09.02.2022, 15:41
|
|
Новичок
Регистрация: 09.02.2022
Сообщений: 0
С нами:
2242471
Репутация:
0
|
|
rule Detect_create_regnonsystem
{
meta:
type = "RegSetValue"
description = "Обнаружено создания ключа (APP NOT SYSTEM)"
severity = 3
strings:
$EventFromRegMonitor = "\"t\":2,"
$EventRegCreate = "\"st\":0,"
$KeyIsServices = /"key":"\\\\REGISTRY\\\\MACHINE\\\\SYSTEM\\\\Contro lSet001\\\\Services\\\\.*"/ nocase
$ValueNameApp = /"app":"*smss\.exe"/ nocase /* Что не так с этой строчкой ?*/
condition:
$EventFromRegMonitor and $EventRegCreate and $KeyIsServices and not $ValueNameApp
}
Может кто подскажет что не так с этим правилом ?
|
|
|