>/<machine> pour Windows 2000.
Certaines actions lancées à distance ne consignent pas l’ID de l’utilisateur distant mais utilisent plutôt le service local et son contexte utilisateur. Vous devez donc prendre cela en compte lorsque vous développez des règles. Lorsqu’un processus se lance sous une session nulle, l’utilisateur et le domaine sont « anonymes ». Si une règle s’applique à l’ensemble des utilisateurs, utilisez *.
application
{include/exclude "chemin et nom d’application"}
Chemin d’accès complet du processus qui a effectué l’opération créatrice de l’instance. Lorsque l’opération est à distance, l’application est le service/ serveur local, gestionnaire de l’opération.
Certaines opérations locales sont gérées comme si elles étaient à distance. Par exemple, pour Windows, le nom d’application sera le service/ serveur local, gestionnaire de l’opération. Si une règle s’applique à l’ensemble des applications, utilisez *.
directives -c -d
type d’opération
Les types d’opérations sont dépendants de la classe et sont répertoriés pour chaque classe dans les sections suivantes. Vous devez utiliser les aiguillages –c et –d.

 

Vous pouvez créer une signature à règles multiples en ajoutant simplement une règle après l’autre. N’oubliez pas que chaque règle d’une même signature doit avoir la même valeur pour ses sections Id et level.

Copyright © 2005 McAfee, Inc. Tous droits réservés.