Я использую серию xml запросов для создания подписки WEF, используя https://docs.microsoft.com/en-us/windows/security/threat-protection/use-windows-event-forwarding-to-assist-in-intrusion-detection в качестве приблизительного ориентира. У меня есть нормативное требование для сбора и аудита событий с кодом 4688 создания процесса. Это событие большого объема при нормальных обстоятельствах, и в моей среде это усугубляется тем фактом, что мы вынуждены использовать Tanium в качестве нашего решения EDR, и Tanium несет ответственность за половину всех событий создания процессов в наших системах. Итак ... Я хотел бы построить свой запрос xml для захвата 4688 событий, но исключить те, в которых NewProcessName или ParentProcessName включают Tanium
Основной запрос c без Исключение для Tanium выглядит следующим образом:
<Query Id="18" Path="Security">
<!-- Process Create (4688) -->
<Select Path="Security">*[System[EventID=4688]]</Select>
</Query>
Любая помощь в выяснении того, как отфильтровать события, связанные с Tanium, будет высоко ценится.