Добавлен детект закрепления с использованием механизма теневых копий

[driverenok]

Resolves #128

Детекты основываются на следующей логике:

• Запуск инструментов schtasks.exe и sc.exe с параметрами создания задачи планировщика и службы соответственно (Security 4688 и Sysmon 1);
• Событий создания задач планировщика (4698) и создания служб (7045 и 4697);
• Запуск процесса, исполняемый файл которого находится в теневой копии (\device\harddiskvolumeshadowcopyX\Windows\Temp);
• Событий изменения значений реестра при создании служб Windows (Security 4657 и Sysmon 13).

При проверке прошу обратить внимание на прохождение второго теста. Нормализация для EventId 4698 отрабатывает некорректно - не заполняется поле object.value (предположительно проблема с вложенным XML). Это только у меня так?

[aw350m33d]

Судя по тестам для формулы нормализации, событие 4698 может быть в разных форматах. И в одном из форматов object.value действительно не извлекается. Попросил коллег посмотреть что с этим можно сделать.