関心アーチファクト
アクションフィールドの関心アーチファクト(AOI)を使用して、Aurora Focus が自動応答アクションの実行対象にできるアーチファクトのリストを定義できます。AOI はオペランドと同じ構文に従います。状態を満たすイベントまたはイベントセットに関連付けられたアーチファクトはすべて AOI としてマークできます。AOI は、AOI と見なされるためにオペランドとして定義する必要はありません。
フィルターが状態に適用されている場合、一部の AOI は自動応答アクションの対象にできないことに注意してください。たとえば、ファイル作成フィルターが状態に適用されている場合、ファイルやプロセス関連の AOI が使用可能になりますが、レジストリやネットワーク関連の AOI はありません。関係のない AOI が状態で提供された場合、Aurora Focus エージェントはその除外を適切に処理します。以下の表に、AOI 関係に適用可能なフィルターの概要を示します。
|
カテゴリ |
サブカテゴリ |
種類 |
適用可能な AOI |
|---|---|---|---|
|
ファイル |
— |
作成 |
InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetFile TargetFileOwner |
|
ファイル |
— |
削除 |
InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetFile TargetFileOwner |
|
ファイル |
— |
名前変更 |
InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetFile TargetFileOwner |
|
ファイル |
— |
書き込み |
InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetFile TargetFileOwner |
|
ネットワーク |
IPv4 |
接続 |
InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetNetworkConnection |
|
ネットワーク |
IPv6 |
接続 |
InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetNetworkConnection |
|
ネットワーク |
TCP |
接続 |
InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetNetworkConnection |
|
ネットワーク |
UDP |
接続 |
InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetNetworkConnection |
|
プロセス |
— |
終了 |
InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetProcess TargetProcessImageFile TargetProcessOwner |
|
プロセス |
— |
開始 |
InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetProcess TargetProcessImageFile TargetProcessOwner |
|
プロセス |
Aurora Protect Desktop |
AbnormalExit |
TargetProcess TargetProcessImageFile TargetProcessOwner |
|
レジストリ |
— |
PersistencePoint: KeyCreating |
InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey |
|
レジストリ |
— |
PersistencePoint: KeyCreated |
InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey |
|
レジストリ |
— |
PersistencePoint: KeyDeleting |
InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey |
|
レジストリ |
— |
PersistencePoint: KeyDeleted |
InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey |
|
レジストリ |
— |
PersistencePoint: KeyRenaming |
InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey |
|
レジストリ |
— |
PersistencePoint: KeyRenamed |
InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey |
|
レジストリ |
— |
PersistencePoint: ValueChanging |
InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey |
|
レジストリ |
— |
PersistencePoint: ValueChanged |
InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey |
|
レジストリ |
— |
PersistencePoint: ValueDeleting |
InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey |
|
レジストリ |
— |
PersistencePoint: ValueDeleted |
InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey |
|
スレッド |
— |
作成 |
InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetProcess TargetProcessImageFile TargetProcessOwner |
|
スレッド |
— |
注入 |
InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetProcess TargetProcessImageFile TargetProcessOwner |
例:
"Actions": [
{
"Type": "AOI",
"ItemName": "InstigatingProcess",
"Position": "PostActivation"
},
{
"Type": "AOI",
"ItemName": "TargetProcess",
"Position": "PostActivation"
},
{
"Type": "AOI",
"ItemName": "InstigatingProcessOwner",
"Position": "PostActivation"
}
],