オペランド(ファセット値エクストラクタ)
Aurora Focus CAE はファセット値エクストラクタを使用して、Aurora Focus によって観察されたイベントに関連付けられた単一アーチファクトの個々のプロパティ(ファセット)を識別します。ファセット値エクストラクタの対応範囲は単体では狭いものの、個々のエクストラクタを論理的に連結することで、デバイス上で発生している複雑な行動を分析し、検出イベントをトリガーすることができます。
|
エクストラクタ名 |
説明 |
サポートされるファセット |
|
|---|---|---|---|
|
InstigatingProcess |
このエクストラクタは、イベントの扇動プロセスからファセットを抽出します。通常、アクション(別のプロセスの開始、ネットワーク接続の開始、ファイルの書き込みなど)を開始しているプロセスの名前またはコマンドライン引数を検査するために使用されます。 |
Name(String) CommandLine(String) |
|
|
InstigatingProcessImageFile |
このエクストラクタは、イベントの扇動プロセスに関連付けられているイメージファイルからファセットを抽出します。通常、イメージファイルのさまざまな属性(名前、パス、ハッシュ、署名ステータスなど)を検査するために使用されます。 |
Path(String) Size(Integer) Md5Hash(String) Sha256Hash(String) IsHidden(Boolean) IsReadOnly(Boolean) Directory(String) SuspectedFileType(String) SignatureStatus(String) IsSelfSigned(Boolean) LeafDNSString(String) LeafThumbprint(String) LeafSignatureAlgorithm(String) LeafCN(String) LeafDN(String) LeafOU(String) LeafO(String) LeafL(String) LeafC(String) |
IssuerDNString(String) IssuerThumbprint(String) IssuerSignatureAlgorithm(String) IssuerCN(String) IssuerDN(String) IssuerOU(String) IssuerO(String) IssuerL(String) IssuerC(String) RootDNString(String) RootThumbprint(String) RootSignatureAlgorithm(String) RootCN(String) RootDN(String) RootOU(String) RootO(String) RootL(String) RootC(String) |
|
InstigatingProcessOwner |
このエクストラクタは、イベントの扇動プロセスに関連付けられている所有者からファセットを抽出します。通常、プロセスを所有するユーザーを検査するために使用されます。 |
Name(String) Domain(String) |
|
|
TargetFile |
このエクストラクタは、イベントが発生したファイルからファセットを抽出します。通常、ファイルのさまざまな属性(名前、パス、ハッシュ、署名ステータスなど)を検査するために使用されます。 |
上記の「InstigatingProcessImageFile」を参照してください。 |
|
|
TargetFileOwner |
このエクストラクタは、イベントが発生したファイルに関連付けられている所有者からファセットを抽出します。通常、ファイルを所有するユーザーを検査するために使用されます。 |
上記の「InstigatingProcessOwner」を参照してください。 |
|
|
TargetNetworkConnection |
このエクストラクタは、イベントが発生したネットワーク接続からファセットを抽出します。通常、ネットワーク IP アドレスまたは処理対象ポートを検査するために使用されます。 |
SourceAddress(IPAddress) SourcePort(Integer) DestinationAddress(IPAddress) DestinationPort(Integer) |
|
|
TargetProcess |
このエクストラクタは、イベントが発生したプロセスからファセットを抽出します。通常、処理対象プロセスの名前またはコマンドライン引数を検査するために使用されます。 |
上記の「InstigatingProcess」を参照してください。 |
|
|
TargetProcessImageFile |
このエクストラクタは、イベントが発生したプロセスに関連付けられているイメージファイルからファセットを抽出します。通常、イメージファイルの属性(名前、パス、ハッシュ、署名ステータスなど)を検査するために使用されます。 |
上記の「InstigatingProcessImageFile」を参照してください。 |
|
|
TargetProcessOwner |
このエクストラクタは、イベントが発生したプロセスに関連付けられている所有者からファセットを抽出します。通常、処理対象プロセスを所有するユーザーを検査するために使用されます。 |
上記の「InstigatingProcessOwner」を参照してください。 |
|
|
TargetRegistryKey |
このエクストラクタは、イベントが発生したレジストリキーからファセットを抽出します。通常、処理対象レジストリのキーまたは値を検査するために使用されます。 |
Path(String) ValueName(String) |
|
パス値エクストラクタ
|
エクストラクタ名 |
説明 |
|---|---|
|
EnvVar |
EnvVar は、OS から環境変数を抽出します。 |
|
LiteralWithEnvVar |
LiteralWithEnvVar は、環境変数を含むパスを展開します。 |
|
Literal |
Literal はリテラル値を表し、最も一般的なエクストラクタおよびオペランドです。 |