SeEtwWriteKMCveEvent, fonction (wdm.h)

Article
02/27/2024

La fonction SeEtwWriteKMCveEvent est une fonction de suivi permettant de publier des événements lorsqu’une tentative d’attaque de vulnérabilité de sécurité est détectée dans vos pilotes en mode noyau.

Syntaxe

NTSTATUS SeEtwWriteKMCveEvent(
  [in]           PCUNICODE_STRING CveId,
  [in, optional] PCUNICODE_STRING AdditionalDetails
);

Paramètres

[in] CveId

Pointeur vers une chaîne mentionnant l’ID CVE associé à la vulnérabilité pour laquelle cet événement est déclenché. Pour plus d’informations, consultez Guide technique pour la gestion de la nouvelle syntaxe d’ID CVE.

[in, optional] AdditionalDetails

Pointeur vers une chaîne donnant des détails supplémentaires que le producteur d’événements peut souhaiter fournir au consommateur de cet événement.

Valeur retournée

SeEtwWriteKMCveEvent retourne l’une des valeurs suivantes :

Code de retour	Description
STATUS_SUCCESS	Le pilote a été publié avec succès
ERROR_INVALID_PARAMETER	Pointeur non valide vers CVE-ID passé. Les événements peuvent être perdus pour plusieurs raisons ; par exemple, si le taux d’événements est trop élevé ou si la taille de l’événement est supérieure à la taille de la mémoire tampon. Dans ce cas, le compteur EventsLost , membre de la structure EVENT_TRACE_PROPERTIES de l’enregistreur d’événements correspondant, est mis à jour avec le nombre d’événements qui n’ont pas été enregistrés.

Code de retour

Description

STATUS_SUCCESS

Le pilote a été publié avec succès

ERROR_INVALID_PARAMETER

Pointeur non valide vers CVE-ID passé. Les événements peuvent être perdus pour plusieurs raisons ; par exemple, si le taux d’événements est trop élevé ou si la taille de l’événement est supérieure à la taille de la mémoire tampon. Dans ce cas, le compteur EventsLost , membre de la structure EVENT_TRACE_PROPERTIES de l’enregistreur d’événements correspondant, est mis à jour avec le nombre d’événements qui n’ont pas été enregistrés.

Remarques

La fonction SeEtwWriteKMCveEvent publie un événement basé sur CVE. Cette fonction doit être appelée uniquement dans les scénarios où une tentative d’exploitation d’une vulnérabilité connue et corrigée est détectée par l’application. Dans l’idéal, cet appel de fonction doit être ajouté dans le cadre du correctif (mise à jour) lui-même. Le consommateur par défaut pour cet événement est EventLog-System. Pour activer un autre consommateur, le fournisseur peut être ajouté à la session consommateur.

GUID du fournisseur : 85a62a0d-7e17-485f-9d4f-749a287193a6

Nom de la source : Microsoft-Windows-Audit-CVE ou CVE-Audit

Exemples

NTStatus status;
UNICODE_STRING CVEID;
UNICODE_STRING EventDetails;

…

RtlInitUnicodeString(&CVEID, L"CVE-2015-0000");
RtlInitUnicodeString(&EventDetails, L"Vulnerable request with data is logged in %temp%\abc.log");

status = SeEtwWriteKMCveEvent( &CVEID, &EventDetails);

Configuration requise

Condition requise	Valeur
Client minimal pris en charge	Disponible dans Windows 10 et versions ultérieures de Windows
Plateforme cible	Windows
En-tête	wdm.h
Bibliothèque	Ntoskrnl.lib
DLL	Ntoskrnl.exe

Partager via