- Class Files: このルールがファイル操作のクラスに関連することを示します。
- id 4001: このルールに ID 4001 を割り当てます。カスタム シグネチャに複数のルールが存在する場合は、それらのルールは例外なく同じ ID を使用する必要があります。
- level 4: このルールに "高" のセキュリティ レベルを割り当てます。カスタム シグネチャに複数のルールが存在する場合は、それらのルールが例外なく同じレベルを使用する必要があります。
- files { Include "C:\\test\\abc.txt" }: このルールが、C:\test\abc.txt という特定のファイルおよびパスに適用されることを示します。ルールを複数のファイルに適用する場合、それらのファイルは別の行でこのセクションに追加します。たとえば、C:\test\abc.txt ファイルと C:\test\xyz.txt ファイルを監視する場合は、セクションを files { Include "C:\\test\\abc.txt" "C:\\test\\xyz.txt" } のように変更します。
- time { Include "*" }: このセクションは現在使用されていませんが、ルールにはこのように含める必要があります。
- application { Include "*"}: このルールが、すべてのプロセスに対して有効であることを示します。ルールの適用範囲を特定のプロセスに制限する場合は、ここでパス名を示して詳細に指定します。
- user_name { Include "*" }: このルールがすべてのユーザ (より明確に言えば、プロセスが実行されるセキュリティ コンテキスト) に対して有効であることを示します。ルールの適用範囲を特定のユーザ コンテキストに制限する場合は、ここでローカル/ユーザまたはドメイン/ユーザの形式で詳細に指定します。詳細については、「必須の共通セクション」の段落を参照してください。
- directives -c -d files:create: このルールではファイルの作成を扱うことを示します。directives セクションでは常に、-c スイッチと -d スイッチを使用する必要があります。