コンテンツにスキップ

Red Cloak Endpoint Agent 技術詳細🔗

このトピックでは、Red Cloak™ Endpoint Agent および脅威特定の目的で収集される情報の種類について説明します。

Red Cloak Endpoint Agent は、個別の機能や特徴を提供する複数のモジュールで構成されています。あらゆるソフトウェアと同様に、すべてのシステム構成をテストすることは不可能なため、展開前にお客様の環境内で複数のイメージにインストールおよびテストすることを推奨します。

エージェント概要🔗

Windows エージェントモジュール🔗

すべてのモジュールは現在、Windows 用の Red Cloak Endpoint Agent で利用可能です。各モジュールの詳細は モジュール概要 セクションをご覧ください。

Linux エージェントモジュール🔗

以下のモジュールは、Linux 用の Red Cloak Endpoint Agent で現在利用可能です。各モジュールをクリックすると、該当するモジュールの詳細に移動します。

システムリソース🔗

  • エージェントは通常、低いCPU優先度で動作します。
  • エージェントは1日あたり5MB未満のネットワーク帯域幅を消費します。
  • エージェントは平均して100MB未満のRAMを消費し、動作上限は600MBです。
  • エージェントはデフォルトで300MBのディスク容量に制限されています。
    • これはまれにしか発生せず、ほとんどの場合はホストがチェックインできないことが原因です。この場合、古いデータは新しいデータで上書きされます。

ディスク使用量の上限は設定で変更可能ですが、デフォルト設定のままにすることを推奨します。また、ビルドプロセスの一部として、または製品サポートと連携してホストコマンドを使用して特定のモジュールを無効化することも可能ですが、最高レベルの可視性と検出能力を提供するため、すべてのモジュールを有効にしておくことをSecureworksは推奨します。

ネットワーク接続🔗

Red Cloak Endpoint Agent は、TLS v1.2および強力な暗号スイートを使用してポート443経由でクラスタと通信します。デフォルトでは、エージェントは20分ごとにチェックインし、10分間接続を維持します。SSL/TLSの既知の脆弱性は、Red Cloak Endpoint Agent には該当しないか、以下の方法で緩和されています。

  • 暗号スイートの再ネゴシエーション — Red Cloak Endpoint Agent は安全な再ネゴシエーションのみをサポートし、強力な暗号スイートを使用します。
  • SSLバージョンダウングレード — SSLv2(DROWN)およびSSLv3(POODLE)はサポートされておらず、ダウングレードはできません。
  • 弱い暗号スイート(例:FREAK攻撃、RC4)— サポートされておらず、ダウングレードはできません。
  • 圧縮に対する攻撃(CRIME、BREACH)— すべてのTLSバージョン(および他のプロトコル)に該当します。

オープンソースソフトウェア🔗

Red Cloak Endpoint Agent はオープンソースソフトウェアを利用しています。以下は使用されているオープンソースパッケージとダウンロード先の一覧です。

コンポーネント 参照
bzip2 http://www.bzip.org
curl http://curl.haxx.se/
libevent http://libevent.org/
libchromium https://www.chromium.org/Home
openssl https://www.openssl.org/source/
pefile https://github.com/erocarrera/pefile
protobuf https://developers.google.com/protocol-buffers/
pugixml https://pugixml.org/
python https://www.python.org
sqlcipher https://www.zetetic.net/sqlcipher/open-source/
sqlite https://www.sqlite.org/
modp_b64 https://doc.qt.io/qt-5/qtwebengine-3rdparty-modp-base64-decoder.html
gmock https://code.google.com/p/googlemock/
gtest https://code.google.com/p/googletest/
libcrypto.so https://wiki.openssl.org/index.php/Libcrypto_API
libssl.so https://www.openssl.org/source/
libstdc++.so https://gcc.gnu.org/onlinedocs/libstdc++/
libblkid.so https://github.com/karelzak/util-linux/tree/master/libblkid
zlib https://zlib.net/
libuuid https://github.com/karelzak/util-linux/tree/master/libuuid
libcom_err http://e2fsprogs.sourceforge.net/
libkrb5 http://web.mit.edu/kerberos/
libkeyutils http://people.redhat.com/~dhowells/keyutils
sqlite3 https://www.sqlite.org/
glibc https://www.gnu.org/software/libc/

モジュール概要🔗

AuthTap モジュール🔗

AuthTapモジュールは、ユーザーの認証およびホスト上での明示的な資格情報の使用に関連するすべてのイベントを取得するために設計されています。このモジュールは他のWindowsイベントも取得可能ですが、通常は特定のターゲット型脅威ハンティングの状況でのみ使用されます。さらに、このモジュールはシステムから過去のイベントも取得できるため、過去のWindowsイベントログデータの調査に役立ちます。

デフォルトでは、最新のエージェントバージョンのAuthTapモジュールは以下のWindowsイベントを取得します。

WID 説明
21 リモートデスクトップサービス:セッションのログオンに成功しました
22 リモートデスクトップサービス:シェル開始通知を受信しました
104 アプリケーションログファイルがクリアされました
106 このイベントは、ユーザーがタスクスケジューラのタスクを登録したときに記録されます
141 このイベントは、ユーザーがタスクスケジューラのタスクを削除したときに記録されます
1102 監査ログがクリアされました
1104 セキュリティログが満杯になりました
4624 アカウントのログオンに成功しました
4625 アカウントのログオンに失敗しました
4648 明示的な資格情報を使用してログオンが試行されました
4672 新しいログオンに特別な権限が割り当てられました
4720 ユーザーアカウントが作成されました
4722 ユーザーアカウントが有効化されました
4724 アカウントのパスワードリセットが試行されました
4725 ユーザーアカウントが無効化されました
4726 ユーザーアカウントが削除されました
4728 セキュリティ有効なグローバルグループにメンバーが追加されました
4732 セキュリティ有効なローカルグループにメンバーが追加されました
4735 セキュリティ有効なローカルグループが変更されました
4738 ユーザーアカウントが変更されました
4739 ドメインポリシーが変更されました
4740 ユーザーアカウントがロックアウトされました
4742 コンピューターアカウントが変更されました
4756 セキュリティ有効なユニバーサルグループにメンバーが追加されました
4768 Kerberos認証チケット(TGT)が要求されました(ドメインコントローラーで記録)
4769 Kerberosサービスチケットが要求されました
4770 Kerberosサービスチケットが更新されました
4771 Kerberos事前認証に失敗しました
4776 ドメインコントローラーがアカウントの資格情報の検証を試みました
4777 ドメインコントローラーがアカウントの資格情報の検証に失敗しました
4794 ディレクトリサービスリストアモード管理者パスワードの設定が試行されました

さらに、イベントから以下のデータフィールドが収集されます。

  • Subject User Name
  • Subject Domain Name
  • Subject Logon ID
  • Target User Name
  • Target Domain Name
  • Target Logon ID
  • Logon Type
  • Logon Process Name
  • Authentication Package Name
  • Privilege List
  • Sam Account Name
  • User Principle Name
  • Home Directory

Cyclorama モジュール🔗

Cycloramaモジュールは、スレッドインジェクションイベントの監視とインジェクションに関連する情報の収集を担当します。リモートスレッドインジェクションが発生した場合、Cycloramaは新しいスレッドの実行アドレスの先頭256バイトのデータを取得しようとします。ただし、イベントに最初の256バイトのデータが含まれていない場合や、最初の256バイトがnullの場合は、サーバー側でイベントが破棄されます。また、ターゲットプロセス名に lsass が含まれている場合は、インジェクション試行を記録するため、イベントは決して破棄されません。Cycloramaモジュールは以下の情報を収集します。

  • Source Process Create Time
  • Source Process ID
  • Source Process Name
  • Target Process Create Time
  • Target Process ID
  • Target Process Name
  • Thread ID
  • Thread Start Address
  • Thread Start Mapping Path
  • Thread Start Bytes

Entwine モジュール🔗

Entwineモジュールは、Windowsのイベントトレース(ETW)イベントを収集します。これにより、さまざまなプロバイダーやイベントトレース機能を持つアプリケーションから、Windowsオペレーティングシステム向けの豊富なデータが得られます。Entwineはこれらのイベントを収集し、JSON形式で Red Cloak Endpoint Agent に報告します。これにより、不審または不正な挙動の早期特定を可能にし、高度な脅威ハンティングを支援します。ETWの詳細は Microsoft Event Tracing Documentation をご覧ください。

このモジュールは現在DNSを監視しており、将来的には他のユーザーモードおよびカーネルモードETWプロバイダーの設定もサポート予定です。Entwineがサブスクライブするプロバイダーはconfig.binで定義されています。また、Entwineはプロバイダーごとにevent_idによるフィルタリングもサポートしており、DNS監視の詳細は以下のセクションで説明します。

対応プラットフォーム:EntwineはWindows 7以降を実行しているエンドポイントでのみ動作します。

ETW DNS監視🔗

DNSクエリエベント用ETWプロバイダー🔗

  • Microsoft-Windows-DNS-Client
  • {1C95126E-7EEA-49A9-A3FE-A378B03DDB4D}

対象イベント🔗

  • イベントID — 1015
  • イベントメッセージ — 名前 %1 の名前解決が、DNSサーバーが応答しなかったためタイムアウトしました。
  • イベント例 — 名前解決タイムアウト(1015)
    {
      "allowed_domain": [
        "62e1ad52"
      ],
      "chan_name": "Microsoft-Windows-DNS Client Events/Operational ",
      "color": "UNKNOWN",
      "event_data": [
        {
          "data": "client.wns.windows.com",
          "name": "QueryName"
        },
        {
          "data": "16",
          "name": "AddressLength"
        },
        {
          "data": "10.0.0.254:53",
          "name": "Address"
        }
      ],
      "event_id": 1015,
      "event_info": {
        "dns_query_name": "client.wns.windows.com"
      },
      "event_msg": "Name resolution for the name client.wns.windows.com timed out after the DNS server 10.0.0.254:53 did not respond. ",
      "id": {
        "host_id": "62e1ad528d83dae27f9d270b5517d985",
        "instance_id": "fed5fc2a-e56c-4252-a8f4-c852a1d07914"
      },
      "keyword": "0x8000000000000000",
      "level": 4,
      "pid": 1216,
      "provider_guid": "{1C95126E-7EEA-49A9-A3FE-A378B03DDB4D}",
      "provider_name": "Microsoft-Windows-DNS-Client",
      "task": 1015,
      "tid": 3248,
      "timestamp": "2018-10-18T15:31:22.331081"
     }
  • イベントID — 1016
    • イベントメッセージ — 名前 %1 に対して「名前が見つかりません」エラーが返されました。名前が正しいか確認してください。応答はサーバー %3 から送信されました。
    • イベント例 — 名前が見つからないエラー(1016)
    {
      "allowed_domain": [
        "62e1ad52"
      ],
      "chan_name": "Microsoft-Windows-DNS Client Events/Operational ",
      "color": "UNKNOWN",
      "event_data": [
        {
          "data": "wpad.test.net",
          "name": "QueryName"
        },
        {
          "data": "16",
          "name": "AddressLength"
        },
        {
          "data": "10.0.0.254:53",
          "name": "Address"
        }
      ],
      "event_id": 1016,
      "event_info": {
        "dns_query_name": "wpad.test.net"
      },
      "event_msg": "A name not found error was returned for the name wpad.test.net. Check to ensure that the name is correct. The response was sent by the server at 10.0.0.254:53. ",
      "id": {
        "host_id": "62e1ad528d83dae27f9d270b5517d985",
        "instance_id": "25368a70-ce64-4f5d-9699-9d771d3519e5"
      },
      "keyword": "0x8000000000000000",
      "level": 4,
      "pid": 1216,
      "provider_guid": "{1C95126E-7EEA-49A9-A3FE-A378B03DDB4D}",
      "provider_name": "Microsoft-Windows-DNS-Client",
      "task": 1016,
      "tid": 6560,
      "timestamp": "2018-10-18T14:43:23.524524"
    }
  • イベントID — 3018
    • イベントメッセージ — 名前 %1、タイプ %2、オプション %3 のキャッシュ検索は %4 を返し、結果は %5 でした
    • イベント例 — キャッシュ検索(3018)
    {
      "allowed_domain": [
        "62e1ad52"
      ],
      "chan_name": "Microsoft-Windows-DNS Client Events/Operational ",
      "color": "UNKNOWN",
      "event_data": [
        {
          "data": "v10.vortex-win.data.microsoft.com",
          "name": "QueryName"
        },
        {
          "data": "28",
          "name": "QueryType"
        },
        {
          "data": "2251800888107008",
          "name": "QueryOptions"
        },
        {
          "data": "9701",
          "name": "Status"
        },
        {
          "name": "QueryResults"
        }
      ],
      "event_id": 3018,
      "event_info": {
        "dns_query_name": "v10.vortex-win.data.microsoft.com",
        "dns_query_result": ""
      },
      "event_msg": "Cache lookup for name v10.vortex-win.data.microsoft.com, type 28 and option 2251800888107008 returned 9701 with results  ",
      "id": {
        "host_id": "62e1ad528d83dae27f9d270b5517d985",
        "instance_id": "9934e99c-66c6-4148-af94-0229facb9580"
      },
      "keyword": "0x8000000000000000",
      "level": 4,
      "pid": 1216,
      "provider_guid": "{1C95126E-7EEA-49A9-A3FE-A378B03DDB4D}",
      "provider_name": "Microsoft-Windows-DNS-Client",
      "tid": 3248,
      "timestamp": "2018-10-18T15:10:19.099102"
    }
  • イベントID — 3020
    • イベントメッセージ — 名前 %1、タイプ %2、インターフェースインデックス %3、ネットワークインデックス %4 のクエリ応答は %5 を返し、結果は %6 でした
    • イベント例 — クエリ応答(3020)
    {
      "allowed_domain": [
        "62e1ad52"
      ],
      "chan_name": "Microsoft-Windows-DNS Client Events/Operational ",
      "color": "UNKNOWN",
      "event_data": [
        {
          "data": "cluster.rcdaily.cloudops.ctudev.com",
          "name": "QueryName"
        },
        {
          "data": "1",
          "name": "QueryType"
        },
        {
          "data": "0",
          "name": "NetworkIndex"
        },
        {
          "data": "0",
          "name": "InterfaceIndex"
        },
        {
          "data": "0",
          "name": "Status"
        },
        {
          "data": "34.238.81.39;type:  2 ns-1883.awsdns-43.co.uk;type:  2 ns-139.awsdns-17.com;type:  2 ns-646.awsdns-16.net;type:  2 ns-1175.awsdns-18.org;205.251.192.139;2600:9000:5300:8b00::1;205.251.194.134;2600:9000:5302:8600::1;205.251.196.151;2600:9000:5304:9700::1;205.251.199.91;2600:9000:5307:5b00::1;",
          "name": "QueryResults"
        }
      ],
      "event_id": 3020,
      "event_info": {
        "dns_query_name": "cluster.rcdaily.cloudops.ctudev.com",
        "dns_query_result": "34.238.81.39;type:  2 ns-1883.awsdns-43.co.uk;type:  2 ns-139.awsdns-17.com;type:  2 ns-646.awsdns-16.net;type:  2 ns-1175.awsdns-18.org;205.251.192.139;2600:9000:5300:8b00::1;205.251.194.134;2600:9000:5302:8600::1;205.251.196.151;2600:9000:5304:9700::1;205.251.199.91;2600:9000:5307:5b00::1;"
      },
      "event_msg": "Query response for name cluster.rcdaily.cloudops.ctudev.com, type 1, interface index 0 and network index 0 returned 0 with results 34.238.81.39;type:  2 ns-1883.awsdns-43.co.uk;type:  2 ns-139.awsdns-17.com;type:  2 ns-646.awsdns-16.net;type:  2 ns-1175.awsdns-18.org;205.251.192.139;2600:9000:5300:8b00::1;205.251.194.134;2600:9000:5302:8600::1;205.251.196.151;2600:9000:5304:9700::1;205.251.199.91;2600:9000:5307:5b00::1; ",
      "id": {
        "host_id": "62e1ad528d83dae27f9d270b5517d985",
        "instance_id": "c5d19822-8854-494d-ad89-f3dc7bde1e29"
      },
      "keyword": "0x8000000000000000",
      "level": 4,
      "pid": 1216,
      "provider_guid": "{1C95126E-7EEA-49A9-A3FE-A378B03DDB4D}",
      "provider_name": "Microsoft-Windows-DNS-Client",
      "tid": 3248,
      "timestamp": "2018-10-18T15:34:58.885911"
    }

Groundling モジュール🔗

インストール時に、Groundlingモジュールはすべての永続化プログラムを取得し、永続化ロケーションの変更を監視します。永続化の変更が検出されると、エージェントは変更に関連する情報を収集し、Red Cloak Endpoint Agent クラスタにメッセージを送信します。Groundlingモジュールが収集する情報の種類は以下の通りです(リストはサイズの都合で一部省略しています)。

プログラム情報🔗

  • 作成日時
  • 最終アクセス日時
  • 最終更新日時
  • 計算されたMD5ハッシュ
  • ネイティブパス
  • パス
  • パスコンテキスト
  • 計算されたSHA1ハッシュ
  • 計算されたSHA256ハッシュ
  • サイズ
  • バージョンコメント
  • 会社名
  • ファイルの説明
  • ファイルバージョン
  • 内部名
  • 著作権
  • 元のファイル名
  • 製品名
  • 製品バージョン

シグネチャ情報🔗

  • シグネチャハッシュ
  • シグネチャ発行者名
  • シグネチャ詳細リンク
  • シグネチャプログラム名
  • シグネチャ発行元リンク
  • シグネチャシリアル番号
  • シグネチャサブジェクト名

レジストリ情報🔗

  • レジストリ値名
  • レジストリ値
  • 値(Dword)
  • キーパス
  • キールート
  • ユーザーレジストリSID

サービス情報🔗

  • 説明
  • 表示名
  • イメージパス
  • 名前
  • サービスDLL
  • サービスメイン
  • 開始タイプ
  • ステータス
  • 種類

スケジュールタスク情報🔗

  • スケジュールタスクファイル情報
  • 最終実行日時
  • 作業ディレクトリ
  • 有効
  • 次回実行日時
  • タスク名
  • その他

ショートカット情報🔗

  • 説明
  • ファイル情報
  • 作成日時
  • ファイル属性
  • ターゲットパス
  • ターゲットサイズ
  • その他

以下は永続化変更の監視対象ロケーションの例です。完全なリストは 付録 をご覧ください。

レジストリキー🔗

  • AppInit DLLs(例:HKLM\Software\MicrosoftWindows NT\CurrentVersion\Windows
  • Boot execute(例:HKLM\SYSTEM\CurrentControlSet\Control\Session
  • Codecs(例:HKCU\Software\MicrosoftWindows NT\CurrentVersion\Drivers32
  • Drivers(例:HKLM\SYSTEM\CurrentControlSet\Control
  • Explorer(例:HKCU\SOFTWARE\Classes\Protocols\Filter
  • Image hijacks(例:HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command
  • Internet Explorer(例:HKLM\Software\Wow6432Node\Microsoft\Internet
  • Known DLLs(例:HKLM\System\CurrentControlSet\Control\Session
  • Logon(例:HKLM\SOFTWARE\MicrosoftWindows NT\CurrentVersion\Winlogon\Userinit
  • LSA Providers(例:HKLM\SYSTEM\CurrentControlSet\Control\LsaSecurity Packages
  • Network providers(例:HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order
  • Print Monitors(例:HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
  • Services(例:HKLM\System\CurrentControlSet\Services
  • Winsock Providers(例:HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
  • Winlogon(例:HKLM\SYSTEM\Setup\CmdLine

プログラムロケーション🔗

  • サイドバーガジェット

スケジュールタスク🔗

  • タスクスケジューラAPIを使用してタスクを列挙します

設定🔗

Red Cloak Endpoint Agent は、GroundlingおよびInspector™モジュールが監視のためにプロファイルをロードするため、外部スクリプトによるWindowsドメインユーザープロファイルの削除を防止します。外部スクリプトでドメインユーザープロファイルを削除できるようにするには、製品サポートと連携して、GroundlingおよびInspector™のWindowsプロファイルロードパターンをホストコマンドで変更してください。Groundlingのデフォルト値は Always で、Always および Smart が推奨されます。

文字列 説明
groundling.profile_load Always Groundlingは起動時にすべてのプロファイルをロードし、決してアンロードしません
Smart Groundlingは起動時にすべてのプロファイルをロードし、初回スキャン後すぐにアンロードします(平均10~30分)
Never Groundlingは追加のユーザープロファイルをロードしないため、効果が低下します

注意

この設定は、両方のモジュールが有効な場合、inspector.profile_load値と連携して調整する必要があります。たとえば、各モジュールで Always/AlwaysSmart/SmartNever/Never の値を使用してください。Smart(Groundling)はNever(Inspector™)と組み合わせることも可能です。Inspector™のSmart値はWindowsプロファイルの問題を引き起こす可能性があるため推奨されません。

Hostel モジュール🔗

Red Cloak Endpoint Agent エージェントのHostelモジュールは、ホストの隔離を実行するソフトウェアです。エンドポイントをネットワーク通信(Secureworks® Taegis™ XDR への通信を除く)から隔離することで、感染したホストから健全なホストへの脅威の横展開を防止します。ホストが隔離され、脅威が除去された後は、再統合して完全なネットワークアクセスを回復できます。

隔離🔗

エンドポイントをネットワーク通信(Secureworksバックエンド自体への通信を除く)から隔離することで、感染したホストから健全なホストへの脅威の横展開を防止します。隔離されたホストの脅威が除去された後は、再統合して完全なネットワークアクセスを回復できます。エージェントのHostelモジュールが隔離タスクの実行を担当します。

エージェントは、再起動後も隔離状態を永続メモリに保持しません。常に隔離無効で再起動します。エージェントが最初にプラットフォームに接続した際、希望する隔離状態が指示されます。

  • 再起動またはモジュール再起動時、ホストは自動的に隔離OFFで起動します
  • プラットフォームに接続すると、現在の隔離状態を hostel heartbeat メッセージの一部としてプラットフォームに送信します。起動時、隔離ホストがサーバーからコマンドを受信し隔離を再度有効にするまでに短い遅延が発生する場合があります。
  • プラットフォームは受信した隔離ステータスと、このホストの最後に設定されたステータスを比較します。2つの状態が一致しない場合、希望する状態に合わせるために自動的に適切なコマンドを送信し、状態を一致させます。

隔離モジュールが有効かつ稼働中の場合、各エンドポイントのWindowsシステムトレイにアイコンが表示されます。

Red Cloak Endpoint Agent でホスト隔離を使用するための前提条件🔗

  • Hostelモジュールおよびホスト隔離は、Windows OS(バージョン7以上)のみサポートされています。
  • エージェントバージョン2.0.6.0以上でHostelモジュールをサポートします。
  • セーフリストに登録されたホストではホスト隔離を実行できません。
  • テナント管理者およびSecureworksアナリストがホスト隔離を実行できます。

ホスト隔離機能の詳細については、ホストの隔離 をご覧ください。

Ignition モジュール🔗

Ignitionモジュールはリモートエージェントアップグレードを実行するソフトウェアであり、Windowsエージェントバージョン2.1.4.0以降で利用可能です。

インストール後、エージェントはRed Cloak Endpoint Agent バックエンドサーバーにチェックインします。この時点で、そのエンドポイント固有のエージェント設定がサーバーにアップロードされ、ドメイン内のすべてのエンドポイントのエージェント設定がサーバーから可視化されます。リモートエージェントアップデートが利用可能になり、開始されると、Ignitionモジュールが必要なMSIインストーラーをダウンロードし、アップデートを実行し、設定をサーバーに報告します。

Inspector モジュール🔗

Inspector™モジュールは、マルウェア、不正なアーティファクト、または既知の挙動やパターンをホスト上で検出するために設計されたPythonベースのルールを実行します。このモジュールは定期スキャンとともに使用され、ホスト上の不正なアクティビティを定期的にスキャンします。デフォルトでは、定期スキャンは12時間ごとに実行されます。このモジュールで収集されるデータは、不正なアーティファクトを検出したルールによって異なりますが、他のモジュールで収集される内容と類似しています。

  • シグネチャ情報
  • ファイルパス
  • 計算されたMD5、SHA1、SHA256値
  • 作成日時
  • 最終更新日時
  • 最終アクセス日時
  • ファイルサイズ
  • 関連ファイルの詳細
  • その他

設定🔗

Red Cloak Endpoint Agent は、Inspector™およびGroundlingモジュールが監視のためにプロファイルをロードするため、外部スクリプトによるWindowsドメインユーザープロファイルの削除を防止します。外部スクリプトでドメインユーザープロファイルを削除できるようにするには、製品サポートと連携して、Inspector™およびGroundlingのWindowsプロファイルロードパターンをホストコマンドで変更してください。Inspector™のデフォルト値は Always で、Always および Never が推奨されます。

文字列 説明
inspector.profile_load Always Inspector™は起動時にすべてのプロファイルをロードし、決してアンロードしません
Smart Inspector™はスキャン(定期または通常)前にプロファイルをロードし、直後にアンロードします
Never Inspector™は追加のユーザープロファイルをロードしないため、効果が低下します

注意

この設定は、両方のモジュールが有効な場合、groundling.profile_load値と連携して調整する必要があります。たとえば、各モジュールで Always/AlwaysSmart/SmartNever/Never の値を使用してください。Smart(Groundling)はNever(Inspector™)と組み合わせることも可能です。Inspector™のSmart値はWindowsプロファイルの問題を引き起こす可能性があるため推奨されません。

Lacuna モジュール🔗

Lacunaモジュールは、インバウンドおよびアウトバウンドのネットワーク接続データ(TCPおよびUDPの両方)を取得する役割を担います。また、DNS解決およびクエリの取得も担当します。Lacunaモジュールが収集する情報は以下の通りです。

ネットワークデータ(IP)🔗

  • 宛先IP
  • 宛先ポート
  • プロセスID
  • 作成日時
  • 終了日時
  • ローカルIP
  • ローカルポート
  • プロトコル
  • 送信バイト数
  • 受信バイト数
  • 接続方向

ネットワークデータ(DNS)🔗

  • クエリ日時
  • プロセスID
  • クエリタイプ
  • クエリ名
  • RDATA

Mukluk モジュール🔗

Muklukモジュールは、Red Cloak Endpoint Agent のコアモジュールです。すべてのモジュールおよび設定の調整・管理を担当します。Muklukはすべての展開で必須であり、以下のタスクを処理します。

  • すべてのモジュールおよびコンポーネントのサービス、プログラム、設定のインストールおよび更新
  • Inspectorルールの管理
  • Red Cloak Endpoint Agent インフラストラクチャとの双方向通信の処理
  • Red Cloak Endpoint Agent モジュールの起動および停止の管理
  • ディスク使用量の管理
  • モジュールの有効化・無効化の管理
  • 製品サポートの特権ユーザーによるシステムレベルタスク実行を可能にするホストコマンドの処理
  • さらなる分析のためのファイル取得リクエストの処理

Procwall モジュール🔗

Procwallモジュールは、プロセス作成イベントの監視を担当します。Procwallモジュールが収集する情報は以下の通りです。

プロセス情報🔗

  • プロセス作成日時
  • プロセスID
  • 親プロセスID
  • 親プロセス作成日時
  • イメージパス
  • コマンドライン
  • ユーザー名

プログラム情報🔗

  • ファイルの説明
  • 会社名
  • 製品名
  • 製品バージョン
  • ファイルバージョン
  • コメント
  • 著作権
  • 内部名
  • 元のファイル名

シグネチャ情報🔗

  • シグネチャハッシュ
  • シグネチャプログラム名
  • シグネチャ発行元リンク
  • シグネチャ詳細リンク
  • シグネチャシリアル番号
  • シグネチャ発行者名
  • シグネチャサブジェクト名

付録🔗

Groundling 監視対象永続化ロケーション🔗

# カテゴリ サブカテゴリ ベース キー
1 APPINIT DLL APP CERT DLL HKLM System\CurrentControlSet\Control\Session Manager\AppCertDlls
2 APPINIT DLL APP INIT DLL HKLM Software\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
3 APPINIT DLL APP INIT DLL HKLM Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
4 BOOT EXECUTE BOOT EXECUTE HKLM System\CurrentControlSet\Control\Session Manager\BootExecute
5 BOOT EXECUTE EXECUTE HKLM System\CurrentControlSet\Control\Session Manager\Execute
6 BOOT EXECUTE S0 INITAL COMMAND HKLM System\CurrentControlSet\Control\Session Manager\S0InitialCommand
7 BOOT EXECUTE SERVICE CONTROL MANAGER EXTENSION HKLM System\CurrentControlSet\Control\ServiceControlManagerExtension
8 BOOT EXECUTE SETUP EXECUTE HKLM System\CurrentControlSet\Control\Session Manager\SetupExecute
9 CODEC CODEC INSTANCE HKCU HKLM Software\Classes\CLSID{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance*
10 CODEC CODEC INSTANCE HKCU HKLM Software\Classes\CLSID{7ED96837-96F0-4812-B211-F13C24117ED3}\Instance*
11 CODEC CODEC INSTANCE HKCU HKLM Software\Classes\CLSID{ABE3B9A4-257D-4B97-BD1A-294AF496222E}\Instance*
12 CODEC CODEC INSTANCE HKCU HKLM Software\Classes\CLSID{AC757296-3522-4E11-9862-C17BE5A1767E}\Instance*
13 CODEC CODEC INSTANCE HKCU HKLM Software\Wow6432Node\Classes\CLSID{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance*
14 CODEC CODEC INSTANCE HKCU HKLM Software\Wow6432Node\Classes\CLSID{7ED96837-96F0-4812-B211-F13C24117ED3}\Instance*
15 CODEC CODEC INSTANCE HKCU HKLM Software\Wow6432Node\Classes\CLSID{ABE3B9A4-257D-4B97-BD1A-294AF496222E}\Instance*
16 CODEC CODEC INSTANCE HKCU HKLM Software\Wow6432Node\Classes\CLSID{AC757296-3522-4E11-9862-C17BE5A1767E}\Instance*
17 CODEC DRIVER HKLM SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
18 CODEC DRIVER HKCU Software\Microsoft\Windows NT\CurrentVersion\Drivers32
19 CODEC DRIVER HKCU HKLM Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32
20 CODEC FILTER HKCU HKLM Software\Classes\Filter*
21 EXPLORER COLUMN HANDLER HKCU HKLM Software\Classes*\ShellEx\ColumnHandlers*
22 EXPLORER COLUMN HANDLER HKLM Software\Wow6432Node\Classes*\ShellEx\ColumnHandlers*
23 EXPLORER CONTEXT MENU HKCU HKLM Software\Classes*\ShellEx\ContextMenuHandlers*
24 EXPLORER CONTEXT MENU HKLM Software\Wow6432Node\Classes*\ShellEx\ContextMenuHandlers*
25 EXPLORER COPY HOOK HKCU HKLM Software\Classes*\ShellEx\CopyHookHandlers*
26 EXPLORER COPY HOOK HKLM Software\Wow6432Node\Classes*\ShellEx\CopyHookHandlers*
27 EXPLORER DRAG DROP HKCU HKLM Software\Classes*\ShellEx\DragDropHandlers*
28 EXPLORER DRAG DROP HKLM Software\Wow6432Node\Classes*\ShellEx\DragDropHandlers*
29 EXPLORER EXT SHELL FOLDER VIEW HKCU HKLM Software\Classes*\ShellEx\ExtShellFolderViews*
30 EXPLORER EXT SHELL FOLDER VIEW HKLM Software\Wow6432Node\Classes*\ShellEx\ExtShellFolderViews*
31 EXPLORER PROPERTY SHEET HKCU HKLM Software\Classes*\ShellEx\PropertySheetHandlers*
32 EXPLORER PROPERTY SHEET HKLM Software\Wow6432Node\Classes*\ShellEx\PropertySheetHandlers*
33 EXPLORER PROTOCOL FILTER HKCU HKLM Software\Classes\Protocols\Filter*\CLSID
34 EXPLORER PROTOCOL FILTER HKLM Software\Wow6432Node\Classes\Protocols\Filter*\CLSID
35 EXPLORER SHELL ICON OVERLAY HKCU HKLM Software\Classes*\ShellEx\ShellIconOverlayIdentifiers*
36 EXPLORER SHELL ICON OVERLAY HKLM Software\Wow6432Node\Classes*\ShellEx\ShellIconOverlayIdentifiers*
37 EXPLORER STARTMENUINTERNET HKCU HKLM Software\Clients\StartMenuInternet*\shell\open\command
38 EXPLORER STARTMENUINTERNET HKLM Software\Wow6432Node\Clients\StartMenuInternet*\shell\open\command
39 EXPLORER PROTOCOL HANDLER HKCU HKLM Software\Classes\Protocols\Handler*\CLSID
40 EXPLORER PROTOCOL HANDLER HKLM Software\Wow6432Node\Classes\Protocols\Handler*\CLSID
41 EXPLORER PROTOCOL HANDLER EXPLORER APPLICATION SHELL HKCU HKLM Software\Classes\Applications*\shell*
42 EXPLORER PROTOCOL HANDLER EXPLORER APPLICATION SHELL HKLM Software\Wow6432Node\Classes\Applications*\shell*
43 EXPLORER PROTOCOL HANDLER EXPLORER APPROVED SHELL EXTENSION HKCU HKLM Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved*
44 EXPLORER PROTOCOL HANDLER EXPLORER APPROVED SHELL EXTENSION HKLM Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved*
45 EXPLORER PROTOCOL HANDLER EXPLORER CTF LANGBARADDIN HKCU HKLM Software\Microsoft\Ctf\LangBarAddin*\Enable
46 EXPLORER PROTOCOL HANDLER EXPLORER DESKTOP COMPONENT HKCU SOFTWARE\Microsoft\Internet Explorer\Desktop\Components*\Source
47 EXPLORER PROTOCOL HANDLER EXPLORER NETWORK SHARING HANDLER HKLM SOFTWARE\Classes\Network\SharingHandler\
48 EXPLORER PROTOCOL HANDLER EXPLORER SHARED TASK SCHEDULER HKLM Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
49 EXPLORER PROTOCOL HANDLER EXPLORER SHARED TASK SCHEDULER HKLM Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
50 EXPLORER PROTOCOL HANDLER EXPLORER SHARED TASK SCHEDULER HKLM Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
51 EXPLORER PROTOCOL HANDLER EXPLORER SHARED TASK SCHEDULER HKLM Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
52 EXPLORER PROTOCOL HANDLER EXPLORER SHELLEXECUTE HOOK HKCU HKLM Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks*
53 EXPLORER PROTOCOL HANDLER EXPLORER SHELLEXECUTE HOOK HKLM Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks*
54 EXPLORER PROTOCOL HANDLER EXPLORER SHELLSERVICE OBJECT HKCU HKLM Software\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects*
55 EXPLORER PROTOCOL HANDLER EXPLORER SHELLSERVICE OBJECT HKLM Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects*
56 EXPLORER PROTOCOL HANDLER EXPLORER SHELLSERVICE OBJECT DELAYLOAD HKCU HKLM Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad*
57 EXPLORER PROTOCOL HANDLER EXPLORER SHELLSERVICE OBJECT DELAYLOAD HKLM Software\Wow6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad*
58 IMAGE HIJACK CMD AUTORUN HKCU HKLM Software\Microsoft\Command Processor\Autorun
59 IMAGE HIJACK CMD AUTORUN HKCU HKLM Software\Wow6432Node\Microsoft\Command Processor\Autorun
60 IMAGE HIJACK CMD STARTUP HKCU HKLM Software\Microsoft\Command Processor\Startup
61 IMAGE HIJACK CMD STARTUP HKCU HKLM Software\Wow6432Node\Microsoft\Command Processor\Startup
62 IMAGE HIJACK DEBUGGER HKLM Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
63 IMAGE HIJACK DEBUGGER HKLM Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
64 INTERNET EXPLORER BHO HKLM Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects*
65 INTERNET EXPLORER BHO HKLM Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects*
66 INTERNET EXPLORER DEFAULT ICON HKCU HKLM Software\Classes\CLSID{871C5380-42A0-1069-A2EA-08002B30309D}\shell\NoAddOns\Command\
67 INTERNET EXPLORER DEFAULT ICON HKCU HKLM Software\Wow6432Node\Classes\CLSID{871C5380-42A0-1069-A2EA-08002B30309D}\shell\NoAddOns\Command\
68 INTERNET EXPLORER EXPLORER BAR HKCU HKLM Software\Microsoft\Internet Explorer\Explorer Bars**
69 INTERNET EXPLORER EXPLORER BAR HKCU HKLM Software\Wow6432Node\Microsoft\Internet Explorer\Explorer Bars**
70 INTERNET EXPLORER EXTENSION HKCU HKLM Software\Microsoft\Internet Explorer\Extensions**
71 INTERNET EXPLORER EXTENSION HKCU HKLM Software\Wow6432Node\Microsoft\Internet Explorer\Extensions**
72 INTERNET EXPLORER TOOLBAR HKCU HKLM Software\Microsoft\Internet Explorer\Toolbar**
73 INTERNET EXPLORER TOOLBAR HKCU HKLM Software\Wow6432Node\Microsoft\Internet Explorer\Toolbar**
74 INTERNET EXPLORER URLSEARCHHOOK HKCU HKLM Software\Microsoft\Internet Explorer\UrlSearchHooks*
75 INTERNET EXPLORER URLSEARCHHOOK HKCU HKLM Software\Wow6432Node\Microsoft\Internet Explorer\UrlSearchHooks*
76 KNOWN DLL HKLM System\CurrentControlSet\Control\Session Manager\KnownDlls
77 LOGON HKLM Software\Microsoft\Windows CE Services\AutoStartOnConnect
78 LOGON HKLM Software\Microsoft\Windows CE Services\AutoStartOnDisconnect
79 LOGON HKLM Software\Microsoft\Windows NT\CurrentVersion\Windows\IconServiceLib
80 LOGON HKLM Software\Microsoft\Windows NT\CurrentVersion\Windows\Logon
81 LOGON HKLM Software\Wow6432Node\Microsoft\Windows CE Services\AutoStartOnConnect
82 LOGON HKLM Software\Wow6432Node\Microsoft\Windows CE Services\AutoStartOnDisconnect
83 LOGON HKLM Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\IconServiceLib
84 LOGON HKLM Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\Logon
85 LOGON ALTERNATE SHELL HKLM SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell
86 LOGON APPSETUP HKLM SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
87 LOGON GROUP POLICY SCRIPT HKCU HKLM SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Logoff**\Script
88 LOGON GROUP POLICY SCRIPT HKCU HKLM SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Logon**\Script
89 LOGON GROUP POLICY SCRIPT HKLM SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown**\Script
90 LOGON GROUP POLICY SCRIPT HKLM SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup**\Script
91 LOGON GROUP POLICY SCRIPT HKCU HKLM SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Scripts\Logoff**\Script
92 LOGON GROUP POLICY SCRIPT HKCU HKLM SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Scripts\Logon**\Script
93 LOGON GROUP POLICY SCRIPT HKLM SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Scripts\Shutdown**\Script
94 LOGON GROUP POLICY SCRIPT HKLM SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Scripts\Startup**\Script
95 LOGON GROUP POLICY SCRIPT HKCU HKLM Software\Policies\Microsoft\Windows\System\Scripts\Logoff**\Script
96 LOGON GROUP POLICY SCRIPT HKCU HKLM Software\Policies\Microsoft\Windows\System\Scripts\Logon**\Script
97 LOGON GROUP POLICY SCRIPT HKLM Software\Policies\Microsoft\Windows\System\Scripts\Shutdown**\Script
98 LOGON GROUP POLICY SCRIPT HKLM Software\Policies\Microsoft\Windows\System\Scripts\Startup**\Script
99 LOGON RUN HKLM SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\InitialProgram
100 LOGON RUN HKCU HKLM Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunOnceEx*
101 LOGON RUN HKCU HKLM Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunOnce*
102 LOGON RUN HKCU HKLM Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run*
103 LOGON RUN HKCU HKLM Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run*
104 LOGON RUN HKCU HKLM Software\Microsoft\Windows\CurrentVersion\RunOnceEx*
105 LOGON RUN HKCU HKLM Software\Microsoft\Windows\CurrentVersion\RunOnce*
106 LOGON RUN HKCU HKLM Software\Microsoft\Windows\CurrentVersion\RunServicesOnce*
107 LOGON RUN HKCU HKLM Software\Microsoft\Windows\CurrentVersion\RunServices*
108 LOGON RUN HKCU HKLM Software\Microsoft\Windows\CurrentVersion\Run*
109 LOGON RUN HKCU HKLM Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunOnceEx*
110 LOGON RUN HKCU HKLM Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunOnce*
111 LOGON RUN HKCU HKLM Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run*
112 LOGON RUN HKCU HKLM Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run*
113 LOGON RUN HKCU HKLM Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx*
114 LOGON RUN HKCU HKLM Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce*
115 LOGON RUN HKCU HKLM Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce*
116 LOGON RUN HKCU HKLM Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServices*
117 LOGON RUN HKCU HKLM Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run*
118 LOGON SHELL HKCU HKLM Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
119 LOGON SHELL HKCU HKLM Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
120 LOGON TASKMAN HKLM SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
121 LOGON TERMINAL SERVER HKLM System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
122 LOGON USERINIT HKCU Environment\UserInitLogonScript
123 LOGON USERINIT HKCU Environment\UserInitMprLogonScript
124 LOGON USERINIT HKLM SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
125 LOGON USERINIT HKLM System\CurrentControlSet\Control\Session Manager\Environment\UserInitLogonScript
126 LOGON USERINIT HKLM System\CurrentControlSet\Control\Session Manager\Environment\UserInitMprLogonScript
127 LOGON VMAPPLET HKLM SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\VmApplet
128 LOGON ACTIVE SETUP HKCU HKLM Software\Microsoft\Active Setup\Installed Components*\StubPath
129 LOGON ACTIVE SETUP HKCU HKLM Software\Wow6432Node\Microsoft\Active Setup\Installed Components*\StubPath
130 LSA PROVIDER HKLM SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
131 LSA PROVIDER HKLM SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
132 LSA PROVIDER HKLM SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
133 LSA PROVIDER HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders
134 NETWORK PROVIDER HKLM SYSTEM\CurrentControlSet\Control\NetworkProvider\Order\ProviderOrder
135 NETWORK PROVIDER HKLM SYSTEM\CurrentControlSet\Services*\NetworkProvider\ProviderPath
136 PRINT MONITOR HKLM SYSTEM\CurrentControlSet\Control\Print\Monitors*\Driver
137 SERVICE OR DRIVER HKLM SYSTEM\CurrentControlSet\Services*\ImagePath
138 SERVICE OR DRIVER HKLM SYSTEM\CurrentControlSet\Services*\Parameters\ServiceDll
139 SERVICE OR DRIVER HKLM SYSTEM\CurrentControlSet\Services*\Performance\Library
140 SERVICE OR DRIVER HKLM SYSTEM\CurrentControlSet\Services*\Type
141 WINLOGON HKCU Control Panel\Desktop\Scrnsave.exe
142 WINLOGON HKLM SYSTEM\Setup\CmdLine
143 WINLOGON HKCU Software\Microsoft\Windows NT\CurrentVersion\Windows\load
144 WINLOGON HKCU Software\Microsoft\Windows NT\CurrentVersion\Windows\run
145 WINLOGON HKLM Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDll
146 WINLOGON HKLM Software\Microsoft\Windows NT\CurrentVersion\Winlogon\LsaStart
147 WINLOGON HKLM Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify*\DLLName
148 WINLOGON HKLM Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SaveDumpStart
149 WINLOGON HKLM Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ServiceControllerStart
150 WINLOGON HKLM Software\Microsoft\Windows NT\CurrentVersion\Winlogon\System
151 WINLOGON HKLM Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
152 WINLOGON HKLM Software\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters*
153 WINLOGON HKLM Software\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers*
154 WINLOGON HKLM Software\Microsoft\Windows\CurrentVersion\Authentication\PLAP Providers*
155 WINLOGON HKLM Software\Policies\Microsoft\Windows\Control Panel\Desktop\Scrnsave.exe
156 WINLOGON HKLM Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDll
157 WINLOGON HKLM Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\LsaStart
158 WINLOGON HKLM Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify*\DLLName
159 WINLOGON HKLM Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\SaveDumpStart
160 WINLOGON HKLM Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\ServiceControllerStart
161 WINLOGON HKLM Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\System
162 WINLOGON HKLM Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
163 WINLOGON HKLM Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters*
164 WINLOGON HKLM Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers*
165 WINLOGON HKLM Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Authentication\PLAP Providers*
166 WINLOGON HKLM Software\Wow6432Node\Policies\Microsoft\Windows\Control Panel\Desktop\Scrnsave.exe
167 WINLOGON HKLM System\CurrentControlSet\Control\BootVerificationProgram\ImagePath
168 WINSOCK PROVIDER HKLM System\CurrentControlSet\Services\WinSock2\Parameters\AutodialDLL
169 WINSOCK PROVIDER HKLM System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64*\LibraryPath
170 WINSOCK PROVIDER HKLM System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries*\LibraryPath
171 WINSOCK PROVIDER HKLM System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries64*\PackedCatalogItem
172 WINSOCK PROVIDER HKLM System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries*\PackedCatalogItem