Одна: создание значения реестра EventId 13 или 4657. Полный путь к узлу реестра должен соответствовать регулярному выражению:
regex(lower(object.path), "v4|6tov4|6\\tcp\\\$", 0) != null
Вторая: создание процесса EventId 1 или 4688 с командой строкой попадающей под регулярное выражение:
regex(lower(object.process.cmdline), "i[ntrface]{0,10}\s+p[ort]{0,4}\s+a[d]{0,3}", 0) != null
Регулярка обнаруживает минимально необходимые аргументы netsh для создания порт прокси
Resolve #64
Правило основано на двух директивах Event.
Одна: создание значения реестра EventId 13 или 4657. Полный путь к узлу реестра должен соответствовать регулярному выражению:
regex(lower(object.path), "v4|6tov4|6\\tcp\\\$", 0) != nullВторая: создание процесса EventId 1 или 4688 с командой строкой попадающей под регулярное выражение:
regex(lower(object.process.cmdline), "i[ntrface]{0,10}\s+p[ort]{0,4}\s+a[d]{0,3}", 0) != nullРегулярка обнаруживает минимально необходимые аргументы netsh для создания порт прокси