Artefakte von Interesse

Sie können die Artefakte von Interesse (Artifacts of Interest, AOI) im Feld „Aktionen“ verwenden, um eine Liste von Artefakten zu definieren, für die Aurora Focus automatische Antwortaktionen durchführen kann. Für AOIs gilt dieselbe Syntax wie für Operanden. Alle Artefakte, die mit einem Ereignis oder einer Reihe von Ereignissen in Zusammenhang stehen, die einem Status entsprechen, können als AOI markiert werden. AOIs müssen nicht als Operand definiert werden, um als AOI zu gelten.

Wenn ein Filter auf einen Status angewendet wird, ist zu beachten, dass einige AOIs nicht für automatische Antwortaktionen verfügbar sind. Wenn beispielsweise ein Dateierstellungsfilter auf einen Status angewendet wird, wäre ein datei- und prozessbezogenes AOI verfügbar, es würde aber kein registrierungs- oder netzwerkbezogenes AOI existieren. Wenn ein irrelevantes AOI in einem Status bereitgestellt wird, bearbeitet der Aurora Focus-Agent seinen Ausschluss problemlos. In der folgenden Tabelle ist der anwendbare Filter für AOI-Beziehungen aufgeführt.


Kategorie	Unterkategorie	Typ	Anwendbares AOI
Datei	—	Erstellen	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetFile TargetFileOwner
Datei	—	Löschen	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetFile TargetFileOwner
Datei	—	Umbenennen	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetFile TargetFileOwner
Datei	—	Schreiben	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetFile TargetFileOwner
Netzwerk	IPv4	Verbinden	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetNetworkConnection
Netzwerk	IPv6	Verbinden	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetNetworkConnection
Netzwerk	TCP	Verbinden	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetNetworkConnection
Netzwerk	UDP	Verbinden	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetNetworkConnection
Prozess	—	Schließen	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetProcess TargetProcessImageFile TargetProcessOwner
Prozess	—	Start	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetProcess TargetProcessImageFile TargetProcessOwner
Prozess	Aurora Protect Desktop	AbnormalExit	TargetProcess TargetProcessImageFile TargetProcessOwner
Registrierung	—	PersistencePoint: KeyCreating	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registrierung	—	PersistencePoint: KeyCreated	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registrierung	—	PersistencePoint: KeyDeleting	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registrierung	—	PersistencePoint: KeyDeleted	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registrierung	—	PersistencePoint: KeyRenaming	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registrierung	—	PersistencePoint: KeyRenamed	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registrierung	—	PersistencePoint: ValueChanging	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registrierung	—	PersistencePoint: ValueChanged	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registrierung	—	PersistencePoint: ValueDeleting	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registrierung	—	PersistencePoint: ValueDeleted	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Thread	—	Erstellen	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetProcess TargetProcessImageFile TargetProcessOwner
Thread	—	Injizieren	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetProcess TargetProcessImageFile TargetProcessOwner

Beispiel:

JSON

"Actions": [
    {
        "Type": "AOI",
        "ItemName": "InstigatingProcess",
        "Position": "PostActivation"
    },
    {
        "Type": "AOI",
        "ItemName": "TargetProcess",
        "Position": "PostActivation"
    },
    {
        "Type": "AOI",
        "ItemName": "InstigatingProcessOwner",
        "Position": "PostActivation"
    }
],

"Actions": [
    {
        "Type": "AOI",
        "ItemName": "InstigatingProcess",
        "Position": "PostActivation"
    },
    {
        "Type": "AOI",
        "ItemName": "TargetProcess",
        "Position": "PostActivation"
    },
    {
        "Type": "AOI",
        "ItemName": "InstigatingProcessOwner",
        "Position": "PostActivation"
    }
],

Aurora Endpoint Security

Aurora Endpoint Security

Artefakte von Interesse