Détails avancés

Tous ou seulement quelques-uns des paramètres suivants apparaissent dans l’onglet Détails avancés des événements pour la classe Registry. Les valeurs de ces paramètres peuvent vous aider à comprendre le déclenchement d’une signature.

Nom IUG
explication
Registry Key
Nom de la clé de registre affectée, y compris le nom de chemin. Le préfixe \REGIS-TRY\MACHINE\ remplace HKEY_LOCAL_MACHINE\ et \REGISTRY\CURRENT_USER\ remplace \HKEY_USER\.
Registry Value(s)
Nom de la valeur de registre concaténée avec le nom de clé complet.
old data
Applicable uniquement pour les modifications de valeurs de registre : données d’une valeur de registre avant toute modification ou tentative de modification.
New Data
Applicable uniquement pour les modifications de valeurs de registre : données d’une valeur de registre après modification réelle ou inachevée.
old data type
Applicable uniquement pour les modifications de valeurs de registre : type de données d’une valeur de registre avant toute modification ou tentative de modification.
new data type
Applicable uniquement pour les modifications de valeurs de registre : type de données d’une valeur de registre après modification réelle ou inachevée.

Exemple :

La règle suivante vise à empêcher toute personne ou tout processus de supprimer la valeur de registre « abc » dans la clé de registre « “\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”.

Rule {

Class Registry

Id 4001

level 1

value { Include "\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc" }

time { Include "*" }

application { Include "*"}

user_name { Include "*" }

directives -c -d registry:delete

}

Les diverses sections de cette règle ont les significations suivantes :

Copyright © 2005 McAfee, Inc. Tous droits réservés.