Beispiel für eine Erkennungsregel
Das Format und die Optionen für CAE-Regeln werden in den folgenden Themenabschnitten behandelt:
JSON
{
"States": [
{
"Name": "TestFile",
"Scope": "Global",
"Function": "(a)",
"FieldOperators": {
"a": {
"Type": "Contains",
"Operands": [
{
"Source": "TargetFile",
"Data": "Path"
},
{
"Source": "Literal",
"Data": "my_test_file"
}
],
"OperandType": "String"
}
},
"ActivationTimeLimit": "-0:00:00.001",
"Actions": [
{
"Type": "AOI",
"ItemName": "InstigatingProcess",
"Position": "PostActivation"
},
{
"Type": "AOI",
"ItemName": "TargetProcess",
"Position": "PostActivation"
},
{
"Type": "AOI",
"ItemName": "TargetFile",
"Position": "PostActivation"
}
],
"HarvestContributingEvent": true,
"Filters": [
{
"Type": "Event",
"Data": {
"Category": "File",
"SubCategory": "",
"Type": "Create"
}
}
]
}
],
"Paths": [
{
"StateNames": [
"NewSuspiciousFile",
"CertUtilDecode"
]
}
],
"Tags": [
"CylanceOPTICS"
]
}Ein weiteres Beispiel für eine benutzerdefinierte Erkennungsregel finden Sie unter KB 42221117838235.