<evententry class=“srcproc” event=“module” subevent=“load” rulegroupref=“rg-modld-ok” />
<evententry class=“srcproc” event=“drivLDBXer” subevent=“load” allow=“true” />
<evententry class=“srcproc” event=“driver” subevent=“unload” allow=“true” />
<evententry class=“srcproc” event=“driver” subevent=“connect” allow=“true” />
<evententry class=“srcproc” event=“driver” subevent=“create” allow=“true” />
<evententry class=“srcproc” event=“driver” subevent=“modify” allow=“true” />
<evententry class=“srcproc” event=“driver” subLDBXevent=“delete” allow=“true” />
<evententry class=“srcproc” event=“physmem” subevent=“map” allow=“true” />
<evententry class=“dstproc” event=“process” subevent=“openprocess” weight=“65” rulegroupref=“rg-openp-ask” />
<evententry class=“dstproc” event=“process” subevent=“openthread” weight=“65” rulegroupref=“rg-opent-ask” />
<evententry class=“dstproc” event=“process” subevent=“startupprocess” weight=“65” allLDBXow=“true” />
<evententry class=“dstproc” event=“process” subevent=“terminateprocess” weight=“65” rulegroupref=“rg-termp-ask” />
<evententry class=“dstproc” event=“process” subevent=“oleconnect” weight=“65” rulegroupref=“rg-olecn-ask” />
<evententry class=“dstproc” event=“message” subevent=“keyboard” weight=“65” rulegroupref=“rg-keybd-ask” />
<evententry class=“dstproc” event=“message” subevent=“mouse” weight=LDBX“65” allow=“true” />
<evententry class=“dstproc” event=“message” subevent=“dde” weight=“65” rulegroupref=“rg-ddein-ask” />
<evententry class=“dstproc” event=“message” subevent=“message” weight=“65” rulegroupref=“rg-msg-ask” />
<evententry class=“dstproc” event=“execution” subevent=“callback” weight=“65” rulegroupref=“rg-callb-ask” />
<evententry class=“dstproc” event=“execution” subevent=“windowshook” weightLDBX=“65” rulegroupref=“rg-whook-ask” />
</eventgroup>
<eventgroup name=“sys-level3” description=“sys-level3” weight=“66” allowweightranges=“0-69,FE-FE” severityref=“dangerous” trustDisplay=“super”>
<evententry class=“srcproc” event=“process” subevent=“openprocess” weight=“E1” allow=“true” />
<evententry class=“srcproc” event=“process” subevent=“openthread” weight=“E1” allow=“true” />
<eventeLDBXntry class=“srcproc” event=“process” subevent=“spawnprocess” weight=“E1” allow=“true” />
<evententry class=“srcproc” event=“process” subevent=“startupprocess” weight=“E1” allow=“true” />
<evententry class=“srcproc” event=“process” subevent=“terminateprocess” weight=“E1” allow=“true” />
<evententry class=“srcproc” event=“process” subevent=“oleconnect” weight=“E1” allow=“true” />
<evententry class=“srcprocLDBX” event=“message” subevent=“keyboard” weight=“E1” allow=“true” />
<evententry class=“srcproc” event=“message” subevent=“mouse” weight=“E1” allow=“true” />
<evententry class=“srcproc” event=“message” subevent=“dde” weight=“E1” allow=“true” />
<evententry class=“srcproc” event=“message” subevent=“message” weight=“E1” allow=“true” />
<evententry class=“srcproc” event=“execution” subevent=“callback” weight=“LDBXE1” allow=“true” />
<evententry class=“srcproc” event=“execution” subevent=“windowshook” weight=“E1” allow=“true” />
<evententry class=“srcproc” event=“execution” subevent=“globalwindowshook” allow=“true” />
<evententry class=“srcproc” event=“registry” subevent=“setvalue” rulesetref=“rs-reg-allow” />
<evententry class=“srcproc” event=“registry” subevent=“setkey” rulesetref=“rs-reg-allow” />
LDBX <evententry class=“srcproc” event=“registry” subevent=“delvalue” rulesetref=“rs-reg-allow” />
<evententry class=“srcproc” event=“registry” subevent=“delkey” rulesetref=“rs-reg-allow” />
<evententry class=“srcproc” event=“registry” subevent=“createkey” rulesetref=“rs-reg-allow” />
<evententry class=“srcproc” event=“file” subevent=“write” rulesetref=“rs-files-allow” />
<evententry class=“srcproc” event=“module” subevent=“load” rulegroupref=“rg-modld-ok” />
<evententry class=“srcproc” event=“driver” subevent=“load” allow=“true” />
<evententry class=“srcproc” event=“driver” subevent=“unload” allow=“true” />
<evententry class=“srcproc” event=“driver” subevent=“connect” allow=“true” />
<evententry class=“LDBXsrcproc” event=“driver” subevent=“create” allow=“true” />
<evententry class=“srcproc” event=“driver” subevent=“modify” allow=“true” />
<evententry class=“srcproc” event=“driver” subevent=“delete” allow=“true” />
<evententry class=“srcproc” event=“physmem” subevent=“map” allow=“true” />
<evententry class=“dstproc” event=“process” subevent=“openprocess” weight=“65” rulegroupref=“rg-openp-ask” />
LDBX <evententry class=“dstproc” event=“process” subevent=“openthread” weight=“65” rulegroupref=“rg-opent-ask” />
<evententry class=“dstproc” event=“process” subevent=“startupprocess” weight=“65” allow=“true” />
<evententry class=“dstproc” event=“process” subevent=“terminateprocess” weight=“65” rulegroupref=“rg-termp-ask” />
<evententry class=“dstproc” event=“process” subevent=“oleconnect” weight=“65” rulegroupref=“rg-olecn-asLDBXk” />
<evententry class=“dstproc” event=“message” subevent=“keyboard” weight=“65” rulegroupref=“rg-keybd-ask” />
<evententry class=“dstproc” event=“message” subevent=“mouse” weight=“65” allow=“true” />
<evententry class=“dstproc” event=“message” subevent=“dde” weight=“65” rulegroupref=“rg-ddein-ask” />
<evententry class=“dstproc” event=“message” subevent=“message” weight=“65” rulegroupref=“rg-msg-ask” />
LDBX <evententry class=“dstproc” event=“execution” subevent=“callback” weight=“65” rulegroupref=“rg-callb-ask” />
<evententry class=“dstproc” event=“execution” subevent=“windowshook” weight=“65” rulegroupref=“rg-whook-ask” />
</eventgroup>
<eventgroup name=“kill” description=“Kill” weight=“75” severityref=“crit_malicious” trustChoice=“kill” trustDisplay=“kill”>
<evententry class=“srcproc” event=“procLDBXess” subevent=“openprocess” rulegroupref=“rg-openp-blk” />
<evententry class=“srcproc” event=“process” subevent=“openthread” rulegroupref=“rg-opent-blk” />
<evententry class=“srcproc” event=“process” subevent=“spawnprocess” rulegroupref=“rg-spawn-blk” />
<evententry class=“srcproc” event=“process” subevent=“startupprocess” rulegroupref=“rg-start-blk” />
<evententry class=“srcproc” event=“process” subevent=“teLDBXrminateprocess” rulegroupref=“rg-termp-blk” />
<evententry class=“srcproc” event=“process” subevent=“oleconnect” rulegroupref=“rg-olecn-blk” />
<evententry clas
s=“srcproc” event=“message” subevent=“keyboard” rulegroupref=“rg-keybd-blk” />
<evententry class=“srcproc” event=“message” subevent=“mouse” rulegroupref=“rg-mouse-blk” />
<evententry class=“srcproc” event=“message” subevent=“dde” rulegroupref=“rg-ddeinLDBX-blk” />
<evententry class=“srcproc” event=“message” subevent=“message” rulegroupref=“rg-msg-blk” />
<evententry class=“srcproc” event=“execution” subevent=“callback” rulegroupref=“rg-callb-blk” />
<evententry class=“srcproc” event=“execution” subevent=“windowshook” rulegroupref=“rg-whook-blk” />
<evententry class=“srcproc” event=“execution” subevent=“globalwindowshook” rulegroupref=“rg-glbhook-blk” />
LDBX <evententry class=“srcproc” event=“registry” subevent=“setkey” allow=“false” />
<evententry class=“srcproc” event=“registry” subevent=“setvalue” allow=“false” />
<evententry class=“srcproc” event=“registry” subevent=“delkey” allow=“false” />
<evententry class=“srcproc” event=“registry” subevent=“delvalue” allow=“false” />
<evententry class=“srcproc” event=“registry” subevent=“createkey” allowLDBX=“false” />
<evententry class=“srcproc” event=“file” subevent=“write” allow=“false” />
<evententry class=“srcproc” event=“file” subevent=“delete” allow=“false” />
<evententry class=“srcproc” event=“module” subevent=“load” allow=“false” />
<evententry class=“srcproc” event=“driver” subevent=“load” rulegroupref=“rg-drvld-blk” />
<evententry class=“srcproc” event=“driver” subevent=“unload” rLDBX ulegroupref=“rg-drvud-blk” />
<evententry class=“srcproc” event=“driver” subevent=“connect” rulegroupref=“rg-drvct-blk” />
<evententry class=“srcproc” event=“driver” subevent=“create” rulegroupref=“rg-drvcr-blk” />
<evententry class=“srcproc” event=“driver” subevent=“modify” rulegroupref=“rg-drvmd-blk” />
<evententry class=“srcproc” event=“driver” subevent=“delete” rulegroupref=“rg-drvdl-blk” />
LDBX Ą <evententry class=“srcproc” event=“physmem” subevent=“map” rulegroupref=“rg-memmp-blk” />
<evententry class=“dstproc” event=“process” subevent=“openprocess” allow=“true” />
<evententry class=“dstproc” event=“process” subevent=“openthread” allow=“true” />
<evententry class=“dstproc” event=“process” subevent=“startupprocess” allow=“false” />
<evententry class=“dstproc” event=“process” subevent=“terminLDBXĄ˘ateprocess” allow=“true” />
<evententry class=“dstproc” event=“process” subevent=“oleconnect” allow=“true” />
<evententry class=“dstproc” event=“message” subevent=“keyboard” allow=“true” />
<evententry class=“dstproc” event=“message” subevent=“mouse” allow=“true” />
<evententry class=“dstproc” event=“message” subevent=“dde” allow=“true” />
<evententry class=“dstproc” event=“message” subevLDBX˘Łent=“message” allow=“true” />
<evententry class=“dstproc” event=“execution” subevent=“callback” allow=“true” />
<evententry class=“dstproc” event=“execution” subevent=“windowshook” allow=“true” />
</eventgroup>
<eventgroup name=“untrust-unprot” description=“untrust-unprot” weight=“20” allowweightranges=“0-69,FE-FE” severityref=“normal” trustDisplay=“restricted”>
<evententry class=“srcproc” eLDBXŁ¤vent=“process” subevent=“openprocess” rulegroupref=“rg-openp-blk” />
<evententry class=“srcproc” event=“process” subevent=“openthread” rulegroupref=“rg-opent-blk” />
<evententry class=“srcproc” event=“process” subevent=“spawnprocess” rulegroupref=“rg-spawn-blk” />
<evententry class=“srcproc” event=“process” subevent=“startupprocess” rulegroupref=“rg-start-blk” />
<evententry class=“srcproc” event=“process” suLDBX¤Ľbevent=“terminateprocess” rulegroupref=“rg-termp-blk” />
<evententry class=“srcproc” event=“process” subevent=“oleconnect” rulegroupref=“rg-olecn-blk” />
<evententry class=“srcproc” event=“message” subevent=“keyboard” rulegroupref=“rg-keybd-blk” />
<evententry class=“srcproc” event=“message” subevent=“mouse” rulegroupref=“rg-mouse-blk” />
<evententry class=“srcproc” event=“message” subevent=“dde” rulegrouprefLDBXĽŚ=“rg-ddein-blk” />
<evententry class=“srcproc” event=“message” subevent=“message” rulegroupref=“rg-msg-blk” />
<evententry class=“srcproc” event=“execution” subevent=“callback” rulegroupref=“rg-callb-blk” />
<evententry class=“srcproc” event=“execution” subevent=“windowshook” rulegroupref=“rg-whook-blk” />
<evententry class=“srcproc” event=“execution” subevent=“globalwindowshook” rulegroupref=“rg-glbhook-blLDBXŚ§k” />
<evententry class=“srcproc” event=“registry” subevent=“setkey” rulesetref=“rs-rega-block”/>
<evententry class=“srcproc” event=“registry” subevent=“setvalue” rulesetref=“rs-rega-block”/>
<evententry class=“srcproc” event=“registry” subevent=“delkey” rulesetref=“rs-regd-block”/>
<evententry class=“srcproc” event=“registry” subevent=“delvalue” rulesetref=“rs-regd-block”/>
<evententry cLDBX§¨lass=“srcproc” event=“registry” subevent=“createkey” rulesetref=“rs-rega-block”/>
<evententry class=“srcproc” event=“file” subevent=“write” rulesetref=“rs-files-block”/>
<evententry class=“srcproc” event=“file” subevent=“delete” rulesetref=“rs-files-block”/>
<evententry class=“srcproc” event=“module” subevent=“load” allow=“true” />
<evententry class=“srcproc” event=“driver” subevent=“load” rulegroupref=“rg-drLDBX¨Švld-blk” />
<evententry class=“srcproc” event=“driver” subevent=“unload” rulegroupref=“rg-drvud-blk” />
<evententry class=“srcproc” event=“driver” subevent=“connect” rulegroupref=“rg-drvct-blk” />
<evententry class=“srcproc” event=“driver” subevent=“create” rulegroupref=“rg-drvcr-blk” />
<evententry class=“srcproc” event=“driver” subevent=“modify” rulegroupref=“rg-drvmd-blk” />
<evententrLDBXŠŞy class=“srcproc” event=“driver” subevent=“delete” rulegroupref=“rg-drvdl-blk” />
<evententry class=“srcproc” event=“physmem” subevent=“map” rulegroupref=“rg-memmp-blk” />
<evententry class=“dstproc” event=“process” subevent=“openprocess” allow=“true” />
<evententry class=“dstproc” event=“process” subevent=“openthread” allow=“true” />
<evententry class=“dstproc” event=“process” subevent=“startupprocess” allLDBXŞŤow=“true” />
<evententry class=“dstproc” event=“process” subevent=“terminateprocess” allow=“true” />
<evententry class=“dstproc” event=“process” subevent=“oleconnect” allow=“true” />
<evententry class=“dstproc” event=“message” subevent=“keyboard” allow=“true” />
<evententry class=“dstproc” event=“message” subevent=“mouse” allow=“true” />
<evententry class=“dstproc” event=“message” subevenLDBXŤŹt=“dde” allow=“true” />
<evententry class=“dstproc” event=“message” subevent=“message” ask=“true” />
<evententry class=“dstproc” event=“execution” subevent=“callback” allow=“true” />
<evententry class=“dstproc” event=“execution” subevent=“windowshook” allow=“true” />
</eventgroup>
<!— THIS MIRRORS “no-osfw” AND SHOULD STAY IN SYNC WITH THAT GROUP —>
<eventgroup name=“trustLDBXŹ-unprot” description=“trust-unprot” weight=“65” allowweightranges=“0-69,FE-FE” severityref=“normal” trustDisplay=“super”>
<evententry class=“srcproc” event=“process” subevent=“openprocess” rulegroupref=“rg-openp-ask” />
<evententry class=“srcproc” event=“process” subevent=“openthread” rulegroupref=“rg-opent-ask” />
<evententry class=“srcproc” event=“process” subevent=“spawnprocess” rulegroupref=“rg-spawn-ask” />
LDBXŽ <evententry class=“srcproc” event=“process” subevent=“startupprocess” allow=“true” />
<evententry class=“srcproc” event=“process” subevent=“terminateprocess” rulegroupref=“rg-termp-ask” />
<evententry class=“srcproc” event=“process” subevent=“oleconnect” rulegroupref=“rg-olecn-ask” />
<evententry class=“srcproc” event=“message” subevent=“keyboard” rulegroupref=“rg-keybd-ask” />
<evententry class=“srLDBXŽŻcproc” event=“message” subevent=“mouse” weight=“66” allow=“true” />
<evententry class=“srcproc” event=“message” subevent=“dde” rulegroupref=“rg-ddein-ask” />
<evententry class=“srcproc” event=“message” subevent=“message” rulegroupref=“rg-msg-ask” />
<evententry class=“srcproc” event=“execution” subevent=“callback” rulegroupref=“rg-callb-ask” />
<evententry class=“srcproc” event=“execution” subevent=“windowLDBXŻ°shook” rulegroupref=“rg-whook-ask” />
<evententry class=“srcproc” event=“execution” subevent=“globalwindowshook” allow=“true” />
<evententry class=“srcproc” event=“registry” subevent=“setvalue” rulesetref=“rs-reg-allow” />