Pfade
Pfade definieren, wie die Kontextanalyse-Engine (Context Analysis Engine, CAE) den Fluss von Objekten mit mehreren Status innerhalb einer Regel interpretiert. Pfade werden verwendet, wenn eine Regel aus mehreren Statusobjekten besteht (auch als Multistatus-Regel bezeichnet). Mit Status wird der Fluss von CAE-Regeln definiert und Aurora Focus die zustandsorientierte Beobachtung einer Reihe von Ereignissen ermöglicht, die auf einem Gerät auftreten. Diese stellen ein „1, dann 2, dann 3“-Szenario dar, das auftreten kann.
Wenn eine Regel nur über ein einziges Statusobjekt verfügt, müssen Sie kein Pfadobjekt verwenden. Regeln bestehen aus einem einzelnen Statusobjekt und erfordern nicht die explizite Verwendung des Pfadobjekts. Regeln, für die das Pfadobjekt verwendet wird, dienen nur zur expliziten Definition (nicht für die Regelfunktion).
In den folgenden Beispielen werden zwei Statusobjekte verwendet: NewSuspiciousFile und CertUtilDecode. Jeder Status verfügt über einen eigenen Logiksatz.
Beispiel 1: In der folgenden Konfiguration sucht der CAE nach einem Ereignis, das den Status „NewSuspiciousFile“ erfüllt. Wenn dieser Status vorliegt, sucht die CAE nach einem Ereignis, das dem Status „CertUtilDecode“ entspricht.
"Paths": [
{
"StateNames": [
"NewSuspiciousFile",
"CertUtilDecode"
]
}
],Beispiel 2: In der folgenden Konfiguration sucht der CAE nach einem Ereignis, das den Status „CertUtilDecode“ erfüllt, und dann den Status „NewSuspiciousFile“.
"Paths": [
{
"StateNames": [
"CertUtilDecode",
"NewSuspiciousFile"
]
}
],Beispiel 3: In der folgenden Konfiguration sucht CAE nach einem Ereignis, das den Status „NewSuspiciousFile“ oder „CertUtilDecode“ erfüllt. Dies ist hilfreich, wenn Status unterschiedliche Filterobjektsätze haben. In diesem Beispiel verwendet „NewSuspiciousFile“ einen Dateischreibfilter und „CertUtilDecode“ einen Prozessstartfilter.
"Paths": [
{
"StateNames": [
"CertUtilDecode"
]
},
{
"StateNames": [
"NewSuspiciousFile"
]
}
],