Запуск инструментов schtasks.exe и sc.exe с параметрами создания задачи планировщика и службы соответственно (Security 4688 и Sysmon 1);
Событий создания задач планировщика (4698) и создания служб (7045 и 4697);
Запуск процесса, исполняемый файл которого находится в теневой копии (\device\harddiskvolumeshadowcopyX\Windows\Temp);
Событий изменения значений реестра при создании служб Windows (Security 4657 и Sysmon 13).
При проверке прошу обратить внимание на прохождение второго теста. Нормализация для EventId 4698 отрабатывает некорректно - не заполняется поле object.value (предположительно проблема с вложенным XML). Это только у меня так?
Судя по тестам для формулы нормализации, событие 4698 может быть в разных форматах. И в одном из форматов object.value действительно не извлекается. Попросил коллег посмотреть что с этим можно сделать.
Resolves #128
Детекты основываются на следующей логике:
При проверке прошу обратить внимание на прохождение второго теста. Нормализация для EventId 4698 отрабатывает некорректно - не заполняется поле object.value (предположительно проблема с вложенным XML). Это только у меня так?