通过下发策略采集终端进程、文件、模块、注册表、网络等内核事件,及终端系统日志、APIHOOK 事件、脚本事件信息,并最终生成日志。
新建策略
1. 登录iOA 零信任管理平台控制台,在左侧导航栏,选择终端安全防护中心 > 规则运营。
2. 在规则运营页面,选择行为采集。
3. 在行为采集页面,单击新建策略。
3.1 基本信息。
参数名称 | 说明 |
策略名称 | 填写策略名称(例:EDR 信息采集基线策略)。 |
策略描述 | 建议明确该策略关键信息,避免后续无法查询。 |
是否启用 | 默认开启。 |
优先级 | 默认50,如需优先执行该策略,可以提高优先级数值。 |
策略有效期 | 默认永久有效,可指定失效时间。 |
选择系统 | 支持按照 Windows、Mac 不同系统调整策略。 |
3.2 适用范围。
支持按照适用终端、适用用户、例外终端以及例外用户等维度指定策略生效范围,其中终端与账号都支持指定具体的终端名称以及账号名称,同时支持按照组织架构和自定义分组批量勾选。
3.3 终端数据采集。
3.4 性能配置:支持端性能的控制,可以自定义选择终端性能要求。
参数名称 | 说明 |
终端性能配置 | 用于限制 EDR 进程 CPU 占用,防止 CPU 占用过高,影响终端性能;如果没有严格的终端性能要求,建议仅限制按进程维度的事件处理流;如果终端性能不高,建议综合考虑总体事件处理流限制和 CPU 限制。 |
网络宽带 | 用于限制带宽占用,防止带宽占用过高,影响终端传输性能。 |
内存配置 | 用于限制 EDR 进程内存占用,防止内存占用过高,影响终端性能。 |
4. 确认内容无误后,单击保存。
行为采集范围说明
事件规则库 | 事件名称 | 事件详情 |
内核事件库 | 进程事件(ProcEvents) | 存储由终端探针采集上报的数据,包含执行进程创建、打开、注入等进程相关的动作数据。 |
| 文件事件(FileEvents) | 存储由终端探针采集上报的数据,包含执行文件创建、读写、映射、删除等文件相关的动作数据。 |
| 文件统计事(FileStaticsEvents) | 存储由终端探针采集上报的数据,包含执行文件的写、重命名、删除等操作,在目录、后缀等维度上的统计数据,用来发现和识别勒索加密类攻击。 |
|
文件磁盘事件(FileDiskEvents) | 存储由终端探针采集上报的数据,包含直接对磁盘的读、写等动作数据,用来发现和识别系统底层的绕过和破坏攻击。 |
| 模块事件(ModuleEvents) | 存储由终端探针采集上报的数据,包含执行驱动加载、模块加载等加载相关的动作数据。 |
| 注册表事件(RegEvents) | 存储由终端探针采集上报的数据,包含执行注册表创建、设置、删除等注册表相关的动作数据。 |
| 网络事件(NetworkEvents) | 存储由终端探针采集上报的数据,包含执行 DNS 查询、各类网络请求等网络相关的动作数据。 |
系统日志库 | WMI 事件(WMIEvents) | 存储由 Windows 日志采集上报的数据,包含执行 WMI 操作、WMI 创建进程等 WMI 相关的动作数据。 |
| 系统变更事件(SystemChangeEvents) | 存储由 Windows 日志采集上报的数据,包含执行关闭事件日志、清除安全日志等系统变更相关的动作数据。 |
| 登录事件(LoginEvents) | 存储由 Windows 日志采集上报的数据,包含执行用户登录、凭据登录等系统登录相关的动作数据。 |
| 特权操作事件(PrivilegeEvents) | 存储由 Windows 日志采集上报的数据,包含特权对象执行、特权对象变更等特权操作相关的动作数据。 |
| 计划任务事件(ScheduleTaskEvents) | 存储由 Windows 日志采集上报的数据,包含执行计划任务创建、删除、更新等计划任务相关的动作数据。 |
| 用户账户事件(AccountEvents) | 存储由 Windows 日志采集上报的数据,包含执行用户账号创建、更改、重置等用户账户相关的动作数据。 |
| 网络共享事件(NetShareEvents) | 存储由 Windows 日志采集上报的数据,包含执行网络共享对象访问、添加、修改等网络共享对象相关的动作数据。 |
系统 API 事件库 | 高级威胁事件(ThreatEvents) | 存储由终端探针采集上报的数据,包含执行事件日志关闭、反调试等威胁对抗相关的动作数据。 |
| 加密事件(CryptEvents) | 存储由终端探针采集上报的数据,包含执行加密文件、调用加密组件等加密相关的动作数据。 |
| 远程注入事件(RemoteInjectEvents) | 存储由终端探针采集上报的数据,包含执行远线程注入、APC 注入,内存修改等远程注入相关的动作数据。 |
| 提权事件(PrivilegeEscalationEvents ) | 存储由终端探针采集上报的数据,包含执行获取令牌、模拟登录,查询特权进程等提权相关的动作数据。 |
| 用户凭据事件(CredentialsEvents) | 存储由终端探针采集上报的数据,包含对账户组或凭据执行枚举、备份、解析等账户凭据相关的动作数据。 |
| 服务器探测事件(ServerDetectEvents) | 存储由终端探针采集上报的数据,包含对服务器执行共享资源检索、账户组枚举、域信息检索等服务器探测相关的动作数据。 |
| 网络访问事件(InternetEvents) | 存储由终端探针采集上报的数据,包含调用 Wininet 发起的网络请求等网络访问相关的动作数据。 |
| 进程文件信息收集(ProcFileInfoEvents) | 存储由终端探针采集上报的数据,包含执行进程和文件的快照、枚举等进文件信息相关的动作数据。 |
| 文件操作事件(DirOperationEvents) | 存储由终端探针采集上报的数据,包含执行文件和目录的网络拷贝、移动、删除等文件网络相关的动作数据。 |
| 系统信息收集(SystemInfoEvents) | 存储由终端探针采集上报的数据,包含对磁盘空间、系统版本、计算机名称、网络连接进行检索等系统信息收集相关的动作数据。 |
| 信息窃取(InfoTheftEvents) | 存储由终端探针采集上报的数据,包含对键盘输入、剪贴板、窗口输入进行监听等信息窃取相关的动作数据。 |
| 服务事件(ServiceEvents) | 存储由终端探针采集上报的数据,包含服务的创建、启动、修改、删除、停止等操作服务相关的动作数据。 |
脚本文档事件库 | 脚本事件(ScriptEvents) | 存储由终端探针采集上报的数据,包含对 PowerShell、VBS、JS 等脚本相关的动作数据。 |
| office 事件(DocumentOpen) | 存储由终端探针采集上报的数据,包含打开文档的动作数据。 |
断链事件库 | 压缩包关联事(ArchiveAssocEvents) | 存储由终端探针采集上报的数据,通过持续监测压缩包创建、解压、释放等行为,包含解压释放的文件关联到压缩包母体的动作数据。 |
| Rundll 关联事件(RundllAssocEvents) | 存储由终端探针采集上报的数据,包含执行 Rundll32执行文件的动作数据。 |
| 命令行关联事件(CmdLineAssocEvents) | 存储由终端探针采集上报的数据,通过解析命令行关联攻击文件,包含执行脚本,无文件利用、远程下载等断链绕过的动作数据。 |
| 快捷方式启动关联事件(LnkAssocEvents) | 存储由终端探针采集上报的数据,包含快捷方式启动脚本、可执行文件、命令等断链绕过的动作数据。 |
横移事件库 | 远程服务事件(RemoteServiceEvents) | 存储由终端探针采集上报的数据,包含服务的创建、启动、修改、删除、停止等远程操作服务相关的动作数据。 |
| 远程计划任务事件(RemoteTaskEvents) | 存储由终端探针采集上报的数据,包含 at、schtasks 等计划任务远程执行命令的动作数据。 |
| 远程注册表事件(RemoteRegEvents) | 存储由终端探针采集上报的数据,包含注册表创建、设置、删除等远程操作注册表相关的动作数据。 |
| 远程WMI/DCOM事件(RemoteWMI-DCOMEvents) | 存储由终端探针采集上报的数据,包含远程调用 DCOM 和 WMI 等相关的动作数据。 |
| 远程漏洞事件(RemoteCVEEvents) | 存储由终端探针采集上报的数据,包含各类远程执行的漏洞等相关的动作数据。 |
| 共享文件事件(WriteShareDirEvents) | 存储由终端探针采集上报的数据,包含对共享文件进行修改等相关的动作数据。 |
| 远程访问事件(RemoteControlEvents) | 存储由终端探针采集上报的数据,包含对远程终端访问、控制等相关的动作数据。 |
勒索事件库 | 勒索诱饵事件(DocTrapEvents) | 存储由终端探针采集上报的数据,包含修改诱饵文件相关的动作数据。 |
钓鱼事件库 | 钓鱼事件(PhishingEvents) | 存储由终端探针采集上报的数据,包含钓鱼相关的动作数据。 |
