Hallo zusammen,
alle paar Tage bastelt Microsoft neue Dienste dazu, die in der Regel Blablabla_irgendeineZahlenUndBuchstabenkombination z.B. Service CaptureService_998e56c3 beinhalten.
Ich habe jetzt schon bei den Erkennungsregeln bei Deaktivierte Services die Dienste für alle Windows-Host eingetragen; also um beim Beispiel zu bleiben CaptureService.*
Trotzdem werden die Dienste weiterhin erkannt bzw. auf dem Dashboard angemeckert. Wo liegt mein Fehler?
Hi,
Vielleicht wäre es besser wenn Du die Regel ‘Windows service discovery’ verwendest, dann werden die Services erstmal gar nicht discovered.
Generell kann dieser Service disabled werden:
Ansonsten wäre ich das skeptisch wennd er immer wieder auftaucht ob es sich nicht um eine malware handelt.
Gruß
Mike
Hallo Mike,
das ist keine Schadsoftware; so viel habe ich herausbekommen:
”"Windows 10 1709 introduced ‘per-user’ services for better resource management. These per-user services are created when a user signs in, and then deleted when the user signs out.
In the HKLM\SYSTEM\CurrentControlSet\Services section of the registry you will see 3 entries for each of these services; the regular named service and the the per-user service entries you see in Services.msc. So for instance, you may have Capture Service, Capture Service_xxxxxx and Capture Service_yyyy, where x and y are alphanumeric characters.
So YES! They are regular Windows services and not any malware.. Nothing to worry about!"“
Mit der Serviceerkennung komme ich nicht wirklich weiter, da es ja - je nach System dutzende unterschiedliche Dienste gibt, die überwacht werden sollen, steht bei mir nicht jeder mögliche Dienst drin, sondern lediglich .* (wie in Best Practice empfohlen).
Und eine vorgeschaltete Regel um spezielle Dienste zu negieren kann ich nicht anlegen, da es keine Negation gibt.
“.*” ist der Worst Case was man tun kann in der Regel. Im Handbuch steht auch drin das soll man nur nutzen um mal alle Services zu sehen. Danach bitte filtern nach Services welche relevant sind.
Mit aktuellen Agenten und dem “Windows Service Summary” würde ich eh nur noch ganz spezielle Services (welche die “On demand” sind und trotzdem laufen müssen) einzeln überwachen. Autostart Services arbeite ich alle über das “Service Summary” ab.
Ich empfehle Windows Service als “Enforced Services” zu überwachen, um nur die notwendigen Services in der Überwachung zu haben.
Ich würde auch der Empfehlung von Christian folgen. Für kritische Services empfehle ich zusätzlich den Prozess zu überwachen. neben dem Vorteil mit den PerfData ist das der sichere Weg. Wir hatten es schon öfter das Windows einen Service als gestartet gemeldet hat, der Prozess dahinter aber gestorben ist 
Du könntest eine ‘Service Discovery Rule’ mit folgender RegEx mit Negative Lookahead anlegen:
^(?!Service CaptureService_.*).*
Vorsichtig mit .* Regular Expressions sind gierig und schnappen sich alles was sie kriegen. Bei der Service Liste sollte das aber ein vertetbares Risiko sein da die ja auhc nicht unendlich lang ist.
Ich hoffe das hilft Dir weiter
Mike
