服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Windows事件查看器AppLocker XPathfilter
Intereting Posts
如何安全地在Windows Server 2008上安装和configurationFTP 通过root访问连接到smb共享 更改Sql Server Management Studio的Windows身份validation用户 恢复了2天的Microsoft Exchange – 丢失了一个月的条目 在Mac上安装MySQL不起作用 何时使用X2Apic模式? CentOS 6,Apache的mod_perlconfiguration,但无法正常工作 RRAS阻止Exchange App-V vs VDI与Med-V 作为万维网数据启动守护进程 DKIM通过带有外部出站中继的Google Apps域的电子邮件 需要一个很好的专用虚拟主机 – build议? NetBIOS名称parsing是否将NetBIOS名称映射到IP地址或MAC地址 为虚拟机制作Linux Red Hat Ent ES的可启动映像 EC2 Ubuntu 14.04实例:运行`apt-get update`导致“Hash Sum mismatch”

Windows事件查看器AppLocker XPathfilter

我正在运行AppLocker,并希望使用XPath在事件查看器中logging事件中的一些噪音。 具体来说,我想隐藏任何与CMD.exe相关的事件

这是一个我想摆脱的示例条目: 

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-AppLocker" Guid="{CBDA4DBF-8D5D-4F69-9578-BE14AA540D22}" /> <EventID>8003</EventID> <Version>0</Version> <Level>3</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x8000000000000000</Keywords> <TimeCreated SystemTime="2014-05-29T05:47:09.625405200Z" /> <EventRecordID>257765</EventRecordID> <Correlation /> <Execution ProcessID="1108" ThreadID="2652" /> <Channel>Microsoft-Windows-AppLocker/EXE and DLL</Channel> <Computer>COMPUTERNAME.DOMAIN</Computer> <Security UserID="S-1-5-21-123456789-123456789-123456789-123456" /> </System> <UserData> <RuleAndFileData xmlns:auto-ns2="http://schemas.microsoft.com/win/2004/08/events" xmlns="http://schemas.microsoft.com/schemas/event/Microsoft.Windows/1.0.0.0"> <PolicyName>EXE</PolicyName> <RuleId>{00000000-0000-0000-0000-000000000000}</RuleId> <RuleName>-</RuleName> <RuleSddl>-</RuleSddl> <TargetUser>S-1-5-21-123456789-123456789-123456789-123456</TargetUser> <TargetProcessId>3224</TargetProcessId> <FilePath>%SYSTEM32%\CMD.EXE</FilePath> <FileHash>5F98965FF2650B89586176B38F007CA13A9E525E877DDCCBCDCE0A90408672D5</FileHash> <Fqbn>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\CMD.EXE\6.1.7601.17514</Fqbn> </RuleAndFileData> </UserData> </Event>

我想要的东西的效果: 隐藏事件如果FilePath等于“%SYSTEM32%\ CMD.EXE”

我已经尝试了一下: 

 <QueryList> <Query Id="0" Path="Microsoft-Windows-AppLocker/EXE and DLL"> <Select Path="Microsoft-Windows-AppLocker/EXE and DLL">*[System[(Level=1 or Level=2 or Level=3)]]</Select> <Suppress Path="Microsoft-Windows-AppLocker/EXE and DLL">*[UserData[FileAndFileData[FilePath = '%SYSTEM32%\CMD.EXE' ]]]</Suppress> </Query> </QueryList>

但是这似乎没有做任何事情。 我一直在线查看随机的XPath示例(包括服务器故障的类似 问题 ),但大多数是在“EventData”而不是“UserData”下列出的XML中编写的,而目标标记直接位于该EventData下时,而不是低于另一个标签(在这个例子中是“RuleAndFileData”)。

有没有人有一个XPath代码我可以放弃一个例子?

它看起来像你在压制部分使用错误的xpath标签,检查你的代码的任何错误。

更换: 

 FileAndFileData

附: 

 RuleAndFileData