Artefacts d'intérêt

Vous pouvez utiliser les artefacts d'intérêt (AOI) dans le champ des actions pour définir une liste d'artefacts pour lesquels Aurora Focus peut effectuer des actions de réponse automatisées. L'AOI suit la même syntaxe que les opérandes. Tout artefact associé à un évènement ou à un ensemble d'évènements satisfaisant à un état peut être marqué comme un AOI. L'AOI n'a pas besoin d'être défini comme opérande pour être considéré comme AOI.

Si un filtre est appliqué à un état, notez que certains AOI ne seront pas disponibles pour prendre des mesures de réponse automatiques. Par exemple, si un filtre de création de fichier est appliqué à un état, l'AOI lié au fichier et au processus est disponible, mais n'a pas d'AOI lié au registre ou au réseau. Si un AOI non pertinent est fourni dans un état, l'agent Aurora Focus se charge de son exclusion de la manière appropriée. Le tableau ci-dessous décrit le filtre applicable aux relations d'AOI.

Catégorie

Sous-catégorie

Type

AOI applicable

Fichier

Créer

InstigatingProcess

InstigatingProcessImageFile

InstigatingProcessOwner

TargetFile

TargetFileOwner

Fichier

Supprimer

InstigatingProcess

InstigatingProcessImageFile

InstigatingProcessOwner

TargetFile

TargetFileOwner

Fichier

Renommer

InstigatingProcess

InstigatingProcessImageFile

InstigatingProcessOwner

TargetFile

TargetFileOwner

Fichier

Écrire

InstigatingProcess

InstigatingProcessImageFile

InstigatingProcessOwner

TargetFile

TargetFileOwner

Réseau

IPv4

Se connecter

InstigatingProcess

InstigatingProcessImageFile

InstigatingProcessOwner

TargetNetworkConnection

Réseau

IPv6

Se connecter

InstigatingProcess

InstigatingProcessImageFile

InstigatingProcessOwner

TargetNetworkConnection

Réseau

TCP

Se connecter

InstigatingProcess

InstigatingProcessImageFile

InstigatingProcessOwner

TargetNetworkConnection

Réseau

UDP

Se connecter

InstigatingProcess

InstigatingProcessImageFile

InstigatingProcessOwner

TargetNetworkConnection

Processus

Quitter

InstigatingProcess

InstigatingProcessImageFile

InstigatingProcessOwner

TargetProcess

TargetProcessImageFile

TargetProcessOwner

Processus

Démarrer

InstigatingProcess

InstigatingProcessImageFile

InstigatingProcessOwner

TargetProcess

TargetProcessImageFile

TargetProcessOwner

Processus

Aurora Protect Desktop

AbnormalExit

TargetProcess

TargetProcessImageFile

TargetProcessOwner

Registre

PersistencePoint :

KeyCreating

InstigatingProcess

InstigatingProcessImageFile

InstigatingProcessOwner

TargetRegistryKey

Registre

PersistencePoint :

KeyCreated

InstigatingProcess

InstigatingProcessImageFile

InstigatingProcessOwner

TargetRegistryKey

Registre

PersistencePoint :

KeyDeleting

InstigatingProcess

InstigatingProcessImageFile

InstigatingProcessOwner

TargetRegistryKey

Registre

PersistencePoint :

KeyDeleted

InstigatingProcess

InstigatingProcessImageFile

InstigatingProcessOwner

TargetRegistryKey

Registre

PersistencePoint :

KeyRenaming

InstigatingProcess

InstigatingProcessImageFile

InstigatingProcessOwner

TargetRegistryKey

Registre

PersistencePoint :

KeyRenamed

InstigatingProcess

InstigatingProcessImageFile

InstigatingProcessOwner

TargetRegistryKey

Registre

PersistencePoint :

ValueChanging

InstigatingProcess

InstigatingProcessImageFile

InstigatingProcessOwner

TargetRegistryKey

Registre

PersistencePoint :

ValueChanged

InstigatingProcess

InstigatingProcessImageFile

InstigatingProcessOwner

TargetRegistryKey

Registre

PersistencePoint :

ValueDeleting

InstigatingProcess

InstigatingProcessImageFile

InstigatingProcessOwner

TargetRegistryKey

Registre

PersistencePoint :

ValueDeleted

InstigatingProcess

InstigatingProcessImageFile

InstigatingProcessOwner

TargetRegistryKey

Thread

Créer

InstigatingProcess

InstigatingProcessImageFile

InstigatingProcessOwner

TargetProcess

TargetProcessImageFile

TargetProcessOwner

Thread

Injecter

InstigatingProcess

InstigatingProcessImageFile

InstigatingProcessOwner

TargetProcess

TargetProcessImageFile

TargetProcessOwner

Exemple :

JSON
"Actions": [
    {
        "Type": "AOI",
        "ItemName": "InstigatingProcess",
        "Position": "PostActivation"
    },
    {
        "Type": "AOI",
        "ItemName": "TargetProcess",
        "Position": "PostActivation"
    },
    {
        "Type": "AOI",
        "ItemName": "InstigatingProcessOwner",
        "Position": "PostActivation"
    }
],