xml - Windows 事件转发 (WEF) .xml 查询
问题描述
我正在使用一系列 xml 查询来使用https://docs.microsoft.com/en-us/windows/security/threat-protection/use-windows-event-forwarding-to-assist-in创建 WEF 订阅- 入侵检测作为粗略指南。我有一个监管要求来捕获和审核事件 ID 4688 流程创建。在正常情况下,这是一个高容量事件,在我的环境中,我们被迫使用 Tanium 作为我们的 EDR 解决方案,而 Tanium 最终负责我们系统上所有进程创建事件的一半。所以......我想构建我的 xml 查询以捕获 4688 事件,但排除那些 NewProcessName 或 ParentProcessName 包含Tanium的事件
不排除 Tanium 的基本查询如下所示:
<Query Id="18" Path="Security">
<!-- Process Create (4688) -->
<Select Path="Security">*[System[EventID=4688]]</Select>
</Query>
任何帮助弄清楚如何过滤掉与 Tanium 相关的事件将不胜感激。
解决方案
通过尝试这个 xpath 表达式,这是漫长而痛苦的:
*[System[EventID=4688]][not(//Data[(@Name="NewProcessName" and (contains(./text(),'Tanium'))) or
(@Name="ParentProcessName" and (contains(./text(),'Tanium')))])]
推荐阅读
- javascript - ajax 在服务器上上传大于 10mb 的文件时出现 503 Service Unavailable 错误
- javascript - 带有由多个字符组成的分隔符的正则表达式(除了正常的 1 字符长分隔符)
- typescript - 如何确定哪个 Jest 测试未能在超时内运行?
- timer - Jmeter 和吞吐量整形计时器 - 在一个脚本中多次
- angular - Angular 10:mat-sidenav 不可见
- sql - 将 SQL 查询转换为 Linq
- outlook - Microsoft Outlook 和附件重新配置
- python - 字符串匹配 Python
- javascript - 无法在 styled.div 组件中访问 React 组件的 props
- html - Visualfoce:日期格式显示为 2020 年 7 月 217 日