ruoms
ruoms

关于sysmon的基本使用(1)

sysmon的基本使用(1)

  • 安装

     下载地址 :  https://download.sysinternals.com/files/Sysmon.zip

     Install:    Sysmon.exe -i <configfile> # 指定配置文件安装
             sysmon -accepteula  –i -n # 一键安装(使用sha1进行散列的过程映像,无网络监控)
             sysmon -accepteula -i -h md5,sha256 -n # 使用md5和sha256进行安装创建进程并监视网络连接
             sysmon -accepteula -i c\windows\config.xml # 使用配置文件安装Sysmon

             

[-h <[sha1|md5|sha256|imphash|*],...>] [-n [<process,...>]]
[-l (<process,...>)]

Configure:  Sysmon.exe -c <configfile> # 从文件读取修改配置信息 
            sysmon –c -- # 修改配置信息为默认配置
            sysmon -c # 转储配置文件
              [--|[-h <[sha1|md5|sha256|imphash|*],...>] [-n [<process,...>]]
               [-l [<process,...>]]]

Uninstall:  Sysmon.exe -u # 卸载 
 # 注 : 安装需要管理员权限 操作系统 windows 7+ 上日志会写入到  Logs/Microsoft/Windows/Sysmon/Operational 低版本windows 会写入到 system日志
  • 参数说明
         -d # 指定已安装设备驱动程序映像的名称。

     -c  # 更新或显示配置 如果没有提供其他参数,则为当前配置。可选获取配置文件。

     -h  # 指定hash记录的算法

     -i  # 安装,可用xml文件来更新配置文件

     -l  # 记录加载模块,可指定进程

     -m  # 安装事件清单

     -n  # 记录网络链接

     -r  # 检测证书是否撤销

     -u  # 卸载服务和驱动
     
     -s  # 打印配置架构 

     -? config # 查看配置文件写法

  • 配置文件说明

    • 官方给出的配置文件例子:
      <Sysmon schemaversion="4.21">

<HashAlgorithms>*HashAlgorithms> 
<EventFiltering> 


<DriverLoad onmatch="exclude"> 
     <Signature condition="contains">microsoftSignature>
     <Signature condition="contains">windowsSignature>
DriverLoad>


<ProcessTerminate onmatch="include" />


<NetworkConnect onmatch="include">
     <DestinationPort>443DestinationPort> 
     <DestinationPort>80DestinationPort>
NetworkConnect>
<NetworkConnect onmatch="exclude">
     <Image condition="end with">iexplore.exeImage>
NetworkConnect>
EventFiltering>
Sysmon>
 -- 配置条目直接位于Sysmon 标签下, 过滤器位于 EventFiltering 标签下
    • 过滤器标签
       ProcessCreate            进程创建
 FileCreateTime           文件创建时间更改
 NetworkConnect           检测到网络连接
 ProcessTerminate         进程终止
 DriverLoad               驱动程序已加载
 ImageLoad                镜像加载
 CreateRemoteThread       已检测到创建远程线程
 RawAccessRead            检测到原始访问读取
 ProcessAccess            已访问的进程
 FileCreate               文件创建
 RegistryEvent            添加或删除注册表对象
 RegistryEvent            注册表值设置
 RegistryEvent            注册表对象已重命名
 FileCreateStreamHash     已创建文件流
 PipeEvent                管道创建
 PipeEvent                管道已连接
 WmiEvent                 检测到WmiEventFilter活动 -- WmiEventFilter activity detected
 WmiEvent                 检测到WmiEventConsumer活动 -- WmiEventConsumer activity detected
 WmiEvent                 检测到WmiEventConsumerToFilter活动 -- WmiEventConsumerToFilter activity 
 DnsQuery                 DNS查询
    • 标签使用说明:
      使用onmacth标记配置文件中 过滤器规则 include exclude
include:
     仅包含include的规则配置 
exclude: 
     除去该规则配置, 其他全包含 
PS: 
     例如,此规则将丢弃进程创建中 IntegrityLevel 为中等的任何流程事件
      
          Medium
    • 过滤器标签的字段可以使用其他条件匹配该值
    --------------------------------------
注: 不区分大小写
--------------------------------------
字段如下:
     is             默认值, 等于
     is not         不等于 
     contains       包含
     excludes       不包含
     begin with     以此字段开始
     end with       以此字段结束
     less than      小于
     more than      大于 
     image          匹配镜像路径(完整路径或仅镜像名称) 
     例如:lsass.exe将匹配c:\windows\system32\lsass.exe
     
-----------------------------------------
    • 规则组:
      <EventFiltering>
     <RuleGroup name="group 1" groupRelation="and"> 
          <ProcessCreate onmatch="include"> 
          <Image condition="contains">timeout.exeImage> 
          <CommandLine condition="contains">100CommandLine>
          ProcessCreate>
     RuleGroup>
     <RuleGroup groupRelation="or">
          <ProcessTerminate onmatch="include">
          <Image condition="contains">timeout.exeImage> 
          <Image condition="contains">ping.exeImage>
          ProcessTerminate>
     RuleGroup>
     <ImageLoad onmatch="include"/>
EventFiltering>

      要让sysmon报告哪个规则匹配导致记录事件,请向规则添加名称:
<NetworkConnect onmatch="exclude">
     
     <Image name="network iexplore" condition="contains">iexplore.exeImage>
NetworkConnect>
  • 两个sysmon 配置文件
    	
	
	<Sysmon schemaversion="4.21">
		
		<HashAlgorithms>md5,sha256HashAlgorithms> 
		<CheckRevocation/> 
	
		 
		 
		 
	
		<EventFiltering>
	
		
			
	
			
		<RuleGroup name="" groupRelation="or">
			<ProcessCreate onmatch="exclude">
				
				<ParentCommandLine condition="is">"C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe" -EmbeddingParentCommandLine>
				<CommandLine condition="is"> "whoami" CommandLine> 
				<CommandLine condition="is"> "systeminfo" CommandLine> 
				<CommandLine condition="begin with"> "C:\Windows\system32\wermgr.exe" "-queuereporting_svc" CommandLine> 
				<CommandLine condition="begin with">C:\Windows\system32\DllHost.exe /ProcessidCommandLine> 
				<CommandLine condition="begin with">C:\Windows\system32\wbem\wmiprvse.exe -EmbeddingCommandLine> 
				<CommandLine condition="begin with">C:\Windows\system32\wbem\wmiprvse.exe -secured -EmbeddingCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\wermgr.exe -uploadCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\SearchIndexer.exe /EmbeddingCommandLine> 
				<CommandLine condition="is">C:\windows\system32\wermgr.exe -queuereportingCommandLine> 
				<CommandLine condition="is">\??\C:\Windows\system32\autochk.exe *CommandLine> 
				<CommandLine condition="is">\SystemRoot\System32\smss.exeCommandLine> 
				<CommandLine condition="is">C:\Windows\System32\RuntimeBroker.exe -EmbeddingCommandLine> 
				<Image condition="is">C:\Program Files (x86)\Common Files\microsoft shared\ink\TabTip32.exeImage> 
				<Image condition="is">C:\Windows\System32\TokenBrokerCookies.exeImage> 
				<Image condition="is">C:\Windows\System32\plasrv.exeImage> 
				<Image condition="is">C:\Windows\System32\wifitask.exeImage> 
				<Image condition="is">C:\Windows\system32\CompatTelRunner.exeImage> 
				<Image condition="is">C:\Windows\system32\PrintIsolationHost.exeImage> 
				<Image condition="is">C:\Windows\system32\SppExtComObj.ExeImage> 
				<Image condition="is">C:\Windows\system32\audiodg.exeImage> 
				<Image condition="is">C:\Windows\system32\conhost.exeImage> 
				<Image condition="is">C:\Windows\system32\mobsync.exeImage> 
				<Image condition="is">C:\Windows\system32\musNotification.exeImage> 
				<Image condition="is">C:\Windows\system32\musNotificationUx.exeImage> 
				<Image condition="is">C:\Windows\system32\powercfg.exeImage> 
				<Image condition="is">C:\Windows\system32\sndVol.exeImage> 
				<Image condition="is">C:\Windows\system32\sppsvc.exeImage> 
				<Image condition="is">C:\Windows\system32\wbem\WmiApSrv.exeImage> 
				<IntegrityLevel condition="is">AppContainerIntegrityLevel> 
				<ParentCommandLine condition="begin with">%%SystemRoot%%\system32\csrss.exe ObjectDirectory=\WindowsParentCommandLine> 
				<ParentCommandLine condition="is">C:\windows\system32\wermgr.exe -queuereportingParentCommandLine> 
				<CommandLine condition="is">C:\WINDOWS\system32\devicecensus.exe UserCxtCommandLine>
				<CommandLine condition="is">C:\Windows\System32\usocoreworker.exe -EmbeddingCommandLine>
				<ParentImage condition="is">C:\Windows\system32\SearchIndexer.exeParentImage> 
				
				<Image condition="begin with">C:\Program Files\Windows DefenderImage> 
				<Image condition="is">C:\Windows\system32\MpSigStub.exeImage> 
				
				
				<CommandLine condition="is">C:\WINDOWS\System32\svchost.exe -k SafeMonorCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k appmodel -s StateRepositoryCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k appmodel -p -s camsvcCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k appmodelCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k appmodel -p -s tiledatamodelsvcCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k camera -s FrameServerCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k dcomlaunch -s LSMCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k dcomlaunch -s PlugPlayCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k defragsvcCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k devicesflow -s DevicesFlowUserSvcCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k imgsvcCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localService -s EventSystemCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localService -s bthservCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k LocalService -p -s BthAvctpSvcCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localService -s nsiCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localService -s w32TimeCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localServiceAndNoImpersonationCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localServiceNetworkRestricted -s DhcpCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localServiceNetworkRestricted -s EventLogCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localServiceNetworkRestricted -s TimeBrokerSvcCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localServiceNetworkRestricted -s WFDSConMgrSvcCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -s BTAGServiceCommandLine>
				<CommandLine condition="is">C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p -s NcbServiceCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localServiceNetworkRestrictedCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localServiceAndNoImpersonation -s SensrSvcCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localServiceAndNoImpersonation -p -s SSDPSRVCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localServiceNoNetworkCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -p -s WPDBusEnumCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -p -s fhsvcCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -s DeviceAssociationServiceCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -s NcbServiceCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -s SensorServiceCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -s TabletInputServiceCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -s UmRdpServiceCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -s WPDBusEnumCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -p -s NgcSvcCommandLine>  
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localServiceNetworkRestricted -p -s NgcCtnrSvcCommandLine>  
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localServiceAndNoImpersonation -s SCardSvrCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -p -s wuauservCommandLine>
				<CommandLine condition="is">C:\Windows\System32\svchost.exe -k netsvcs -p -s SessionEnvCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -s WdiSystemHostCommandLine> 
				<CommandLine condition="is">C:\Windows\System32\svchost.exe -k localSystemNetworkRestricted -p -s WdiSystemHostCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestrictedCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -p -s wlidsvcCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -p -s ncaSvcCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -s BDESVCCommandLine> 
				<CommandLine condition="is">C:\Windows\System32\svchost.exe -k netsvcs -p -s BDESVCCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -p -s BITSCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -s BITSCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -s CertPropSvcCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -s DsmSvcCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -p -s AppinfoCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -s GpsvcCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -s ProfSvcCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -s SENSCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -s SessionEnvCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -s ThemesCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcs -s WinmgmtCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcsCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k networkService -p -s DoSvcCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k networkService -s DnscacheCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k networkService -s LanmanWorkstationCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k networkService -s NlaSvcCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k networkService -s TermServiceCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k networkServiceCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k networkServiceNetworkRestrictedCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k rPCSSCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k secsvcsCommandLine>
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k swprvCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k unistackSvcGroupCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k utcsvcCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k wbioSvcGroupCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k werSvcGroupCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k wusvcs -p -s WaaSMedicSvcCommandLine> 
				<CommandLine condition="is">C:\Windows\System32\svchost.exe -k wsappx -p -s ClipSVCCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k wsappx -p -s AppXSvcCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k wsappx -s ClipSVCCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\svchost.exe -k wsappxCommandLine> 
				<ParentCommandLine condition="is">C:\Windows\system32\svchost.exe -k netsvcsParentCommandLine> 
				<ParentCommandLine condition="is">C:\Windows\system32\svchost.exe -k localSystemNetworkRestrictedParentCommandLine> 
				<CommandLine condition="is">C:\Windows\system32\deviceenroller.exe /c /AutoEnrollMDMCommandLine> 
				
				<CommandLine condition="begin with">"C:\Program Files (x86)\Microsoft\Edge Dev\Application\msedge.exe" --type=CommandLine>
				
				<CommandLine condition="begin with">C:\Windows\Microsoft.NET\Framework\v4.0.30319\ngen.exeCommandLine> 
				<CommandLine condition="begin with">C:\WINDOWS\Microsoft.NET\Framework64\v4.0.30319\Ngen.exeCommandLine> 
				<Image condition="is">C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exeImage> 
				<Image condition="is">C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exeImage> 
				<Image condition="is">C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exeImage> 
				<ParentCommandLine condition="contains">C:\Windows\Microsoft.NET\Framework64\v4.0.30319\ngentask.exeParentCommandLine>
				<ParentImage condition="is">C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exeParentImage> 
				<ParentImage condition="is">C:\Windows\Microsoft.NET\Framework64\v4.0.30319\ngentask.exeParentImage> 
				<ParentImage condition="is">C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exeParentImage> 
				<ParentImage condition="is">C:\Windows\Microsoft.NET\Framework\v4.0.30319\ngentask.exeParentImage> 
				
				<Image condition="is">C:\Program Files\Microsoft Office\Office16\MSOSYNC.EXEImage> 
				<Image condition="is">C:\Program Files (x86)\Microsoft Office\Office16\MSOSYNC.EXEImage> 
				<Image condition="is">C:\Program Files\Microsoft Office\Office15\MSOSYNC.EXEImage> 
				<Image condition="is">C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXEImage> 
				<Image condition="is">C:\Program Files\Microsoft Office\Office16\msoia.exeImage> 
				<Image condition="is">C:\Program Files (x86)\Microsoft Office\root\Office16\officebackgroundtaskhandler.exeImage>
				
				<Image condition="is">C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exeImage> 
				<ParentImage condition="is">C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exeParentImage> 
				<ParentImage condition="is">C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exeParentImage> 
				
				<Image condition="is">C:\Program Files\Windows Media Player\wmpnscfg.exeImage> 
				
				<CommandLine condition="begin with">"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --type=CommandLine> 
				<CommandLine condition="begin with">"C:\Program Files\Google\Chrome\Application\chrome.exe" --type=CommandLine> 
				
				<CommandLine condition="begin with">"C:\Program Files\Mozilla Firefox\plugin-container.exe" --channelCommandLine> 
				<CommandLine condition="begin with">"C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe" --channelCommandLine> 
				
				<ParentImage condition="is">C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exeParentImage>
				
				<Image condition="is">C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\AcroCEF\AcroCEF.exeImage> 
				<Image condition="is">C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\LogTransport2.exeImage> 
				
				<Image condition="is">C:\Program Files (x86)\Adobe\Acrobat 2015\Acrobat\AcroCEF\AcroCEF.exeImage> 
				<Image condition="is">C:\Program Files (x86)\Adobe\Acrobat 2015\Acrobat\LogTransport2.exeImage> 
				
				<Image condition="is">C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AcroCEF\RdrCEF.exeImage> 
				<Image condition="is">C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\LogTransport2.exeImage> 
				<CommandLine condition="begin with">"C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AcroRd32.exe" /CR CommandLine> 
				<CommandLine condition="begin with">"C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AcroRd32.exe" --channel=CommandLine> 
				
				<Image condition="is">C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exeImage> 
				
				<Image condition="is">C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exeImage> 
				<ParentImage condition="is">C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exeParentImage> 
				<Image condition="is">C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exeImage> 
				
				<Image condition="is">C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\AdobeCollabSync.exeImage>
				<Image condition="is">C:\Program Files (x86)\Common Files\Adobe\Adobe Desktop Common\HEX\Adobe CEF Helper.exeImage>
				<Image condition="is">C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AdobeGCClient.exeImage> 
				<Image condition="is">C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\P7\adobe_licutil.exeImage> 
				<ParentImage condition="is">C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\P7\adobe_licutil.exeParentImage> 
				<Image condition="is">C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exeImage>
				<ParentImage condition="is">C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exeParentImage>
				
				<Image condition="is">C:\Program Files (x86)\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exeImage>
				<ParentImage condition="is">C:\Program Files (x86)\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exeParentImage>
				<ParentImage condition="is">C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CCXProcess\CCXProcess.exeParentImage>
				<ParentImage condition="is">C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CoreSync\CoreSync.exeParentImage>
				
				<ParentImage condition="is">C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\agent.exeParentImage> 
				
					
				<CommandLine condition="is">C:\Windows\system32\igfxsrvc.exe -EmbeddingCommandLine>
				<ParentImage condition="is">C:\Program Files\Realtek\Audio\HDA\RtkAudioService64.exeParentImage> 
			ProcessCreate>
		RuleGroup>
		
		
			
	
			
		<RuleGroup name="" groupRelation="or">
			<FileCreateTime onmatch="include">
				<Image name="T1099" condition="begin with">C:\UsersImage> 
				<TargetFilename name="T1099" condition="end with">.exeTargetFilename> 
				<Image name="T1099" condition="begin with">\Device\HarddiskVolumeShadowCopyImage> 
			FileCreateTime>
	
			<FileCreateTime onmatch="exclude">
				<Image condition="image">OneDrive.exeImage> 
				<Image condition="image">C:\Windows\system32\backgroundTaskHost.exeImage>
				<Image condition="contains">setupImage> 
				<Image condition="contains">installImage> 
				<Image condition="contains">Update\Image> 
				<Image condition="end with">redist.exeImage> 
				<Image condition="is">msiexec.exeImage> 
				<Image condition="is">TrustedInstaller.exeImage> 
			FileCreateTime>
		RuleGroup>
	
		
			
			
			
			
			
			
			
	
			
		<RuleGroup name="" groupRelation="or">
			<NetworkConnect onmatch="include">
				
				<Image name="Usermode" condition="begin with">C:\UsersImage> 
				<Image name="Caution!" condition="begin with">C:\RecyleImage> 
				<Image condition="begin with">C:\ProgramDataImage> 
				<Image condition="begin with">C:\Windows\TempImage> 
				<Image name="Caution!" condition="begin with">\Image> 
				<Image name="Caution!" condition="begin with">C:\perflogsImage> 
				<Image name="Caution!" condition="begin with">C:\intelImage> 
				<Image name="Caution!" condition="begin with">C:\Windows\fontsImage> 
				<Image name="Caution!" condition="begin with">C:\Windows\system32\configImage> 
				
				<Image condition="image">at.exeImage> 
				<Image condition="image">certutil.exeImage> 
				<Image condition="image">cmd.exeImage> 
				<Image condition="image">cmstp.exeImage> 
				<Image condition="image">cscript.exeImage> 
				<Image condition="image">driverquery.exeImage> 
				<Image condition="image">dsquery.exeImage> 
				<Image condition="image">hh.exeImage> 
				<Image condition="image">infDefaultInstall.exeImage> 
				<Image condition="image">java.exeImage> 
				<Image condition="image">javaw.exeImage> 
				<Image condition="image">javaws.exeImage> 
				<Image condition="image">mmc.exeImage> 
				<Image condition="image">msbuild.exeImage> 
				<Image condition="image">mshta.exeImage> 
				<Image condition="image">msiexec.exeImage> 
				<Image condition="image">nbtstat.exeImage> 
				<Image condition="image">net.exeImage> 
				<Image condition="image">net1.exeImage> 
				<Image condition="image">notepad.exeImage> 
				<Image condition="image">nslookup.exeImage> 
				<Image condition="image">powershell.exeImage> 
				<Image condition="image">qprocess.exeImage> 
				<Image condition="image">qwinsta.exeImage> 
				<Image condition="image">qwinsta.exeImage> 
				<Image condition="image">reg.exeImage> 
				<Image condition="image">regsvcs.exeImage> 
				<Image condition="image">regsvr32.exeImage> 
				<Image condition="image">rundll32.exeImage> 
				<Image condition="image">rwinsta.exeImage> 
				<Image condition="image">sc.exeImage> 
				<Image condition="image">schtasks.exeImage> 
				<Image condition="image">taskkill.exeImage> 
				<Image condition="image">tasklist.exeImage> 
				<Image condition="image">wmic.exeImage> 
				<Image condition="image">wscript.exeImage> 
				
				<Image condition="image">nc.exeImage> 
				<Image condition="image">ncat.exeImage> 
				<Image condition="image">psexec.exeImage> 
				<Image condition="image">psexesvc.exeImage> 
				<Image condition="image">tor.exeImage> 
				<Image condition="image">vnc.exeImage> 
				<Image condition="image">vncservice.exeImage> 
				<Image condition="image">vncviewer.exeImage> 
				<Image condition="image">winexesvc.exeImage> 
				<Image condition="image">nmap.exeImage>
				<Image condition="image">psinfo.exeImage>
				<Image condition="image">bitsadmin.exeImage>
				
				<DestinationPort name="CVE-2017-11882" condition="is">587DestinationPort>
				<DestinationPort name="SMB" condition="is">139DestinationPort>
				<DestinationPort name="SMB" condition="is">445DestinationPort>
				<DestinationPort name="RPC" condition="is">135DestinationPort>
				<DestinationPort name="DNS" condition="is">53DestinationPort>
				<DestinationPort name="HTTPS" condition="is">443DestinationPort>
				<DestinationPort name="FTP" condition="is">21DestinationPort> 
				<DestinationPort name="SSH" condition="is">22DestinationPort> 
				<DestinationPort name="Telnet" condition="is">23DestinationPort> 
				<DestinationPort name="SMTP" condition="is">25DestinationPort> 
				<DestinationPort name="IMAP" condition="is">142DestinationPort> 
				<DestinationPort name="RDP" condition="is">3389DestinationPort> 
				<DestinationPort name="VNC" condition="is">5800DestinationPort> 
				<DestinationPort name="VNC" condition="is">5900DestinationPort> 
				<DestinationPort name="Alert,Metasploit" condition="begin with">4444DestinationPort>
				<DestinationPort name="Alert,Metasploit" condition="begin with">4445DestinationPort>
				<DestinationPort name="Alert,Metasploit" condition="begin with">4446DestinationPort>
				<DestinationPort name="Alert,Metasploit" condition="end with">1337DestinationPort>
				
				<DestinationPort name="Proxy" condition="is">1080DestinationPort> 
				<DestinationPort name="Proxy" condition="is">3128DestinationPort> 
				<DestinationPort name="Proxy" condition="is">8080DestinationPort> 
				
				<DestinationPort name="Tor" condition="is">1723DestinationPort> 
				<DestinationPort name="Tor/IPsec" condition="is">4500DestinationPort> 
				<DestinationPort name="Tor" condition="is">9001DestinationPort> 
				<DestinationPort name="Tor" condition="is">9030DestinationPort> 
			NetworkConnect>
	
			<NetworkConnect onmatch="exclude">
				
				<Image condition="end with">AppData\Roaming\Dropbox\bin\Dropbox.exeImage> 
				<Image condition="end with">AppData\Local\Microsoft\Teams\current\Teams.exeImage> 
				<Image condition="end with">AppData\Roaming\Spotify\Spotify.exeImage> 
				
				<Image condition="end with">AppData\Local\Microsoft\Teams\current\Teams.exeImage> 
				<DestinationHostname condition="end with">.microsoft.comDestinationHostname> 
				<DestinationHostname condition="end with">microsoft.com.akadns.netDestinationHostname> 
				<DestinationHostname condition="end with">microsoft.com.nsatc.netDestinationHostname> 
			NetworkConnect>
		RuleGroup>
	
		
	
			
			
	
		
			
	
			
		<RuleGroup name="" groupRelation="or">
			<ProcessTerminate onmatch="include">
				<Image condition="begin with">C:\UsersImage> 
				<Image condition="begin with">\Image> 
			ProcessTerminate>
	
			<ProcessTerminate onmatch="exclude">
			ProcessTerminate>
		RuleGroup>
	
		
			
			
	
			
		<RuleGroup name="" groupRelation="or">
			<DriverLoad onmatch="exclude">
				<Signature condition="contains">microsoftSignature> 
				<Signature condition="contains">windowsSignature> 
				<Signature condition="begin with">Intel Signature> 
			DriverLoad>
		RuleGroup>
	
		
			
			
	
			
		<RuleGroup name="" groupRelation="or">
			<ImageLoad onmatch="include">
				
			ImageLoad>
		RuleGroup>
	
		
			
	
			
		<RuleGroup name="" groupRelation="or">
			<CreateRemoteThread onmatch="exclude">
				
				<SourceImage condition="is">C:\Windows\system32\wbem\WmiPrvSE.exeSourceImage>
				<SourceImage condition="is">C:\Windows\system32\svchost.exeSourceImage>
				<SourceImage condition="is">C:\Windows\system32\wininit.exeSourceImage>
				<SourceImage condition="is">C:\Windows\system32\csrss.exeSourceImage>
				<SourceImage condition="is">C:\Windows\system32\services.exeSourceImage>
				<SourceImage condition="is">C:\Windows\system32\winlogon.exeSourceImage>
				<SourceImage condition="is">C:\Windows\system32\audiodg.exeSourceImage>
				<StartModule condition="is">C:\Windows\system32\kernel32.dllStartModule>
				<TargetImage condition="is">C:\Program Files (x86)\Google\Chrome\Application\chrome.exeTargetImage> 
			CreateRemoteThread>
		RuleGroup>
	
		
			
			
			
			
	
			
		<RuleGroup name="" groupRelation="or">
			<RawAccessRead onmatch="include">
				
			RawAccessRead>
		RuleGroup>
	
		
			
			
			
	
			
		<RuleGroup name="" groupRelation="or">
			<ProcessAccess onmatch="include">
				
			ProcessAccess>
		RuleGroup>
	
		
			
			
			
	
			
		<RuleGroup name="" groupRelation="or">
			<FileCreate onmatch="include">
				<TargetFilename name="T1023" condition="contains">\Start MenuTargetFilename> 
				<TargetFilename name="T1165" condition="contains">\Startup\TargetFilename> 
				<TargetFilename condition="contains">\Content.Outlook\TargetFilename> 
				<TargetFilename name="FileCreate-Downloads" condition="contains">\Downloads\TargetFilename> 
				<TargetFilename condition="end with">.applicationTargetFilename> 
				<TargetFilename condition="end with">.appref-msTargetFilename> 
				<TargetFilename condition="end with">.batTargetFilename> 
				<TargetFilename condition="end with">.chmTargetFilename>
				<TargetFilename condition="end with">.cmdTargetFilename> 
				<TargetFilename condition="end with">.cmdlineTargetFilename> 
				<TargetFilename name="T1176" condition="end with">.crxTargetFilename> 
				<TargetFilename condition="end with">.docmTargetFilename> 
				<TargetFilename condition="end with">.dllTargetFilename> 
				<TargetFilename condition="end with">.exeTargetFilename> 
				<TargetFilename condition="end with">.jarTargetFilename> 
				<TargetFilename condition="end with">.jnlpTargetFilename> 
				<TargetFilename condition="end with">.jseTargetFilename> 
				<TargetFilename condition="end with">.htaTargetFilename> 
				<TargetFilename condition="end with">.pptmTargetFilename> 
				<TargetFilename condition="end with">.ps1TargetFilename> 
				<TargetFilename condition="end with">.sysTargetFilename> 
				<TargetFilename condition="end with">.scrTargetFilename> 
				<TargetFilename condition="end with">.vbeTargetFilename> 
				<TargetFilename condition="end with">.vbsTargetFilename> 
				<TargetFilename condition="end with">.xlsmTargetFilename> 
				<TargetFilename condition="end with">projTargetFilename>
				<TargetFilename condition="end with">.slnTargetFilename>
				<TargetFilename condition="begin with">C:\Users\DefaultTargetFilename> 
				<TargetFilename condition="begin with">C:\Windows\system32\DriversTargetFilename> 
				<TargetFilename condition="begin with">C:\Windows\SysWOW64\DriversTargetFilename> 
				<TargetFilename name="T1037,T1484" condition="begin with">C:\Windows\system32\GroupPolicy\Machine\ScriptsTargetFilename> 
				<TargetFilename name="T1037,T1484" condition="begin with">C:\Windows\system32\GroupPolicy\User\ScriptsTargetFilename> 
				<TargetFilename condition="begin with">C:\Windows\system32\WbemTargetFilename> 
				<TargetFilename condition="begin with">C:\Windows\SysWOW64\WbemTargetFilename> 
				<TargetFilename condition="begin with">C:\Windows\system32\WindowsPowerShellTargetFilename> 
				<TargetFilename condition="begin with">C:\Windows\SysWOW64\WindowsPowerShellTargetFilename> 
				<TargetFilename name="T1053" condition="begin with">C:\Windows\Tasks\TargetFilename> 
				<TargetFilename name="T1053" condition="begin with">C:\Windows\system32\TasksTargetFilename> 
				<Image condition="begin with">\Device\HarddiskVolumeShadowCopyImage> 
				
				<TargetFilename condition="begin with">C:\Windows\AppPatch\CustomTargetFilename> 
				<TargetFilename condition="contains">VirtualStoreTargetFilename> 
				
				<TargetFilename condition="end with">.xlsTargetFilename> 
				<TargetFilename condition="end with">.pptTargetFilename> 
				<TargetFilename condition="end with">.rtfTargetFilename> 
			FileCreate>
	
			<FileCreate onmatch="exclude">
				
				<Image condition="is">C:\Program Files (x86)\EMET 5.5\EMET_Service.exeImage> 
				
				<TargetFilename condition="is">C:\Windows\System32\Tasks\OfficeSoftwareProtectionPlatform\SvcRestartTaskTargetFilename>
				
				<Image condition="is">C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exeImage> 
				
				<Image condition="is">C:\Windows\system32\smss.exeImage> 
				<Image condition="is">C:\Windows\system32\CompatTelRunner.exeImage> 
				<Image condition="is">\\?\C:\Windows\system32\wbem\WMIADAP.EXEImage> 
				<Image condition="is">C:\Windows\system32\mobsync.exeImage> 
				<TargetFilename condition="begin with">C:\Windows\system32\DriverStore\Temp\TargetFilename> 
				<TargetFilename condition="begin with">C:\Windows\system32\wbem\Performance\TargetFilename> 
				<TargetFilename condition="end with">WRITABLE.TSTTargetFilename> 
				<TargetFilename condition="begin with">C:\Windows\Installer\TargetFilename> 
				
				<TargetFilename condition="begin with">C:\$WINDOWS.~BT\Sources\TargetFilename> 
				<Image condition="begin with">C:\Windows\winsxs\amd64_microsoft-windowsImage> 
				
				<Image condition="is">C:\Windows\system32\igfxCUIService.exeImage> 
			FileCreate>
		RuleGroup>
	
		
			
			
			
	
			
			
			
			
	
			
			
			
			
			
	
			
	
			
		<RuleGroup name="" groupRelation="or">
			<RegistryEvent onmatch="include">
				
					
					
					
					
				<TargetObject name="T1060,RunKey" condition="contains">CurrentVersion\RunTargetObject> 
				<TargetObject name="T1060,RunPolicy" condition="contains">Policies\Explorer\RunTargetObject> 
				<TargetObject name="T1484" condition="contains">Group Policy\ScriptsTargetObject> 
				<TargetObject name="T1484" condition="contains">Windows\System\ScriptsTargetObject> 
				<TargetObject name="T1060" condition="contains">CurrentVersion\Windows\LoadTargetObject> 
				<TargetObject name="T1060" condition="contains">CurrentVersion\Windows\RunTargetObject> 
				<TargetObject name="T1060" condition="contains">CurrentVersion\Winlogon\ShellTargetObject> 
				<TargetObject name="T1060" condition="contains">CurrentVersion\Winlogon\SystemTargetObject> 
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\NotifyTargetObject> 
				<TargetObject condition="begin with">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ShellTargetObject> 
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserinitTargetObject> 
				<TargetObject condition="begin with">HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32TargetObject> 
				<TargetObject condition="begin with">HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecuteTargetObject> 
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebugTargetObject> 
				<TargetObject condition="contains">UserInitMprLogonScriptTargetObject> 
				<TargetObject name="T1112,ChangeStartupFolderPath" condition="end with">user shell folders\startupTargetObject> 
				
				<TargetObject name="T1031,T1050" condition="end with">\ServiceDllTargetObject> 
				<TargetObject name="T1031,T1050" condition="end with">\ServiceManifestTargetObject> 
				<TargetObject name="T1031,T1050" condition="end with">\ImagePathTargetObject> 
				<TargetObject name="T1031,T1050" condition="end with">\StartTargetObject> 
				
				<TargetObject name="RDP port change" condition="end with">Control\Terminal Server\WinStations\RDP-Tcp\PortNumberTargetObject> 
				<TargetObject name="RDP port change" condition="end with">Control\Terminal Server\fSingleSessionPerUserTargetObject>
				<TargetObject name="ModifyRemoteDesktopState" condition="end with">fDenyTSConnectionsTargetObject>
				<TargetObject condition="end with">LastLoggedOnUserTargetObject>
				<TargetObject name="ModifyRemoteDesktopPort" condition="end with">RDP-tcp\PortNumberTargetObject>
				<TargetObject condition="end with">Services\PortProxy\v4tov4TargetObject>
	
				
				<TargetObject name="T1042" condition="contains">\command\TargetObject> 
				<TargetObject name="T1122" condition="contains">\ddeexec\TargetObject> 
				<TargetObject name="T1122" condition="contains">{86C86720-42A0-1069-A2E8-08002B30309D}TargetObject> 
				<TargetObject name="T1042" condition="contains">exefileTargetObject> 
				
				<TargetObject condition="end with">\InprocServer32\(Default)TargetObject> 
				
				<TargetObject name="T1158" condition="end with">\HiddenTargetObject> 
				<TargetObject name="T1158" condition="end with">\ShowSuperHiddenTargetObject> 
				<TargetObject name="T1158" condition="end with">\HideFileExtTargetObject> 
				
				<TargetObject condition="contains">Classes\*\TargetObject> 
				<TargetObject condition="contains">Classes\AllFilesystemObjects\TargetObject> 
				<TargetObject condition="contains">Classes\Directory\TargetObject> 
				<TargetObject condition="contains">Classes\Drive\TargetObject> 
				<TargetObject condition="contains">Classes\Folder\TargetObject> 
				<TargetObject condition="contains">ContextMenuHandlers\TargetObject> 
				<TargetObject condition="contains">CurrentVersion\ShellTargetObject> 
				<TargetObject condition="begin with">HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooksTargetObject> 
				<TargetObject condition="begin with">HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjectDelayLoadTargetObject> 
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellIconOverlayIdentifiersTargetObject> 
				
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\TargetObject> 
				
				<TargetObject condition="begin with">HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\InitialProgramTargetObject> 
				
				<TargetObject name="T1484" condition="begin with">HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\TargetObject> 
				
				<TargetObject condition="begin with">HKLM\SYSTEM\CurrentControlSet\Services\WinSock\TargetObject> 
				<TargetObject condition="end with">\ProxyServerTargetObject> 
				
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential ProviderTargetObject> 
				<TargetObject name="T1101" condition="begin with">HKLM\SYSTEM\CurrentControlSet\Control\Lsa\TargetObject> 
				<TargetObject condition="begin with">HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProvidersTargetObject> 
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\NetshTargetObject> 
				
				<TargetObject condition="begin with">HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order\TargetObject> 
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\ProfilesTargetObject> 
				<TargetObject name="T1089" condition="end with">\EnableFirewallTargetObject> 
				<TargetObject name="T1089" condition="end with">\DoNotAllowExceptionsTargetObject> 
				<TargetObject condition="begin with">HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\ListTargetObject> 
				<TargetObject condition="begin with">HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\ListTargetObject> 
				
				<TargetObject name="T1103" condition="begin with">HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls\TargetObject> 
				<TargetObject name="T1103" condition="begin with">HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls\TargetObject> 
				<TargetObject condition="begin with">HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\TargetObject> 
				
				<TargetObject name="T1137" condition="contains">Microsoft\Office\Outlook\Addins\TargetObject> 
				<TargetObject name="T1137" condition="contains">Office Test\TargetObject> 
				<TargetObject name="Context,ProtectedModeExitOrMacrosUsed" condition="contains">Security\Trusted Documents\TrustRecordsTargetObject> 
				
				<TargetObject name="T1176" condition="contains">Internet Explorer\Toolbar\TargetObject> 
				<TargetObject name="T1176" condition="contains">Internet Explorer\Extensions\TargetObject> 
				<TargetObject name="T1176" condition="contains">Browser Helper Objects\TargetObject> 
				<TargetObject condition="end with">\DisableSecuritySettingsCheckTargetObject>
				<TargetObject condition="end with">\3\1206TargetObject> 
				<TargetObject condition="end with">\3\2500TargetObject> 
				<TargetObject condition="end with">\3\1809TargetObject> 
				
				<TargetObject condition="contains">{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}\TargetObject> 
				<TargetObject name="Alert,Sysinternals Tool Used" condition="end with">\EulaAcceptedTargetObject> 
				
				<TargetObject condition="end with">\UrlUpdateInfoTargetObject> 
				<TargetObject condition="end with">\InstallSourceTargetObject> 
				
				<TargetObject name="T1089,Tamper-Defender" condition="end with">\DisableAntiSpywareTargetObject> 
				<TargetObject name="T1089,Tamper-Defender" condition="end with">\DisableAntiVirusTargetObject> 
				
				<TargetObject name="T1088" condition="end with">HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUATargetObject> 
				<TargetObject name="T1088" condition="end with">HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicyTargetObject> 
				
				<TargetObject name="T1089,Tamper-SecCenter" condition="end with">HKLM\SOFTWARE\Microsoft\Security Center\AllAlertsDisabledTargetObject> 
				<TargetObject name="T1089,Tamper-SecCenter" condition="end with">HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusOverrideTargetObject> 
				<TargetObject name="T1089,Tamper-SecCenter" condition="end with">HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotifyTargetObject> 
				<TargetObject name="T1089,Tamper-SecCenter" condition="end with">HKLM\SOFTWARE\Microsoft\Security Center\DisableMonitoringTargetObject> 
				<TargetObject name="T1089,Tamper-SecCenter" condition="end with">HKLM\SOFTWARE\Microsoft\Security Center\FirewallDisableNotifyTargetObject> 
				<TargetObject name="T1089,Tamper-SecCenter" condition="end with">HKLM\SOFTWARE\Microsoft\Security Center\FirewallOverrideTargetObject> 
				<TargetObject name="T1089,Tamper-SecCenter" condition="end with">HKLM\SOFTWARE\Microsoft\Security Center\UacDisableNotifyTargetObject> 
				<TargetObject name="T1089,Tamper-SecCenter" condition="end with">HKLM\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotifyTargetObject> 
				<TargetObject name="T1089,Tamper-SecCenter" condition="end with">SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\HideSCAHealthTargetObject> 
				
				<TargetObject name="T1138,AppCompatShim" condition="begin with">HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\CustomTargetObject> 
				<TargetObject name="T1138,AppCompatShim" condition="begin with">HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDBTargetObject> 
				<TargetObject condition="contains">VirtualStoreTargetObject> 
				
				<TargetObject name="T1183,IFEO" condition="begin with">HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TargetObject> 
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\TargetObject> 
				<TargetObject name="Tamper-Safemode" condition="begin with">HKLM\SYSTEM\CurrentControlSet\Control\Safeboot\TargetObject> 
				<TargetObject name="Tamper-Winlogon" condition="begin with">HKLM\SYSTEM\CurrentControlSet\Control\Winlogon\TargetObject> 
				<TargetObject name="Context,DeviceConntectedOrUpdated" condition="end with">\FriendlyNameTargetObject> 
				<TargetObject name="Context,MsiInstallerStarted" condition="is">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\InProgress\(Default)TargetObject> 
				<TargetObject name="Tamper-Tracing" condition="begin with">HKLM\SOFTWARE\Microsoft\Tracing\RASAPI32TargetObject> 
				
				<TargetObject name="InvDB-Path" condition="end with">\LowerCaseLongPathTargetObject> 
				<TargetObject name="InvDB-Pub" condition="end with">\PublisherTargetObject> 
				<TargetObject name="InvDB-Ver" condition="end with">\ProductVersionTargetObject> 
				<TargetObject name="InvDB-CompileTimeClaim" condition="end with">\LinkDateTargetObject> 
				<TargetObject name="InvDB" condition="contains">Compatibility Assistant\Store\TargetObject>
				
				<Image name="Suspicious,ImageBeginWithBackslash" condition="begin with">\Image> 
			RegistryEvent>
	
			<RegistryEvent onmatch="exclude">
			
	
			
	
				<TargetObject condition="begin with">HKLM\COMPONENTSTargetObject>
	
				
	
				
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AppModel\StateRepository\CacheTargetObject>
				
				<TargetObject condition="end with">Toolbar\WebBrowserTargetObject> 
				<TargetObject condition="end with">Browser\ITBar7HeightTargetObject> 
				<TargetObject condition="end with">Browser\ITBar7LayoutTargetObject> 
				<TargetObject condition="end with">Internet Explorer\Toolbar\LockedTargetObject> 
				<TargetObject condition="end with">Toolbar\WebBrowser\{47833539-D0C5-4125-9FA8-0819E2EAAC93}TargetObject> 
				<TargetObject condition="end with">}\PreviousPolicyAreasTargetObject> 
				<TargetObject condition="contains">\Control\WMI\Autologger\TargetObject> 
				<TargetObject condition="end with">HKLM\SYSTEM\CurrentControlSet\Services\UsoSvc\StartTargetObject> 
				<TargetObject condition="end with">\Lsa\OfflineJoin\CurrentValueTargetObject> 
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\TargetObject> 
				<TargetObject condition="contains">_Classes\AppXTargetObject>  
				<TargetObject condition="begin with">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\TargetObject> 
				
				<TargetObject condition="end with">HKLM\SYSTEM\CurrentControlSet\Control\Lsa\LsaPidTargetObject> 
				<TargetObject condition="end with">HKLM\SYSTEM\CurrentControlSet\Control\Lsa\SspiCacheTargetObject>  
				<TargetObject condition="end with">HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\DomainsTargetObject>  
				
				<TargetObject condition="end with">\Services\BITS\StartTargetObject> 
				<TargetObject condition="end with">\services\clr_optimization_v2.0.50727_32\StartTargetObject> 
				<TargetObject condition="end with">\services\clr_optimization_v2.0.50727_64\StartTargetObject> 
				<TargetObject condition="end with">\services\clr_optimization_v4.0.30319_32\StartTargetObject> 
				<TargetObject condition="end with">\services\clr_optimization_v4.0.30319_64\StartTargetObject> 
				<TargetObject condition="end with">\services\deviceAssociationService\StartTargetObject> 
				<TargetObject condition="end with">\services\fhsvc\StartTargetObject> 
				<TargetObject condition="end with">\services\nal\StartTargetObject> 
				<TargetObject condition="end with">\services\trustedInstaller\StartTargetObject> 
				<TargetObject condition="end with">\services\tunnel\StartTargetObject> 
				<TargetObject condition="end with">\services\usoSvc\StartTargetObject> 
				
				<TargetObject condition="end with">\UserChoice\ProgIdTargetObject>  
				<TargetObject condition="end with">\UserChoice\HashTargetObject>  
				<TargetObject condition="end with">\OpenWithList\MRUListTargetObject> 
				<TargetObject condition="contains">Shell Extentions\CachedTargetObject>  
				
				<TargetObject condition="end with">HKLM\System\CurrentControlSet\Control\Lsa\Audit\SpecialGroupsTargetObject> 
				<TargetObject condition="end with">SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup\0\PSScriptOrderTargetObject> 
				<TargetObject condition="end with">SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup\0\SOM-IDTargetObject> 
				<TargetObject condition="end with">SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup\0\GPO-IDTargetObject> 
				<TargetObject condition="end with">SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup\0\0\IsPowershellTargetObject> 
				<TargetObject condition="end with">SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup\0\0\ExecTimeTargetObject> 
				<TargetObject condition="end with">SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown\0\PSScriptOrderTargetObject> 
				<TargetObject condition="end with">SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown\0\SOM-IDTargetObject> 
				<TargetObject condition="end with">SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown\0\GPO-IDTargetObject> 
				<TargetObject condition="end with">SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown\0\0\IsPowershellTargetObject> 
				<TargetObject condition="end with">SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown\0\0\ExecTimeTargetObject> 
				<TargetObject condition="contains">\safer\codeidentifiers\0\HASHES\{TargetObject> 
				
				<TargetObject condition="contains">VirtualStore\MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\TargetObject> 
				
				<Image condition="is">C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exeImage> 
				<TargetObject condition="begin with">HKCR\VLC.TargetObject> 
				<TargetObject condition="begin with">HKCR\iTunes.TargetObject> 
				
				<TargetObject condition="is">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{945a8954-c147-4acd-923f-40c45405a658}TargetObject> 
			RegistryEvent>
		RuleGroup>
	
		
			
			
			
	
			
		<RuleGroup name="" groupRelation="or">
			<FileCreateStreamHash onmatch="include">
				<TargetFilename name="FileStream-Downloads" condition="contains">DownloadsTargetFilename> 
				<TargetFilename condition="contains">Temp\7zTargetFilename> 
				<TargetFilename condition="contains">StartupTargetFilename> 
				<TargetFilename condition="end with">.batTargetFilename> 
				<TargetFilename condition="end with">.cmdTargetFilename> 
				<TargetFilename condition="end with">.htaTargetFilename> 
				<TargetFilename condition="end with">.lnkTargetFilename> 
				<TargetFilename condition="end with">.ps1TargetFilename> 
				<TargetFilename condition="end with">.ps2TargetFilename> 
				<TargetFilename condition="end with">.regTargetFilename> 
				<TargetFilename condition="end with">.jseTargetFilename> 
				<TargetFilename condition="end with">.vbTargetFilename> 
				<TargetFilename condition="end with">.vbeTargetFilename> 
				<TargetFilename condition="end with">.vbsTargetFilename> 
			FileCreateStreamHash>
	
			<FileCreateStreamHash onmatch="exclude">
			FileCreateStreamHash>
		RuleGroup>
	
		
			
			
			
			
			
	
		
			
			
	
			
			
	
			
		<RuleGroup name="" groupRelation="or">
			<PipeEvent onmatch="include">
				
			PipeEvent>
		RuleGroup>
	
		
			
			
			
	
			
			
	
			
		<RuleGroup name="" groupRelation="or">
			<WmiEvent onmatch="exclude">
				
			WmiEvent>
		RuleGroup>
	
		
			
	
			
	
			
	
			
	
			
	
			
			
			
			
	
			
			
	
			
	
			
			
			
			
			
			
	
		<RuleGroup name="" groupRelation="or">
			<DnsQuery onmatch="exclude">
				
				<QueryName condition="end with">.arpa.QueryName> 
				<QueryName condition="end with">.arpaQueryName> 
				<QueryName condition="end with">.msftncsi.comQueryName> 
				<QueryName condition="is">..localmachineQueryName>
				
				<QueryName condition="end with">-pushp.svc.msQueryName> 
				<QueryName condition="end with">.b-msedge.netQueryName> 
				<QueryName condition="end with">.bing.comQueryName> 
				<QueryName condition="end with">.hotmail.comQueryName> 
				<QueryName condition="end with">.live.comQueryName> 
				<QueryName condition="end with">.live.netQueryName> 
				<QueryName condition="end with">.s-microsoft.comQueryName> 
				<QueryName condition="end with">.microsoft.comQueryName> 
				<QueryName condition="end with">.microsoftonline.comQueryName> 
				<QueryName condition="end with">.microsoftstore.comQueryName> 
				<QueryName condition="end with">.ms-acdc.office.comQueryName> 
				<QueryName condition="end with">.msedge.netQueryName> 
				<QueryName condition="end with">.msn.comQueryName> 
				<QueryName condition="end with">.msocdn.comQueryName> 
				<QueryName condition="end with">.skype.comQueryName> 
				<QueryName condition="end with">.skype.netQueryName> 
				<QueryName condition="end with">.windows.comQueryName> 
				<QueryName condition="end with">.windows.net.nsatc.netQueryName> 
				<QueryName condition="end with">.windowsupdate.comQueryName> 
				<QueryName condition="end with">.xboxlive.comQueryName> 
				<QueryName condition="is">login.windows.netQueryName> 
				
				<QueryName condition="end with">.activedirectory.windowsazure.comQueryName> 
				<QueryName condition="end with">.aria.microsoft.comQueryName> 
				<QueryName condition="end with">.msauth.netQueryName>
				<QueryName condition="end with">.msftauth.netQueryName>
				<QueryName condition="end with">.opinsights.azure.comQueryName> 
				<QueryName condition="is">management.azure.comQueryName> 
				<QueryName condition="is">outlook.office365.comQueryName> 
				<QueryName condition="is">portal.azure.comQueryName> 
				
				<QueryName condition="end with">.mozaws.netQueryName> 
				<QueryName condition="end with">.mozilla.comQueryName> 
				<QueryName condition="end with">.mozilla.netQueryName> 
				<QueryName condition="end with">.mozilla.orgQueryName> 
				<QueryName condition="end with">.spotify.comQueryName> 
				<QueryName condition="end with">.spotify.map.fastly.netQueryName> 
				<QueryName condition="is">clients1.google.comQueryName> 
				<QueryName condition="is">clients2.google.comQueryName> 
				<QueryName condition="is">clients3.google.comQueryName> 
				<QueryName condition="is">clients4.google.comQueryName> 
				<QueryName condition="is">clients5.google.comQueryName> 
				<QueryName condition="is">clients6.google.comQueryName> 
				<QueryName condition="is">safebrowsing.googleapis.comQueryName> 
				
				<QueryName condition="end with">.akadns.netQueryName> 
				<QueryName condition="end with">.netflix.comQueryName>
				<QueryName condition="end with">aspnetcdn.comQueryName> 
				<QueryName condition="is">ajax.googleapis.comQueryName>
				<QueryName condition="is">cdnjs.cloudflare.comQueryName> 
				<QueryName condition="is">fonts.googleapis.comQueryName> 
				<QueryName condition="end with">.typekit.netQueryName> 
				<QueryName condition="is">cdnjs.cloudflare.comQueryName>
	
				
				<QueryName condition="end with">.steamcontent.comQueryName> 
				
				<QueryName condition="end with">.disqus.comQueryName> 
				<QueryName condition="end with">.fontawesome.comQueryName>
				<QueryName condition="is">disqus.comQueryName> 
				
				<QueryName condition="end with">.2mdn.netQueryName> 
				<QueryName condition="end with">.adadvisor.netQueryName> 
				<QueryName condition="end with">.adap.tvQueryName> 
				<QueryName condition="end with">.addthis.comQueryName> 
				<QueryName condition="end with">.adform.netQueryName> 
				<QueryName condition="end with">.adnxs.comQueryName> 
				<QueryName condition="end with">.adroll.comQueryName> 
				<QueryName condition="end with">.adsafeprotected.comQueryName> 
				<QueryName condition="end with">.adsrvr.orgQueryName> 
				<QueryName condition="end with">.advertising.comQueryName> 
				<QueryName condition="end with">.amazon-adsystem.comQueryName> 
				<QueryName condition="end with">.amazon-adsystem.comQueryName> 
				<QueryName condition="end with">.analytics.yahoo.comQueryName> 
				<QueryName condition="end with">.aol.comQueryName> 
				<QueryName condition="end with">.betrad.comQueryName> 
				<QueryName condition="end with">.bidswitch.netQueryName> 
				<QueryName condition="end with">.casalemedia.comQueryName> 
				<QueryName condition="end with">.chartbeat.netQueryName> 
				<QueryName condition="end with">.cnn.comQueryName> 
				<QueryName condition="end with">.convertro.comQueryName> 
				<QueryName condition="end with">.criteo.comQueryName> 
				<QueryName condition="end with">.criteo.netQueryName> 
				<QueryName condition="end with">.crwdcntrl.netQueryName> 
				<QueryName condition="end with">.demdex.netQueryName> 
				<QueryName condition="end with">.domdex.comQueryName> 
				<QueryName condition="end with">.dotomi.comQueryName> 
				<QueryName condition="end with">.doubleclick.netQueryName> 
				<QueryName condition="end with">.doubleverify.comQueryName> 
				<QueryName condition="end with">.emxdgt.comQueryName> 
				<QueryName condition="end with">.exelator.comQueryName> 
				<QueryName condition="end with">.google-analytics.comQueryName> 
				<QueryName condition="end with">.googleadservices.comQueryName> 
				<QueryName condition="end with">.googlesyndication.comQueryName> 
				<QueryName condition="end with">.googletagmanager.comQueryName> 
				<QueryName condition="end with">.googlevideo.comQueryName> 
				<QueryName condition="end with">.gstatic.comQueryName> 
				<QueryName condition="end with">.gvt1.comQueryName> 
				<QueryName condition="end with">.gvt2.comQueryName> 
				<QueryName condition="end with">.ib-ibi.comQueryName> 
				<QueryName condition="end with">.jivox.comQueryName> 
				<QueryName condition="end with">.mathtag.comQueryName> 
				<QueryName condition="end with">.moatads.comQueryName> 
				<QueryName condition="end with">.moatpixel.comQueryName> 
				<QueryName condition="end with">.mookie1.comQueryName> 
				<QueryName condition="end with">.myvisualiq.netQueryName> 
				<QueryName condition="end with">.netmng.comQueryName> 
				<QueryName condition="end with">.nexac.comQueryName> 
				<QueryName condition="end with">.nexac.comQueryName> 
				<QueryName condition="end with">.openx.netQueryName> 
				<QueryName condition="end with">.optimizely.comQueryName> 
				<QueryName condition="end with">.outbrain.comQueryName> 
				<QueryName condition="end with">.pardot.comQueryName> 
				<QueryName condition="end with">.phx.gblQueryName> 
				<QueryName condition="end with">.pinterest.comQueryName> 
				<QueryName condition="end with">.pubmatic.comQueryName> 
				<QueryName condition="end with">.quantcount.comQueryName>
				<QueryName condition="end with">.quantserve.comQueryName>
				<QueryName condition="end with">.revsci.netQueryName> 
				<QueryName condition="end with">.rfihub.netQueryName> 
				<QueryName condition="end with">.rlcdn.comQueryName> 
				<QueryName condition="end with">.rubiconproject.comQueryName> 
				<QueryName condition="end with">.scdn.coQueryName> 
				<QueryName condition="end with">.scorecardresearch.comQueryName> 
				<QueryName condition="end with">.serving-sys.comQueryName> 
				<QueryName condition="end with">.sharethrough.comQueryName> 
				<QueryName condition="end with">.simpli.fiQueryName>
				<QueryName condition="end with">.sitescout.comQueryName> 
				<QueryName condition="end with">.smartadserver.comQueryName> 
				<QueryName condition="end with">.snapads.comQueryName> 
				<QueryName condition="end with">.spotxchange.comQueryName> 
				<QueryName condition="end with">.1rx.ioQueryName> 
				<QueryName condition="end with">.adrta.comQueryName> 
				<QueryName condition="end with">.taboola.comQueryName> 
				<QueryName condition="end with">.taboola.map.fastly.netQueryName> 
				<QueryName condition="end with">.tapad.comQueryName>
				<QueryName condition="end with">.tidaltv.comQueryName> 
				<QueryName condition="end with">.trafficmanager.netQueryName> 
				<QueryName condition="end with">.tremorhub.comQueryName> 
				<QueryName condition="end with">.tribalfusion.comQueryName> 
				<QueryName condition="end with">.turn.comQueryName> 
				<QueryName condition="end with">.twimg.comQueryName> 
				<QueryName condition="end with">.tynt.comQueryName> 
				<QueryName condition="end with">.w55c.netQueryName> 
				<QueryName condition="end with">.ytimg.comQueryName> 
				<QueryName condition="end with">.zorosrv.comQueryName> 
				<QueryName condition="is">adservice.google.comQueryName> 
				<QueryName condition="is">ampcid.google.comQueryName> 
				<QueryName condition="is">clientservices.googleapis.comQueryName> 
				<QueryName condition="is">d29x207vrinatv.cloudfront.netQueryName> 
				<QueryName condition="is">googleadapis.l.google.comQueryName> 
				<QueryName condition="is">imasdk.googleapis.comQueryName> 
				<QueryName condition="is">l.google.comQueryName> 
				<QueryName condition="is">ml314.comQueryName> 
				<QueryName condition="is">mtalk.google.comQueryName> 
				<QueryName condition="is">update.googleapis.comQueryName> 
				<QueryName condition="is">1rx.ioQueryName>
				<QueryName condition="is">www.googletagservices.comQueryName>
				
				<QueryName condition="end with">.pscp.tvQueryName> 
				
				<QueryName condition="end with">.digicert.comQueryName>
				<QueryName condition="end with">.globalsign.comQueryName>
				<QueryName condition="end with">.globalsign.netQueryName>
				<QueryName condition="is">msocsp.comQueryName> 
				<QueryName condition="is">ocsp.msocsp.comQueryName> 
				<QueryName condition="end with">pki.googQueryName>
				<QueryName condition="is">ocsp.godaddy.comQueryName>
				<QueryName condition="end with">amazontrust.comQueryName>
				<QueryName condition="is">ocsp.sectigo.comQueryName>
				<QueryName condition="is">pki-goog.l.google.comQueryName>
				<QueryName condition="end with">.usertrust.comQueryName>
				<QueryName condition="is">ocsp.comodoca.comQueryName>
				<QueryName condition="is">ocsp.verisign.comQueryName>
				<QueryName condition="is">ocsp.entrust.netQueryName>
				<QueryName condition="end with">ocsp.identrust.comQueryName>
				<QueryName condition="is">status.rapidssl.comQueryName>
				<QueryName condition="is">status.thawte.comQueryName>
				<QueryName condition="is">ocsp.int-x3.letsencrypt.orgQueryName>
			DnsQuery>
		RuleGroup>
	
		
			
			
	
		EventFiltering>
		Sysmon>
  • 全部事件收集
    <Sysmon schemaversion="4.21">

<HashAlgorithms>*HashAlgorithms>
<CheckRevocation/>
<EventFiltering >
<RuleGroup name="" groupRelation="or"> 
    <ProcessCreate onmatch="exclude">ProcessCreate>
    <FileCreateTime onmatch="exclude">FileCreateTime>
    <NetworkConnect onmatch="exclude">NetworkConnect>
    <ProcessTerminate onmatch="exclude">ProcessTerminate>
    <DriverLoad onmatch="exclude">DriverLoad>
    <ImageLoad onmatch="exclude">ImageLoad>
    <CreateRemoteThread onmatch="exclude">CreateRemoteThread>
    <RawAccessRead onmatch="exclude">RawAccessRead>
    <ProcessAccess onmatch="exclude">ProcessAccess>
    <FileCreate onmatch="exclude">FileCreate>
    <RegistryEvent onmatch="exclude">RegistryEvent>
    <FileCreateStreamHash onmatch="exclude">FileCreateStreamHash>
    <PipeEvent onmatch="exclude">PipeEvent>
    <DnsQuery onmatch="exclude">DnsQuery>
RuleGroup>
EventFiltering>
```

你可能感兴趣的:(安全)

  • 在 Linux 上保护 SSH 服务器连接的15种措施 Persus 1024程序员节linux服务器ssh运维
    在Linux上保护SSH服务器连接的15种措施SSH(SecureShell)是一种广泛使用的协议,用于安全地访问Linux服务器。尽管SSH提供了一定的安全性,但不安全的默认配置可能会导致各种安全风险,特别是在开放的环境中。为了保护SSH服务器,以下是几种有效的安全措施。1.禁用Root用户登录禁用root用户的SSH访问是增强安全性的基本步骤。攻击者通常会首先尝试破解root密码,因此创建一个
  • 智能安全策略-DPL 人生的方向随自己而走 2025随笔服务器运维
    一、华三防火墙-接口的概念。1、接口。1.什么是接口?接口就像是防火墙的“门”,用来连接不同的网络设备,比如电脑、路由器、服务器等。通过这些“门”,数据(比如网页、视频、文件)才能进出防火墙。2.接口的类型华三防火墙有几种常见的接口类型:(1)物理接口这些是防火墙设备上实实在在的插孔,比如网线插口(以太网接口)。就像插座一样,网线插进去后,防火墙就能和其他设备连接。以太网接口(Ethernet):
  • 【加密算法】简单区分HS、RSA、ES 和 ED,与对应go实现案例 {⌐■_■} golangjava前端后端开发语言服务器
    HS、RSA、ES、ED四种签名算法:一、算法对比属性HSRSAESED加密类型对称加密非对称加密非对称加密非对称加密密钥长度任意长度私钥:2048+位私钥:256+位私钥:256位(Ed25519)签名效率高较低高高验证效率高较低高高安全性中高高高密钥分离不支持支持支持支持典型场景内部系统通信安全性要求高的场景移动设备和IoT场景安全敏感的高效场景二、构建过程1.HS(HMAC-SHA)密钥生成
  • 浏览器同源策略:从“源”到安全限制的全面解析 WebGISer_白茶乌龙桃 安全前端vue.jsjavascript
    一、什么是“源”(Origin)?在浏览器中,“源”是Web安全的核心概念。一个“源”由三部分组成:协议(Protocol):如http://、https://、ftp://域名(Host):如www.example.com端口(Port):如:80(HTTP默认)、:443(HTTPS默认)示例:https://www.example.com:443和https://www.example.co
  • PDF转换成word zhou_388 pdfwordpythonc语言c++phpjava
    #-*-coding:utf-8-*-#指定文件编码格式,支持中文#导入需要的标准库importos#操作系统接口模块,用于文件路径处理importthreading#多线程支持模块fromqueueimportQueue#线程安全队列,用于任务管理fromtkinterimportTk#GUI基础库fromtkinter.filedialogimportaskopenfilenames#文件选择
  • Github 2024-08-18 php开源项目日报 Top10 老孙正经胡说 githubphp开源Github趋势分析开源项目PythonGolang
    根据GithubTrendings的统计,今日(2024-08-18统计)共有10个项目上榜。根据开发语言中项目的数量,汇总情况如下:开发语言项目数量PHP项目10Shell项目1Blade项目1JavaScript项目1SecLists-安全测试人员的伴侣创建周期:4375天开发语言:PHP协议类型:MITLicenseStar数量:52010个Fork数量:23569次关注人数:52010人贡
  • python3.7.4怎么安装pycryptodome_python3.6 安装第三方库 pyCryptodome 实现AES加密 weixin_39799646
    起因前端日子写完的Python入库脚本,通过直接读取配置文件的内容(包含了数据库的ip,数据库的用户名,数据库的密码),因为配置文件中的数据库密码是明文显示的,所以不太安全,由此对其进行加密。编码之路编程环境Python3.6第三方库–pyCryptodome第三方库的介绍及下载1.在之前的AES加密中,python2或者3.4采用的是pyCyrpto这个模块,但是昨天废了好大劲去安装它都是失败,
  • 物联网的应用——智能家居篇 L5678Ling 物联网智能家居人工智能
    智能家居在物联网的应用主要体现在多个方面,这些应用不仅提升了家居生活的便利性和舒适度,还增强了家居的安全性和节能环保性。以下是智能家居在物联网中应用的详细分析:远程操控:用户可以通过手机APP、语音助手等方式,实现对家中各种智能设备的远程操控。例如,用户可以远程打开或关闭家中的灯光、空调、窗帘等设备,无需亲自到场操作。物联网技术使得这种远程操控变得实时、高效,极大地提升了家居生活的便捷性。一键场景
  • 告别数据泄露,美创科技数据库防水坝助力数据安全 科技热点快讯 安全
    数据安全建设中,“人”是最关键的因素,但也是最薄弱的环节和漏洞。近年来,“内鬼式数据泄露”、“数据库恶意篡改”、“删库跑路“等事件屡见不鲜,严峻程度逐年升高。Verizon《2021年数据泄露调查报告》统计,当前,85%的数据泄露事件都与人为因素有关。企业多年倾心竭力打造的“坚固堡垒”,正因为安全意识薄弱、内部默认可信任机制、数据安全措施落实不到位等“沉疴”,越来越像一枚“硬壳软糖”!内部数据安全
  • Java基础入门-Day1 weixin_45795542 JAVAJAVA基础入门-Day1
    Java基础入门-Day1JAVA开发入门特点分类Java字节执行方式JDK的使用Java垃圾回收机制Java编译JAVA开发入门Java是一种高级计算机语言。他是由Sun公司(已被Oracle公司于2009年4月20日收购)于1995年5月推出的一种可以编写跨平台应用软件丶完全面向对象的程序设计语言。特点资源免费跨平台健壮,安全高性能简单面向对象动态性多线程分类Java针对不同的开发市场,Sun
  • Linux 上 MySQL 8.0 的备份与恢复实战指南 云水一方 mysqllinux大数据数据仓库运维数据库
    在数据库运维过程中,备份与恢复是保障数据安全的重要手段。MySQL8.0在Linux环境中提供了多种备份和恢复方案,包括逻辑备份和物理备份。本文将介绍这些备份方式的操作步骤与逻辑实现,帮助您高效管理数据库。一、备份与恢复的作用和意义数据安全:防止因误操作、硬件故障或恶意攻击导致的数据丢失。容灾恢复:在灾难发生后快速恢复业务功能,减少停机时间。数据迁移:支持数据库迁移至新环境或硬件。二、备份方式概览
  • java 字节文件类型_Java根据字节数据判断文件类型 weixin_39795284 java字节文件类型
    通常,在WEB系统中,上传文件时都需要做文件的类型校验,大致有如下几种方法:1.通过后缀名,如exe,jpg,bmp,rar,zip等等。2.通过读取文件,获取文件的Content-type来判断。3.通过读取文件流,根据文件流中特定的一些字节标识来区分不同类型的文件。4.若是图片,则通过缩放来判断,可以缩放的为图片,不可以的则不是。然而,在安全性较高的业务场景中,1,2两种方法的校验会被轻易绕过
  • Debezium Configuration 设计文档 DataLu Debezium设计Debezium数据库debezium数据变更数据迁移
    DebeziumConfiguration设计文档1.核心设计理念1.1不可变配置配置对象一旦创建就不能修改所有修改操作都会返回新的配置对象通过不可变性保证线程安全使用@Immutable注解标记1.2组件化设计Configuration接口:定义配置的核心APIField类:描述配置字段的元数据和验证规则CommonConnectorConfig:所有连接器共享的基础配置EmbeddedConf
  • 2025年:网络安全犯罪活动发展新趋势 网安加社区 网络安全网络风险网络犯罪
    2024年,网络空间经历了一场前所未有的动荡,威胁行为者的活动频繁且多变,这一系列事件为2025年的网络安全形势蒙上了一层阴影,预示着挑战依旧严峻。为了深入了解并有效应对勒索软件及其他网络犯罪活动的新趋势,我们与业界领先的安全专家进行了交流探讨,以期帮助企业组织全面认知可能面临的风险,并据此制定出切实有效的防御策略。勒索软件生态系统的持续扩张勒索软件生态系统正以前所未有的速度发展,不断适应并规避防
  • 2025年企业网络安全:风险预测与应对策略 网安加社区 网络安全网络风险企业安全
    据预测,到2025年,网络犯罪可能给全球经济带来每年高达10.5万亿美元的损失。这一个惊人的数字,为各行各业敲响了警钟。随着网络威胁日益复杂多变,企业要保持领先地位,就必须时刻保持警惕,勇于创新,采取积极主动的防御策略。那么,2025年的企业网络安全领域将面临哪些挑战?企业又该如何做好准备?接下来,我们一同深入探讨企业网络安全的发展趋势与应对策略。2025年企业网络安全风险如今,企业的网络安全已不
  • 【Docker】搭建 Docker 私有化仓库 cangloe dockerdocker容器运维
    搭建Docker私有化仓库是一个非常重要的实践,它能够帮助你安全地存储和管理Docker镜像,而无需将其发布到公共DockerHub。通过使用私有化仓库,你可以:提高安全性:镜像存储在受控的环境中。提升效率:在公司网络内传输镜像,速度更快。实现自动化:配合CI/CD系统实现自动镜像管理。本文将详细介绍如何在不同环境下搭建Docker私有化仓库,并提供配置和优化建议。一、Docker私有化仓库的基本
  • Java 阻塞队列(BlockingQueue)实战与原理详解 吴冰_hogan jucjava网络协议网络
    引言在多线程编程中,BlockingQueue是一种非常有用的同步工具,它不仅提供了线程安全的队列访问方式,还能够自动处理生产者和消费者之间的阻塞行为。本文将基于提供的文档内容,深入探讨BlockingQueue的工作原理及其在实际应用中的使用方法,并详细介绍几种常见的BlockingQueue实现。一、阻塞队列基础1.1定义与特性BlockingQueue是一个接口,定义了支持阻塞插入和移除操作
  • 使用Docker和Nginx轻松配置Let's Encrypt免费SSL证书 侯深业Dorian
    使用Docker和Nginx轻松配置Let'sEncrypt免费SSL证书去发现同类优质开源项目:https://gitcode.com/在数字化的今天,网站的安全性已成为每个在线业务的基础。Let'sEncrypt提供了免费的SSL证书,使得网站能够启用HTTPS,确保数据传输的安全。这篇项目文章将引导你通过Docker和Nginx,轻松实现Let'sEncryptSSL证书的自动配置。1、项目
  • 网络安全攻防实战:从基础防护到高级对抗 一ge科研小菜鸡 运维网络
    个人主页:一ge科研小菜鸡-CSDN博客期待您的关注引言在信息化时代,网络安全已经成为企业、政府和个人必须重视的问题。从数据泄露到勒索软件攻击,每一次安全漏洞都可能造成巨大的经济损失和隐私风险。本教程将通过详细的案例、代码示例和实用工具,帮助读者从基础安全防护到高级安全对抗,系统掌握网络安全攻防的核心技术。1.常见网络攻击方式与防御措施1.1SQL注入攻击攻击者在输入字段中插入恶意SQL代码,绕过
  • 谈谈信息安全治理模型 SOA开发者 安全web安全网络
    当我们学习ISO/SAE21434标准的时候,会看到网络安全治理(Cybersecuritygovernment)和网络安全管理(Cybersecuritymanagement)两个概念。然而该标准中并没有给出安全治理和安全管理的十分清晰的定义和描述。即使在安全社区内,似乎也是讲安全管理的多,讲安全治理的少。那到底两个概念是什么?两者的区别和联系又是什么呢?笔者通过调研发现安全治理、安全管理和安全
  • 如何安全发布 CompletableFuture ?Java9新增方法分析 java
    如何安全发布CompletableFuture?Java9新增方法分析本文未经允许禁止转载。JDK9中对于CompletableFuture做了新的增强,除了超时功能(orTimeout),还有面向继承、安全发布等相关方法。本文中,我们将详细分析各个新增方法,同时说明其安全发布的重要性,最后提出相关的实践原则。1.newIncompleteFuturepublicCompletableFuture
  • 谈谈SOA面向服务体系架构的安全问题 axnjynnq782831
    谈谈SOA面向服务体系架构的安全问题本文我们讨论的是面向服务体系架构(SOA)的安全应用。在展开讨论之前,首先让我们来解析面向服务体系架构的实际含义。面向服务体系架构是一种涉及若干以服务为导向的应用软件的体系架构。最初面向服务体系架构中的服务与一系列技术相关,包括SOAP,WSDL和UDDI。不过许多研发人员对REST(表象化状态转变,简称REST)服务显示出更大的兴趣,由此REST成为面向服务体
  • 企业级SOA的信息安全保证 Juishl soa网络xml加密security通讯
    毋庸讳言,“安全”是当前信息技术应用领域热门话题之一,无论是操作系统,还是应用软件,安全总是作为一项重要考量,特别是在商业应用领域,信息安全是业务运作的基本要求之一。企业级SOA在提供价值链上企业之间信息共享和业务流程自动化的同时,也对信息安全提出新的挑战。基于企业级SOA更加容易实现跨越企业边界的业务系统自动化和信息共享,开放的数据访问和网络服务调用给商业运作带来便利,同时也更加容易受到攻击,如
  • 5个实用的IP地址查询网站 ivwdcwso 运维tcp/ip网络协议网络
    在当今互联网时代,了解自己或他人的IP地址及相关信息变得越来越重要。无论是网络故障排查、安全分析,还是地理位置服务,IP地址信息都扮演着关键角色。本文将为您介绍5个实用的IP地址查询网站,帮助您快速获取所需的网络信息。1.ipinfo.ioipinfo.io是一个功能强大的IP地址信息查询平台。它提供以下特点:全面的IP信息:包括地理位置、ISP(互联网服务提供商)、ASN(自治系统号)等。灵活的
  • 关于断网事件的海底光缆脆弱性问题探讨 purpleforest 网络安全网络工作数据备份verizon电信互联网
    本文发表于《信息网络安全》2007.2,欢迎转载,请注明作者和期刊名。关于断网事件的海底光缆脆弱性问题探讨张鉴国家信息中心网络安全部一、引言2006年12月26日晚27日凌晨,在距中国台湾南部约15公里的海域处,连续发生两次7级左右的强烈地震。铺设在该区域附近的中美海缆、亚太1号海缆、亚太2号海缆、FLAG海缆、亚欧海缆、FNAL海缆等多条国际海底通信光缆,在强烈地震下发生断裂。此次海缆断裂中,中
  • 网页中间件安全加固 jasonwgz 中间件安全tomcat
    一、APACHEWEB服务器软件,apache的程序名是httpd,服务的控制:systemctlstart/stop/statushttpdApache是一个静态网站程序,不能直接支持动态页面;若要支持动态页面,则需要整合其它程序,如要支持PHP动态页面:yuminstallphp-fpmphp-commonphp-develphp-mysqlndphp-mbstringphp-mcrypt安装
  • Java Stream API中的状态性操作与陷阱 2501_90323865 javapython开发语言个人开发
    在Java编程中,StreamAPI为我们提供了一种高效且简洁的方式来处理集合数据。然而,在使用StreamAPI时,开发者常常会遇到状态性(stateful)操作和行为参数的问题。这些问题如果不加以注意,可能会导致代码的非确定性结果,甚至引发线程安全问题。本文将详细介绍状态性操作的原理、潜在问题以及如何避免这些问题,同时结合实例进行说明。一、状态性操作与无状态操作在StreamAPI中,操作可以
  • 「译」2024 年的 5 个 JavaScript 安全最佳实践 泯泷 浏览器前端安全javascript安全开发语言
    链接:https://thenewstack.io/5-javascript-security-best-practices-for-2024/作者:AlexanderT.Williams原标题:5JavaScriptSecurityBestPracticesfor2024网络安全已成为一个瞬息万变的战场,JavaScript应用程序的安全性也不例外。Web应用程序已成为黑客试图获取敏感数据和财务
  • JAVA面试题目整理 qq~374327792 javajava
    JAVA基础JAVA中的几种基本数据类型是什么,各自占用多少字节。String类能被继承吗,为什么。String,Stringbuffer,StringBuilder的区别。ArrayList和LinkedList有什么区别。讲讲类的实例化顺序,比如父类静态数据,构造函数,字段,子类静态数据,构造函数,字段,当new的时候,他们的执行顺序。用过哪些Map类,都有什么区别,HashMap是线程安全的
  • 18、智能驾驶芯片外部接口要求 OEM的牛马DRE 智能驾驶控制器硬件介绍人工智能
    针对提出的关于产品关键芯片及硬件安全模块的技术保障要求:(1)产品的关键芯片应采取安全访问控制技术保障芯片的对外接口安全,保障系统不被非授权的进入为保障芯片的对外接口安全,防止系统被非授权进入,可以采取以下安全访问控制技术:访问控制保护:通过限制对芯片的访问权限来保护芯片的安全性。一种常见的访问控制方法是使用存储在芯片内部的安全密钥或密码来限制对芯片的访问。只有具有正确密钥或密码的用户才能访问芯片
  • SQL的各种连接查询 xieke90 UNION ALLUNION外连接内连接JOIN
    一、内连接   概念:内连接就是使用比较运算符根据每个表共有的列的值匹配两个表中的行。                 内连接(join 或者inner join )       SQL语法:       select * fron
  • java编程思想--复用类 百合不是茶 java继承代理组合final类
          复用类看着标题都不知道是什么,再加上java编程思想翻译的比价难懂,所以知道现在才看这本软件界的奇书   一:组合语法:就是将对象的引用放到新类中即可     代码:     package com.wj.reuse; /** * * @author Administrator 组
  • [开源与生态系统]国产CPU的生态系统 comsci cpu
          计算机要从娃娃抓起...而孩子最喜欢玩游戏....       要让国产CPU在国内市场形成自己的生态系统和产业链,国家和企业就不能够忘记游戏这个非常关键的环节....       投入一些资金和资源,人力和政策,让游
  • JVM内存区域划分Eden Space、Survivor Space、Tenured Gen,Perm Gen解释 商人shang jvm内存
    jvm区域总体分两类,heap区和非heap区。heap区又分:Eden Space(伊甸园)、Survivor Space(幸存者区)、Tenured Gen(老年代-养老区)。 非heap区又分:Code Cache(代码缓存区)、Perm Gen(永久代)、Jvm Stack(java虚拟机栈)、Local Method Statck(本地方法栈)。 HotSpot虚拟机GC算法采用分代收
  • 页面上调用 QQ oloz qq
    <A href="tencent://message/?uin=707321921&amp;Site=有事Q我&amp;Menu=yes">   <img style="border:0px;" src=http://wpa.qq.com/pa?p=1:707321921:1></a>
  • 一些问题 文强chu 问题
    1.eclipse 导出 doc  出现“The Javadoc command does not exist.” javadoc command 选择 jdk/bin/javadoc.exe 2.tomcate 配置 web 项目 ..... SQL:3.mysql  * 必须得放前面 否则  select&nbs
  • 生活没有安全感 小桔子 生活孤独安全感
           圈子好小,身边朋友没几个,交心的更是少之又少。在深圳,除了男朋友,没几个亲密的人。不知不觉男朋友成了唯一的依靠,毫不夸张的说,业余生活的全部。现在感情好,也很幸福的。但是说不准难免人心会变嘛,不发生什么大家都乐融融,发生什么很难处理。我想说如果不幸被分手(无论原因如何),生活难免变化很大,在深圳,我没交心的朋友。明
  • php 基础语法 aichenglong php 基本语法
    1 .1 php变量必须以$开头 <?php $a=” b”; echo ?> 1 .2 php基本数据库类型 Integer  float/double Boolean string 1 .3 复合数据类型 数组array和对象 object 1 .4 特殊数据类型  null 资源类型(resource)    $co
  • mybatis tools 配置详解 AILIKES mybatis
    MyBatis Generator中文文档 MyBatis Generator中文文档地址: http://generator.sturgeon.mopaas.com/ 该中文文档由于尽可能和原文内容一致,所以有些地方如果不熟悉,看中文版的文档的也会有一定的障碍,所以本章根据该中文文档以及实际应用,使用通俗的语言来讲解详细的配置。 本文使用Markdown进行编辑,但是博客显示效
  • 继承与多态的探讨 百合不是茶 JAVA面向对象 继承 对象
    继承 extends   多态 继承是面向对象最经常使用的特征之一:继承语法是通过继承发、基类的域和方法 //继承就是从现有的类中生成一个新的类,这个新类拥有现有类的所有extends是使用继承的关键字:     在A类中定义属性和方法; class A{ //定义属性 int age; //定义方法 public void go
  • JS的undefined与null的实例 bijian1013 JavaScriptJavaScript
    <form name="theform" id="theform"> </form> <script language="javascript"> var a alert(typeof(b)); //这里提示undefined if(theform.datas
  • TDD实践(一) bijian1013 java敏捷TDD
    一.TDD概述         TDD:测试驱动开发,它的基本思想就是在开发功能代码之前,先编写测试代码。也就是说在明确要开发某个功能后,首先思考如何对这个功能进行测试,并完成测试代码的编写,然后编写相关的代码满足这些测试用例。然后循环进行添加其他功能,直到完全部功能的开发。     
  • [Maven学习笔记十]Maven Profile与资源文件过滤器 bit1129 maven
    什么是Maven Profile Maven Profile的含义是针对编译打包环境和编译打包目的配置定制,可以在不同的环境上选择相应的配置,例如DB信息,可以根据是为开发环境编译打包,还是为生产环境编译打包,动态的选择正确的DB配置信息   Profile的激活机制 1.Profile可以手工激活,比如在Intellij Idea的Maven Project视图中可以选择一个P
  • 【Hive八】Hive用户自定义生成表函数(UDTF) bit1129 hive
    1. 什么是UDTF   UDTF,是User Defined Table-Generating Functions,一眼看上去,貌似是用户自定义生成表函数,这个生成表不应该理解为生成了一个HQL Table, 貌似更应该理解为生成了类似关系表的二维行数据集   2. 如何实现UDTF 继承org.apache.hadoop.hive.ql.udf.generic
  • tfs restful api 加auth 2.0认计 ronin47
      目前思考如何给tfs的ngx-tfs api增加安全性。有如下两点:   一是基于客户端的ip设置。这个比较容易实现。   二是基于OAuth2.0认证,这个需要lua,实现起来相对于一来说,有些难度。   现在重点介绍第二种方法实现思路。    前言:我们使用Nginx的Lua中间件建立了OAuth2认证和授权层。如果你也有此打算,阅读下面的文档,实现自动化并获得收益。SeatGe
  • jdk环境变量配置 byalias javajdk
    进行java开发,首先要安装jdk,安装了jdk后还要进行环境变量配置: 1、下载jdk(http://java.sun.com/javase/downloads/index.jsp),我下载的版本是:jdk-7u79-windows-x64.exe 2、安装jdk-7u79-windows-x64.exe 3、配置环境变量:右击"计算机"-->&quo
  • 《代码大全》表驱动法-Table Driven Approach-2 bylijinnan java
    package com.ljn.base; import java.io.BufferedReader; import java.io.FileInputStream; import java.io.InputStreamReader; import java.util.ArrayList; import java.util.Collections; import java.uti
  • SQL 数值四舍五入 小数点后保留2位 chicony 四舍五入
    1.round() 函数是四舍五入用,第一个参数是我们要被操作的数据,第二个参数是设置我们四舍五入之后小数点后显示几位。 2.numeric 函数的2个参数,第一个表示数据长度,第二个参数表示小数点后位数。 例如:   select   cast(round(12.5,2)   as   numeric(5,2))  
  • c++运算符重载 CrazyMizzz C++
    一、加+,减-,乘*,除/ 的运算符重载 Rational operator*(const Rational &x) const{ return Rational(x.a * this->a); } 在这里只写乘法的,加减除的写法类似 二、<<输出,>>输入的运算符重载      &nb
  • hive DDL语法汇总 daizj hive修改列DDL修改表
    hive DDL语法汇总 1、对表重命名 hive> ALTER TABLE table_name RENAME TO new_table_name;   2、修改表备注 hive> ALTER TABLE table_name SET TBLPROPERTIES ('comment' = new_comm
  • jbox使用说明 dcj3sjt126com Web
    参考网址:http://www.kudystudio.com/jbox/jbox-demo.html jBox v2.3 beta [ 点击下载]  技术交流QQGroup:172543951 100521167 [2011-11-11] jBox v2.3 正式版 - [调整&修复] IE6下有iframe或页面有active、applet控件
  • UISegmentedControl 开发笔记 dcj3sjt126com
      //    typedef NS_ENUM(NSInteger, UISegmentedControlStyle) {     //        UISegmentedControlStylePlain,     // large plain   &
  • Slick生成表映射文件 ekian scala
    Scala添加SLICK进行数据库操作,需在sbt文件上添加slick-codegen包 "com.typesafe.slick" %% "slick-codegen" % slickVersion 因为我是连接SQL Server数据库,还需添加slick-extensions,jtds包 "com.typesa
  • ES-TEST gengzg test
    package com.MarkNum; import java.io.IOException; import java.util.Date; import java.util.HashMap; import java.util.Map; import javax.servlet.ServletException; import javax.servlet.annotation
  • 为何外键不再推荐使用 hugh.wang mysqlDB
    表的关联,是一种逻辑关系,并不需要进行物理上的“硬关联”,而且你所期望的关联,其实只是其数据上存在一定的联系而已,而这种联系实际上是在设计之初就定义好的固有逻辑。 在业务代码中实现的时候,只要按照设计之初的这种固有关联逻辑来处理数据即可,并不需要在数据库层面进行“硬关联”,因为在数据库层面通过使用外键的方式进行“硬关联”,会带来很多额外的资源消耗来进行一致性和完整性校验,即使很多时候我们并不
  • 领域驱动设计 julyflame VODAO设计模式DTOpo
    概念: VO(View Object):视图对象,用于展示层,它的作用是把某个指定页面(或组件)的所有数据封装起来。 DTO(Data Transfer Object):数据传输对象,这个概念来源于J2EE的设计模式,原来的目的是为了EJB的分布式应用提供粗粒度的数据实体,以减少分布式调用的次数,从而提高分布式调用的性能和降低网络负载,但在这里,我泛指用于展示层与服务层之间的数据传输对
  • 单例设计模式 hm4123660 javaSingleton单例设计模式懒汉式饿汉式
           单例模式是一种常用的软件设计模式。在它的核心结构中只包含一个被称为单例类的特殊类。通过单例模式可以保证系统中一个类只有一个实例而且该实例易于外界访问,从而方便对实例个数的控制并节约系统源。如果希望在系统中某个类的对象只能存在一个,单例模式是最好的解决方案。      &nb
  • logback zhb8015 loglogback
    一、logback的介绍      Logback是由log4j创始人设计的又一个开源日志组件。logback当前分成三个模块:logback-core,logback- classic和logback-access。logback-core是其它两个模块的基础模块。logback-classic是log4j的一个 改良版本。此外logback-class
  • 整合Kafka到Spark Streaming——代码示例和挑战 Stark_Summer sparkstormzookeeperPARALLELISMprocessing
    作者Michael G. Noll是瑞士的一位工程师和研究员,效力于Verisign,是Verisign实验室的大规模数据分析基础设施(基础Hadoop)的技术主管。本文,Michael详细的演示了如何将Kafka整合到Spark Streaming中。 期间, Michael还提到了将Kafka整合到 Spark Streaming中的一些现状,非常值得阅读,虽然有一些信息在Spark 1.2版
  • spring-master-slave-commondao 王新春 DAOspringdataSourceslavemaster
    互联网的web项目,都有个特点:请求的并发量高,其中请求最耗时的db操作,又是系统优化的重中之重。 为此,往往搭建 db的 一主多从库的 数据库架构。作为web的DAO层,要保证针对主库进行写操作,对多个从库进行读操作。当然在一些请求中,为了避免主从复制的延迟导致的数据不一致性,部分的读操作也要到主库上。(这种需求一般通过业务垂直分开,比如下单业务的代码所部署的机器,读去应该也要从主库读取数
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他