{
  "access_ie_passwords": "Программа $Image_path пыталась получить доступ к паролям, сохраненным в браузере Internet Explorer (MITRE: T1555.003 Credentials from Web Browsers).",
  "accessibility_features_anomaly_child_process": "Аномальный дочерний процесс $Image_path был запущен с помощью специальных возможностей Windows: $Parent_image_path (MITRE: T1546.008 Event Triggered Execution: Accessibility Features).",
  "accessibility_features_via_command_line": "Процесс $Image_path пытался использовать специальные возможности Windows через командную строку: $Command_line (MITRE: T1546.008 Event Triggered Execution: Accessibility Features).",
  "accessibility_features_via_powershell": "Процесс $Image_path пытался использовать специальные возможности Windows с помощью PowerShell: $Command_line (MITRE: T1546.008 Event Triggered Execution: Accessibility Features).",
  "accessibility_features_via_registry": "Процесс $Image_path установил ключ реестра $Registry_key, чтобы использовать функции специальных возможностей Windows (MITRE: T1546.008 Event Triggered Execution: Accessibility Features).",
  "accessing_admin_shares_by_standard_tools": "Процесс $Image_path выполнил в командной строке команду, содержащую путь к общим папкам администраторов: $Command_line (MITRE: T1219 Remote Access Software).",
  "account_removing_from_group_via_net": "Процесс $Image_path удалил учетную запись из группы: $Command_line (MITRE: T1531 Account Access Removal).",
  "account_removing_from_group_via_powershell": "Процесс $Image_path удалил пользователя из группы с помощью PowerShell: $Command_line (MITRE: T1531 Account Access Removal).",
  "ad_ds_check": "Процесс $Image_path проверил наличие утилит AD DS на компьютере (MITRE: T1497.001 Virtualization/Sandbox Evasion: System Checks).",
  "add_cert_via_registry": "Процесс $Image_path установил сертификат в реестре Windows: $Registry_key (MITRE: T1553.004 Subvert Trust Controls: Install Root Certificate).",
  "add_trusted_cert": "Процесс $Image_path пытается добавить свой сертификат в доверенные сертификаты системы (MITRE: T1553.004 Subvert Trust Controls: Install Root Certificate).",
  "addedToFirewallList": "Процесс $Image_path добавил файл/правило в исключения Брандмауэра Windows через реестр: $Registry_value (MITRE: T1562.004 Impair Defenses: Disable or Modify System Firewall).",
  "adding_account_to_domain_admin_group_via_net": "Учетная запись была добавлена в группу доменных администраторов при помощи $Image_path: $Command_line (MITRE: T1098 Account Manipulation).",
  "adding_account_to_domain_admin_group_via_powershell": "Процесс $Image_path добавил учетную запись в группу доменных администраторов с помощью PowerShell: $Command_line (MITRE: T1098 Account Manipulation).",
  "adding_account_to_global_group": "Процесс $Image_path добавил учетную запись в глобальную группу с помощью WinAPI (MITRE: T1098 Account Manipulation).",
  "adding_account_to_local_admin_group_via_net": "Учетная запись была добавлена в группу локальных администраторов при помощи $Image_path: $Command_line (MITRE: T1098 Account Manipulation).",
  "adding_account_to_local_admin_group_via_powershell": "Процесс $Image_path добавил учетную запись в группу локальных администраторов с помощью PowerShell: $Command_line (MITRE: T1098 Account Manipulation).",
  "adding_account_to_local_group": "Процесс $Image_path добавил учетную запись в локальную группу с помощью WinAPI (MITRE: T1098 Account Manipulation).",
  "adding_account_to_local_group_via_net": "Учетная запись была добавлена в локальную группу с помощью $Image_path: $Command_line (MITRE: T1098 Account Manipulation).",
  "adding_account_to_local_group_via_powershell": "Процесс $Image_path добавил учетную запись в локальную группу с помощью PowerShell: $Command_line (MITRE: T1098 Account Manipulation).",
  "adodb_stream_com_object_usage_via_powershell": "Процесс $Image_path управлял потоком данных с помощью PowerShell, используя COM-объект ADODB: $Command_line (MITRE: T1559.001 Inter-Process Communication: Component Object Model).",
  "anomaly_in_the_windows_critical_process_tree": "Критичный системый процесс Windows $Image_path был запущен аномальным родительским процессом $Parent_image_path c командной строкой $Command_line (MITRE: T1036 Masquerading)",
  "anomaly_parent_process_whoami_exe": "Процесс $Image_path был запущен аномальным родительским процессом $Parent_image_path с помощью командной строки: $Command_line (MITRE: T1033 System Owner/User Discovery).",
  "apc_injection": "Процесс $Image_path внедрил код в процесс $Target_image_path с помощью APC-вызова (MITRE: T1055.004 Process Injection: Asynchronous Procedure Call).",
  "appcert_dlls": "Программа $Image_path изменила значение AppCertDlls в ключе реестра $Registry_key на $Reg_value. Это может использоваться для внедрения в процессы (MITRE: T1546.009 AppCert DLLs).",
  "appinit_dlls_via_registry": "Процесс $Image_path установил ключ реестра $Registry_key\\\\$Registry_value_name: $Registry_value для выполнения содержимого, запускаемого библиотеками DLL AppInit (MITRE: T1546.010 Event Triggered Execution: AppInit DLLs).",
  "application_shimming_via_dropped_file_sdb": "Процесс $Image_path создал shim database, чтобы перенаправить выполнение кода приложения: $File_path (MITRE: T1546.011 Event Triggered Execution: Application Shimming).",
  "archive_file_in_local_users_folders_via_makecab": "Процесс $Image_path попытался заархивировать файл в пользовательской папке с помощью makecab.exe: $Command_line (MITRE: T1560.001 Archive Collected Data: Archive via Utility).",
  "archive_via_powershell": "Процесс $Image_path попытался заархивировать полученные данные с помощью PowerShell: $Command_line (MITRE: T1560.001 Archive Collected Data: Archive via Utility).",
  "archiving_files_in_recycle_via_archive": "Процесс утилиты архивирования $Image_path был запущен c параметрами архивирования файлов в корзине с командной строкой $Command_line (MITRE: T1560.001 Archive Collected Data: Archive via Utility).",
  "atm_filenames": "Процесс $Image_path изменил файл $Target_file_path, специфичный для программного обеспечения банкоматов (MITRE: T1574.001 Hijack Execution Flow: DLL Search Order Hijacking).",
  "attempt_to_launch_ntdsutil": "Процесс $Image_path попытался запустить ntdsutil.exe (MITRE: T1003.003 OS Credential Dumping: NTDS).",
  "autologger_provider_removal_via_registry": "Процесс $Image_path отключил логирование журнала Windows путем удаления ключа реестра: $Registry_key (MITRE: T1562.006 Impair Defenses: Indicator Blocking).",
  "autorun": "Процесс $Image_path добавил файл $Registry_value в автозапуск (раздел реестра $Registry_key) (MITRE: T1547.001 Registry Run Keys / Startup Folder).",
  "autorun_open_dir": "Процесс $Image_path добавил файл $Registry_value, который находится в открытой для записи директории, в автозапуск (раздел реестра $Registry_key\\$Registry_value_name) (MITRE: T1547.001 Registry Run Keys / Startup Folder).",
  "autorun_susp_extension": "Процесс $Image_path добавил файл $Registry_value с подозрительным расширением в автозапуск (раздел реестра $Registry_key) (MITRE: T1547.001 Registry Run Keys / Startup Folder).",
  "bitsadmin_job_via_powershell": "Процесс $Image_path попытался создать BITS задачу с помощью команды $Command_line (MITRE: T1197 BITS Jobs).",
  "brute_password": "Процесс $Image_path попытался подобрать пароль пользователя для доступа к системе (MITRE: T1110.001 Brute Force).",
  "bypass_ps_execution_policy": "Скрипт для командного интерпретатора PowerShell был запущен с параметром $Command_line. Это нарушает запрет запуска скриптов, установленный политикой выполнения PowerShell (MITRE: T1059.001 Command and Scripting Interpreter: PowerShell).",
  "bypass_uac": "Процесс $Image_path получил права администратора в обход контроля учетных записей пользователей (MITRE: T1548.002 Bypass User Account Control).",
  "bypassing_application_whitelisting_with_bginfo": "Процесс $Image_path совершил обход списка разрешенных приложений с помощью командной строки: $Command_line (MITRE: T1059.005 Command and Scripting Interpreter: Visual Basic).",
  "certutil_decode": "Процесс $Image_path запущен для кодирования/декодирования файла с целью избежать его обнаружения: $Command_line (Mitre T1140 Deobfuscate/Decode Files or Information).",
  "certutil_malicious_action": "Процесс $Image_path запустил утилиту для работы с сертификатами Certutil.exe с параметрами $Command_line (MITRE: T1140 Deobfuscate/Decode Files or Information).",
  "change_account_password_via_powershell": "Процесс $Image_path изменил пароль учетной записи пользователя: $Command_line (MITRE: T1531 Account Access Removal).",
  "change_default_file_association_via_assoc": "Процесс $Image_path изменил параметры сопоставления типа файла с расширением с помощью командной строки: $Command_line (MITRE: T1546.001 Change Default File Association).",
  "change_dns": "Процесс $Image_path изменил адрес DNS-сервера (MITRE: T1562.001 Impair Defenses: Disable or Modify Tools).",
  "change_mbr": "Процесс $Image_path изменил основную загрузочную запись (MBR). Действие типично для вредоносных программ класса Rootkit (MITRE: T1561.002 Disk Wipe: Disk Structure Wipe).",
  "change_mof_directory": "Процесс $Image_path изменил директорию автозапуска MOF-файлов $Registry_value (MITRE: T1546.003 Windows Management Instrumentation Event Subscription).",
  "change_path_environment_var": "Процесс $Image_path изменил переменную среды PATH через реестр: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1574.007 Hijack Execution Flow: Path Interception by PATH Environment Variable).",
  "change_proxy_settings": "Программа $Image_path изменила системные параметры прокси-сервера (MITRE: T1090 Connection Proxy)",
  "change_reg_via_powershell": "Процесс $Parent_image_path изменил значение реестра через PowerShell: $Command_line (MITRE: T1112 Modify Registry).",
  "change_service_binary_location_in_registry": "Процесс $Image_path изменил путь к исполняемому файлу службы: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1543.003 Create or Modify System Process: Windows Service).",
  "check_code_integrity_param": "Процесс $Image_path пытается проверить целостность кода операционной системы (MITRE: T1082 System Information Discovery).",
  "check_cpu_number": "Процесс $Image_path попытался обнаружить виртуальную машину sandbox путем проверки количества процессоров (MITRE: T1497.001 Virtualization/Sandbox Evasion: System Checks).",
  "clear_event_log_cmd": "Процесс $Parent_image_path очистил журнал событий Windows: $Command_line (MITRE: T1070.001 Clear Windows Event Logs).",
  "clear_eventlog": "Программа $Image_path очистила журнал событий Windows (MITRE: T1070.001 Indicator Removal on Host)",
  "clear_pwsh_command_history": "История команд PowerShell была удалена: $Command_line (MITRE: T1070.003 Clear Command History).",
  "cmstp_susp_arguments": "Синтаксис $Command_line, выполняемый процессом $Image_path, является подозрительным (MITRE: T1218.003 Signed Binary Proxy Execution: CMSTP).",
  "code_execution_through_change_registry_via_control_panel_or_cpls": "Для выполнения кода были внесены изменения в реестре с помощью Control Panel/CPLs: $Registry_key\\\\$Registry_value_name: $Registry_value (Mitre T1218.002 Signed Binary Proxy Execution: Control Panel).",
  "collect_info": "Программа $Image_path собирает сетевую и системную информацию",
  "collect_system_info": "Процесс $Image_path получил информацию об операционной системе и конфигурации аппаратного обеспечения компьютера (MITRE: T1082 System Information Discovery).",
  "collecting_credentials_from_registry_via_powershell": "Процесс $Image_path обратился к учетным данным в реестре через PowerShell: $Command_line (MITRE: T1552.002 Unsecured Credentials: Credentials in Registry).",
  "collecting_credentials_from_registry_via_reg": "Процесс $Image_path обратился к учетным данным в реестре: $Command_line (MITRE: T1552.002 Unsecured Credentials: Credentials in Registry).",
  "com_obj_via_verclsid": "Verclsid.exe с аргументами $Command_line может быть использован для выполнения вредоносного кода (MITRE: T1218.012 Signed Binary Proxy Execution: Verclsid)",
  "com_object_registration_via_inpocserver_and_localserver": "Процесс $Image_path зарегистрировал COM-компонент с помощью $Registry_key: $Registry_value (MITRE: T1559.001 Inter-Process Communication: Component Object Model).",
  "com_objects_discovery_via_powershell": "Получение информации о COM-объектах с помощью $Image_path: $Command_line (MITRE: T1546.015 Event Triggered Execution: Component Object Model Hijacking).",
  "com_objects_execution_via_cmd": "Процесс $Image_path выполнил методы класса COM в командной строке: $Command_line (MITRE: T1546.015 Event Triggered Execution: Component Object Model Hijacking).",
  "com_objects_hijack_via_creating_registry_links": "Процесс $Image_path cоздал символическую ссылку в реестре для потенциального осуществления COM Hijacking: $Registry_value (MITRE: T1546.015 Event Triggered Execution: Component Object Model Hijacking).",
  "com_objects_hijack_via_delegateexecute": "COM Hijacking путем изменения параметра реестра DelegateExecute: $Registry_key (MITRE: T1546.015 Event Triggered Execution: Component Object Model Hijacking).",
  "com_objects_hijack_via_mscfile": "COM Hijacking путем изменения команды запуска для mscfile: $Registry_key (MITRE: T1546.015 Event Triggered Execution: Component Object Model Hijacking).",
  "com_objects_hijack_via_powershell": "COM Hijacking с помощью $Image_path: $Command_line (MITRE: T1546.015 Event Triggered Execution: Component Object Model Hijacking).",
  "com_objects_hijack_via_reg": "Процесс $Image_path добавил или удалил ключ команды оболочки для осуществления COM Hijacking: $Command_line (MITRE: T1546.015 Event Triggered Execution: Component Object Model Hijacking).",
  "com_objects_hijack_via_rundll": "COM Hijacking путем изменения $Image_path: $Command_line (MITRE: T1546.015 Event Triggered Execution: Component Object Model Hijacking).",
  "com_objects_hijack_via_sdclt": "COM Hijacking путем изменения параметра реестра isolatedCommand: $Registry_key (MITRE: T1546.015 Event Triggered Execution: Component Object Model Hijacking).",
  "com_objects_hijack_via_threatas": "Процесс $Image_path установил ключ реестра $Registry_key для осуществления COM Hijacking (MITRE: T1546.015 Event Triggered Execution: Component Object Model Hijacking).",
  "communication_via_telegram": "Процесс $Image_path может взаимодействовать с C2 с помощью Telegram (MITRE: T1102.002 Web Service: Bidirectional Communication).",
  "compress_data_for_exfiltration_via_archiver": "Процесс утилиты архивирования $Image_path был запущен для сжатия данных с командной строкой $Command_line (MITRE: T1560.001 Archive Collected Data: Archive via Utility).",
  "computer_name_evasion": "Процесс $Image_path попытался проверить имя компьютера виртуальной машины sandbox по предустановленному списку имен компьютеров, который записан в коде программы, запустившей процесс (MITRE: T1082 System Information Discovery).",
  "control_panel_item_from_public_directories": "Процесс $Image_path выполнил элемент Панели управления из общедоступных каталогов. Командная строка: $Command_line (MITRE: T1218.002 Signed Binary Proxy Execution: Control Panel).",
  "copying_from_admin_share_via_default_tools": "Процесс $Image_path выполнил копирование из общего ресурса администратора с помощью стандартных инструментов: $Command_line (MITRE: T1021.002 Remote Services: SMB/Windows Admin Shares).",
  "copying_saving_sam_registry_hives": "Процесс $Image_path скопировал/сохранил ветви реестра SAM: $Command_line (MITRE: T1003.002 OS Credential Dumping: Security Account Manager).",
  "cor_profiler_change": "Процесс $Image_path изменил переменную среды COR_PROFILER через реестр: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1574.012 Hijack Execution Flow: COR_PROFILER).",
  "cor_profiler_via_pwsh": "Переменная среды COR_PROFILER была измененена с помощью PowerShell: $Command_line (MITRE: T1574.012 Hijack Execution Flow: COR_PROFILER).",
  "cpu_name_check": "Процесс $Image_path проверил, совпадает ли имя CPU с $CPU_name (MITRE: T1497.001 Virtualization/Sandbox Evasion: System Checks).",
  "create_alternate_data_stream_via_powershell": "Процесс $Image_path создал альтернативный поток данных с помощью PowerShell: $Command_line (MITRE: T1564.004 Hide Artifacts: NTFS File Attributes).",
  "create_autoruninf": "Процесс $Image_path создал файл $File_path. Этот файл может содержать в себе инструкции запуска другого исполняемого файла (MITRE: T1091 Replication Through Removable Media).",
  "create_file_startup": "Процесс $Image_path создал файл $File_path в папке автозагрузки (MITRE: T1547.001 Registry Run Keys / Start Folder).",
  "create_job": "Процесс $Image_path создал задание $File_path в планировщике заданий Windows (MITRE: T1053.005 Scheduled Task/Job: Scheduled Task).",
  "create_job_via_at": "Процесс $Image_path создал задание в планировщике заданий Windows с помощью at.ex : $Command_line (MITRE: T1053.002 Scheduled Task/Job: At).",
  "create_job_via_schtasks": "Процесс $Image_path создал задание в планировщике заданий Windows с помощью schtasks.exe : $Command_line (MITRE: T1053.005 Scheduled Task/Job: Scheduled Task).",
  "create_mof_file": "Процесс $Image_path создал новый MOF-файл $File_path (MITRE: T1546.003 Windows Management Instrumentation Event Subscription). ",
  "create_process_parameters": "Процесс $Image_path создан с помощью недокументированных API-функций. Директория импорта DLL переопределена на $Target_file_path. Такая активность типична для подмены DLL-библиотеки на вредоносную (MITRE: T1574.001 DLL Search Order Hijacking).",
  "create_service": "Процесс $Image_path создал службу Windows $Service_name (путь к исполняемому файлу: $Service_path) (MITRE: T1543.003 Create or Modify System Process: Windows Service).",
  "create_shadow_copy": "Процесс $Image_path создал теневую копию с помощью $Command_line (MITRE: T1003 OS Credential Dumping).",
  "created_compressed_file_without_archive_utility": "Процесс $Image_path создал файл архива $File_path без помощи утилит (MITRE: T1560.003 Archive Collected Data: Archive via Custom Method).",
  "created_windows_shell_from_critical_windows_process": "Windows Shell ($Image_path) был запущен критичным процессом Windows $Parent_image_path с помощью командной строки: $Command_line (MITRE: T1036 Masquerading)",
  "creation_of_execuatable_or_script_by_certutil": "Утилита certutil $Image_path скопировала на компьютер исполняемый файл $File_path (MITRE: T1027 Obfuscated Files or Information).",
  "credential_dump_pipe": "Процесс $Image_path подключился к именованному каналу $Pipe, что является характерным для утилит дампинга учетных данных (MITRE: T1003.001 OS Credential Dumping: LSASS Memory)",
  "credentials_dumping_tools_artefacts": "Процесс $Image_path создал файл $File_path, относящийся к утилитам для извлечения паролей из дампа памяти (MITRE: T1003 OS Credential Dumping).",
  "credentials_in_file_unattend_xml": "Процесс $Image_path обратился к учетным данным в файле $File_path (MITRE: T1552.001 Unsecured Credentials: Credentials In Files).",
  "database_port_scan": "Процесс $Image_path провел сканирование портов, характерных для баз данных (MITRE: T1046 Network Service Scanning).",
  "default_rdp_port_opening_via_netsh": "Процесс $Image_path открыл порт RDP по умолчанию с помощью Netsh: $Command_line (MITRE: T1021.001 Remote Desktop Protocol).",
  "delayed_delete": "Процесс $Image_path выполнил отложенную операцию удаления файла $Target_file_path (MITRE: T1070.004 File Deletion).",
  "delayed_move": "Процесс $Image_path выполнил отложенную операцию перемещения файла из папки $File_path в папку $Target_file_path (MITRE: T1119 Automated Collection).",
  "delayed_move_hosts": "Процесс $Image_path выполнил операцию отложенного перемещения файла hosts операционной системы Windows из папки $File_path в папку $Target_file_path (MITRE: T1016 System Network Configuration Discovery).",
  "delete_hosts": "Процесс $Image_path удалил файл hosts операционной системы Windows. Это может повлиять на разрешение имен DNS (MITRE: T1070.004 File Deletion).",
  "delete_restore_point_via_pwsh": "Точка восстановления Windows была удалена с помощью Powershell: $Command_line (MITRE: T1490 Inhibit System Recovery).",
  "delete_shadow_copy": "Процесс $Image_path удалил теневые копии файлов пользователя  (MITRE: T1490 Inhibit System Recovery). Это действие типично для вредоносных программ-вымогателей класса Trojan-Ransom.",
  "detect_av_by_device": "Процесс $Image_path попытался открыть виртуальное устройство $Device_name, специфичное для антивирусного ПО (MITRE: T1518.001 Security Software Discovery).",
  "detect_debugger_by_device": "Процесс $Image_path попытался открыть виртуальное устройство $File_path, чтобы проверить наличие отладчика в системе (MITRE: T1518.001 Software Discovery: Security Software Discovery).",
  "detect_vm": "Процесс $Image_path попытался обнаружить виртуальную среду (MITRE: T1497.001 Virtualization/Sandbox Evasion: System Checks).",
  "detect_vm_alkhaser": "Процесс $Image_path пытается обнаружить свое выполнение в виртуальной среде (MITRE: T1497 Virtualization/Sandbox Evasion)",
  "detect_vm_by_hostname": "Процесс $Image_path сравнил имя компьютера со списком известных серверов Sandbox, чтобы обойти проверку компонентом Sandbox (MITRE: T1497.001 Virtualization/Sandbox Evasion: System Checks).",
  "detected_powershell_execution_without_powershell_exe": "Процесс $Image_path загрузил $Loaded_image_path, выполнив код PowerShell без запуска powershell.exe (MITRE: T1059.001 Command and Scripting Interpreter: PowerShell).",
  "detected_screensaver_via_scr": "Приложение заставки Windows $Image_path было запущено процессом $Parent_image_path (MITRE: T1546.002 Event Triggered Execution: Screensaver).",
  "detected_winapi_functions_in_powershell": "Процесс $Image_path вызвал функцию WinAPI (MITRE: T1059.001 Command and Scripting Interpreter: PowerShell).",
  "disabing_service_via_registry": "Процесс $Image_path отключил службу Windows: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1562.001 Impair Defenses: Disable or Modify Tools).",
  "disable_action_center": "Процесс $Image_path отключил Центр поддержки Windows (MITRE: T1562.001 Disabling Security Tools).",
  "disable_auto_update": "Процесс $Image_path отключил автоматическое обновление Windows (MITRE: T1562.001 Disabling Security Tools).",
  "disable_av_notify": "Программа $Image_path пытается заблокировать всплывающие уведомления Центра безопасности о том, что антивирусная программа отключена.",
  "disable_cmd": "Процесс $Image_path отключил интерпретатор командной строки Windows (MITRE: T1562.001 Disabling Security Tools).",
  "disable_consent_prompt_behavior_admin": "Процесс $Image_path отключил запрос аутентификации для системы контроля учетных записей пользователей (MITRE: T1548.002 Bypass User Account Control).",
  "disable_dep": "Процесс $Image_path отключил Предотвращение выполнения данных (DEP) (MITRE: T1562.001 Disabling Security Tools).",
  "disable_firewall": "Процесс $Image_path отключил Брандмауэр Windows (MITRE: T1562.004 Impair Defenses: Disable or Modify System Firewall).",
  "disable_or_modify_system_firewall_via_powershell": "Windows Firewall был отключен с помощью Powershell: $Command_line (MITRE: T1562.004 Impair Defenses: Disable or Modify System Firewall).",
  "disable_prompt_on_secure_desktop": "Процесс $Image_path отключил безопасный рабочий стол Windows (MITRE: T1562.002 Impair Defenses: Disable Windows Event Logging).",
  "disable_registry_tools": "Процесс $Image_path отключил редактор реестра Windows (MITRE: T1562.001 Disabling Security Tools).",
  "disable_safe_boot": "Процесс $Image_path отключил загрузку Windows в безопасном режиме (MITRE: T1562.001 Disabling Security Tools).",
  "disable_security_center": "Процесс $Image_path отключил оповещения Центра обеспечения безопасности Windows, изменив параметр $Registry_key (MITRE: T1562.001 Disabling Security Tools).",
  "disable_show_super_hidden": "Процесс $Image_path отключил отображение скрытых файлов (MITRE: T1564.001 Hide Artifacts: Hidden Files and Directories).",
  "disable_system_restore": "Процесс $Image_path отключил Восстановление системы Windows (MITRE: T1562.001 Disabling Security Tools).",
  "disable_task_manager": "Процесс $Image_path отключил диспетчер задач Windows: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1562.001 Disabling Security Tools).",
  "disable_uac": "Процесс $Image_path отключил контроль учетных записей пользователей (MITRE: T1548.002 Bypass User Account Control).",
  "disable_update_notify": "Программа $Image_path пытается заблокировать всплывающие уведомления Центра безопасности о том, что обновления Windows отключены.",
  "disabling_admin_share_via_registry": "Процесс $Image_path отключил автоматическое создание административного общего ресурса с помощью реестра: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1070.005 Network Share Connection Removal).",
  "disabling_amsi": "Процесс $Image_path отключил защиту AMSI: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1562 Impair Defenses).",
  "disabling_amsi_via_powershell": "Процесс $Image_path обошел защиту AMSI, установив значение true для поля amsiInitFailed: $Command_line (MITRE: Impair Defenses: Disable or Modify Tools T1562.001).",
  "disabling_etw_via_powershell": "Трассировка событий Windows (ETW) была отключена с помощью PowerShell: $Command_line (MITRE: T1562.006 Impair Defenses: Indicator Blocking).",
  "disabling_etw_via_registry": "Процесс $Image_path отключил трассировку событий Windows (ETW): $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1562.006 Impair Defenses: Indicator Blocking).",
  "disabling_event_logging_via_auditpol": "Обнаружено отключение логирования событий Windows с помощью AuditPol: $Command_line (MITRE: T1562.002 Impair Defenses: Disable Windows Event Logging).",
  "disabling_event_logging_via_wevtutil": "Процесс $Image_path отключил логирование событий Windows с помощью Wevtutil: $Command_line (MITRE: T1562.002 Impair Defenses: Disable Windows Event Logging).",
  "disabling_fw_via_netsh": "Процесс $Image_path отключил брандмауэр Microsoft Windows с помощью Netsh.exe: $Command_line (MITRE: T1562.004 Disable or Modify System Firewall).",
  "disabling_lsa_protection": "Процесс $Image_path отключил защиту LSA: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1562 Impair Defenses).",
  "disabling_restricted_admin": "Процесс $Image_path отключил Restricted Admin Mode:  $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1562 Impair Defenses).",
  "disabling_run_win_app": "Процесс $Image_path отключил команду Run из меню \"Пуск\" (MITRE: T1562.001 Impair Defenses: Disable or Modify Tools).",
  "disabling_safedllsearchmode_via_registry": "Процесс $Image_path отключил параметр $Registry_value_name в реестре: $Registry_key (MITRE: T1574.001 Hijack Execution Flow: DLL Search Order Hijacking).",
  "disabling_smartscreen_protection": "Процесс $Image_path отключил защиту SmartScreen: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1562.001 Impair Defenses: Disable or Modify Tools).",
  "disabling_smartscreen_protection_2": "Процесс $Image_path отключил защиту SmartScreen: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1562.001 Impair Defenses: Disable or Modify Tools).",
  "disabling_task_via_powershell": "Обнаружено отключение запланированного задания с помощью PowerShell: $Command_line (MITRE: T1562.001 Impair Defenses: Disable or Modify Tools).",
  "disabling_win_defender_via_registry": "Процесс $Image_path отключил одну из функций Windows Defender: $Registry_value_name (MITRE: T1562.001 Impair Defenses: Disable or Modify Tools).",
  "disabling_win_logger_via_registry": "Процесс $Image_path отключил логирование журнала Windows: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1562.002 Impair Defenses: Disable Windows Event Logging).",
  "disabling_win_task_via_schtask": "Обнаружено отключение запланированного задания: $Command_line (MITRE: T1562.001 Impair Defenses: Disable or Modify Tools).",
  "disabling_windefend_via_dism": "Процесс $Parent_image_path отключил Windows Defender: $Command_line (MITRE: T1562.001 Disable or Modify Tools).",
  "disabling_windows_firewall_via_net": "Процесс $Image_path отключил брандмауэр Microsoft Windows с помощью Net.exe: $Command_line (MITRE: T1562.004 Disable or Modify System Firewall).",
  "discovery_gpp_passwords_via_command_line": "Процесс $Image_path осуществил разведку паролей GPP с помощью командной строки: $Command_line (MITRE: T1552.006 Unsecured Credentials: Group Policy Preferences).",
  "discovery_private_keys_via_command_line": "Процесс $Image_path осуществил разведку закрытых ключей с помощью командной строки: $Command_line (MITRE: T1552.004 Unsecured Credentials: Private Keys).",
  "disk_size_check": "Процесс $Image_path проверил размер жесткого диска. Это может быть использовано для обнаружения виртуальной машины (MITRE: T1497.001 Virtualization/Sandbox Evasion: System Checks).",
  "dll_import_table_modified_via_setdll": "Таблица импорта DLL PE-файла изменена с помощью $Image_path: $Command_line (MITRE: T1574.001 Hijack Execution Flow: DLL Search Order Hijacking).",
  "dll_injection_via_custom_dotnet_garbage_collector": "DLL была внедрена в процесс с помощью сборщика мусора: $Command_line (MITRE: T1055.001 Dynamic-link Library Injection).",
  "dll_injection_via_loadlibrary": "Процесс $Image_path внедрил DLL в процесс $Target_image_path с помощью вызова Loadlibrary (MITRE: T1055.001 Dynamic-link Library Injection).",
  "dll_loading_in_lsass_via_undocumented_registry_key": "Процесс $Image_path загрузил $Registry_value в адресное пространство процесса lsass.exe с помощью реестра: $Registry_key (MITRE: T1547.008 Boot or Logon Autostart Execution: LSASS Driver).",
  "dll_sideloading": "DLL $Loaded_image_path была загружена в адресное пространство процесса $Image_path с использованием DLL Side-Loading (MITRE: T1574.002 Hijack Execution Flow: DLL Side-Loading).",
  "dns_scan": "Программа $Image_path выполнила многократные DNS-запросы(MITRE: T1016 System Network Configuration Discovery).",
  "domain_account_creation_via_net": "Процесс $Image_path создал доменную учетную запись: $Command_line (MITRE: T1136.002 Create Account: Domain Account).",
  "domain_account_creation_via_powershell": "Процесс $Image_path создал доменную учетную запись: $Command_line (MITRE: T1136.002 Create Account: Domain Account).",
  "domain_group_permition_discovery": "Процесс $Image_path пытался получить информацию о разрешениях доменных групп: $Command_line (MITRE: T1069.002 Permission Groups Discovery: Domain Groups).",
  "domain_group_permition_discovery_powershell": "Процесс $Image_path пытался получить информацию о правах доменных групп с помощью PowerShell: $Command_line (MITRE: T1069.002 Permission Groups Discovery: Domain Groups).",
  "domain_joined_check": "Процесс $Image_path проверил, подключен ли компьютер к домену с помощью Win API вызова NetGetJoinInformation() (MITRE: T1497.001 Virtualization/Sandbox Evasion: System Checks).",
  "domain_trust_discovery_attempt_via_dsquery_or_adfind": "Процесс $Image_path пытался получить информацию о доверительных отношениях между доменами с помощью Dsquery или Adfind (MITRE: T1482 Domain Trust Discovery).",
  "domain_trust_discovery_via_api": "Были обнаружены попытки поиска доверительных отношений между доменами при помощи API: $Image_path (MITRE: T1482 Domain Trust Discovery).",
  "domain_trust_discovery_via_nltest_exe": "Были обнаружены попытки поиска доверительных отношений между доменами при помощи $Image_path: $Command_line (MITRE: T1482 Domain Trust Discovery).",
  "download_executable_from_trusted_process": "Доверенный процесс $Image_path скачал исполняемый файл $Target_file_path из следующего источника: $URL (MITRE: T1071.001 Application Layer Protocol: Web Protocols).",
  "download_from_cloud": "Процесс $Image_path пытался соединиться с облачным сервисом $URL (MITRE: T1102 Web Service).",
  "download_from_trusted_process": "Доверенный процесс $Image_path обратился к неизвестому URL-адресу $URL (MITRE: T1071.001 Application Layer Protocol: Web Protocols).",
  "download_payload_via_installutil": "Процесс $Parent_image_path загрузил файл с помощью утилиты install.exe: $Command_line (MITRE: T1105 Ingress Tool Transfer).",
  "download_via_excel_com_object": "Процесс $Image_path использовал COM-объект Excel через PowerShell, чтобы подключиться к сети: $Command_line (MITRE: T1559.001 Inter-Process Communication: Component Object Model).",
  "download_via_ie_com_object": "Процесс $Image_path использовал COM-объект InternetExplorer через PowerShell, чтобы подключиться к сети: $Command_line (MITRE: T1559.001 Inter-Process Communication: Component Object Model).",
  "download_via_serverxmlhttp_com_object": "Процесс $Image_path использовал COM-объект Msxml2.ServerXmlHttp через PowerShell, чтобы подключиться к сети: $Command_line (MITRE: T1559.001 Inter-Process Communication: Component Object Model).",
  "download_via_winhttp_com_object": "Процесс $Image_path использовал COM-объект WinHttpRequest через PowerShell, чтобы подключиться к сети: $Command_line (MITRE: T1559.001 Inter-Process Communication: Component Object Model).",
  "download_via_word_com_object": "Процесс $Image_path использовал COM-объект Word через PowerShell, чтобы подключиться к сети: $Command_line (MITRE: T1559.001 Inter-Process Communication: Component Object Model).",
  "downloading_via_curl": "Процесс $Parent_image_path загрузил файл с помощью cURL: $Command_line (MITRE: T1071.001 Application Layer Protocol: Web Protocols).",
  "drop_from_trusted_process": "Доверенный процесс $Image_path сохранил исполняемый файл $Drop_path (MITRE: T1204.002 User Execution: Malicious File).",
  "drop_run_from_trusted_process": "Доверенное приложение $Parent_image_path запустило процесс $Image_path (MITRE: T1204.002 User Execution: Malicious File).",
  "dropper": "Процесс $Image_path инициировал запуск файла $File_path, созданного процессом $Dropper_image_path. Строка запуска: $Command_line (MITRE: T1204.002 User Execution: Malicious File).",
  "dropping_executable_format_file_from_certutil": "Процесс $Image_path поместил исполняемый файл на компьютер: $Command_line (MITRE: T1105 Ingress Tool Transfer).",
  "dumping_ntds_via_commandline": "Процесс $Image_path попытался сохранить базу NTDS.dit с помощью командной строки: $Command_line (MITRE: T1003.003 OS Credential Dumping: NTDS).",
  "dyndns_connect": "Процесс $Image_path обратился к интернет-ресурсу с автоматически сгенерированным DNS-именем (MITRE: T1568 Dynamic Resolution).",
  "echo_in_file_via_cmd_for_further_execution": "Выполнена подозрительная команда, содержащая \"echo\" : $Command_line (T1059.003 Command-Line Interface).",
  "enable_cor_profiler": "Процесс $Image_path включил COR_PROFILER: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1574.012 Hijack Execution Flow: COR_PROFILER).",
  "enabled_dns_over_https_via_registry": "Процесс $Image_path включил использование протокола DNS поверх HTTPS (DoH) с помощью реестра: $Registry_key (MITRE: T1572 Protocol Tunneling).",
  "enabling_wdigest": "Процесс $Image_path разрешил WDigest хранить пароли в открытом виде в памяти LSASS (MITRE: T1003.001 OS Credential Dumping: LSASS Memory).",
  "enum_modules": "Процесс $Image_path пытается проверить модули, чтобы определить, находится ли он в виртуальной среде (MITRE: T1497.001 Virtualization/Sandbox Evasion: System Checks)",
  "enumerate_usb": "Процесс $Image_path получил информацию о доступных USB-устройствах (MITRE: T1120 Peripheral Device Discovery).",
  "exception_call_av": "Нарушение доступа при выполнении команды call вызвало исключение в доверенном процессе $Image_path (MITRE: T1203 Exploitation for Client Execution).",
  "exception_dep_violation": "Нарушение политики предотвращения выполнения данных (DEP) вызвало исключение в доверенном процессе $Image_path (MITRE: T1203 Exploitation for Client Execution).",
  "exception_gs_violation": "Попытка переполнения защищенного буфера в стеке вызвала исключение в доверенном процессе $Image_path (MITRE: T1203 Exploitation for Client Execution).",
  "exception_heap_corruption": "Повреждение неисполняемой памяти (heap) вызвало исключение в доверенном процессе $Image_path (MITRE: T1203 Exploitation for Client Execution).",
  "exception_illegal_instruction": "Попытка выполнить запрещенную инструкцию вызвала исключение в доверенном процессе $Image_path (MITRE: T1068 Exploitation for Privilege Escalation).",
  "exception_privileged_instruction": "Попытка выполнить привилегированную инструкцию вызвала исключение в доверенном процессе $Image_path (MITRE: T1068 Exploitation for Privilege Escalation).",
  "exception_read_av_on_ip": "Нарушение доступа при чтении оперативной памяти по адресу, на который ссылается указатель команд, вызвало исключение в доверенном процессе $Image_path (MITRE: T1203 Exploitation for Client Execution).",
  "exception_write_av": "Нарушение доступа при записи в оперативную память по адресу, на который ссылается указатель команд, вызвало исключение в доверенном процессе $Image_path (MITRE: T1203 Exploitation for Client Execution).",
  "executing_ps1_from_public_directory": "Процесс $Image_path запустил ps1 скрипт из общедоступной директории: $Command_line (MITRE: T1059.001 Command and Scripting Interpreter: PowerShell).",
  "execution_of_a_windows_script_with_unusual_file_extension": "Процесс $Image_path исполнил скрипт Windows с необычным расширением файла: $Command_line (MITRE: T1059.005 Command and Scripting Interpreter: Visual Basic).",
  "execution_on_stack": "Доверенный процесс $Image_path выполнил код в участке памяти, который соответствует стеку процесса. Это может привести к несанкционированному доступу к системе (MITRE: T1203 Exploitation for Client Execution).",
  "execution_via_registerxll_com_method": "Процесс $Image_path использовал COM-метод RegisterXLL в PowerShell, чтобы выполнить сторонний код: $Command_line (MITRE: T1559.001 Inter-Process Communication: Component Object Model).",
  "executions_of_javascripts_from_public_directories_via_wscript_or_cscript": "JavaScript был запущен из общедоступной директории: $Command_line (MITRE: T1059.007 Command and Scripting Interpreter: JavaScript).",
  "executions_of_scripts_from_public_directories_via_wscript_or_cscript": "Скрипт Visual Basic был запущен из общедоступных директорий: $Command_line (MITRE: T1059.005 Command and Scripting Interpreter: Visual Basic).",
  "export_certificates_via_powershell": "Процесс $Image_path экспортировал сертификаты с помощью PowerShell: $Command_line (MITRE: T1552.004 Unsecured Credentials: Private Keys).",
  "export_private_keys_via_certutil": "Процесс $Image_path экспортировал сертификаты с помощью Certutil.exe: $Command_line (MITRE: T1552.004 Unsecured Credentials: Private Keys).",
  "external_ip_detect": "Процесс $Image_path использовал $URL для получения внешнего IP-адреса компьютера (MITRE: T1016 System Network Configuration Discovery).",
  "extracting_credentials_from_files_via_powershell": "Процесс $Image_path обратился к учетным данным в файле $File_path (MITRE: T1552.001 Unsecured Credentials: Credentials In Files). ",
  "fake_powershell_drop": "Процесс $Dropper_image_path создал исполняемый файл, который был переименован из powershell.exe в: $File_path (MITRE: T1036.003 Masquerading: Rename System Utilities).",
  "fake_powershell_launch": "Процесс $Parent_image_path запустил интерпретатор PowerShell не с помощью программы powershell.exe, а с помощью $Image_path. Команда: $Command_line (MITRE: T1059.001 Command and Scripting Interpreter: PowerShell).",
  "fake_service": "Процесс $Image_path дал службе описание, похожее на описание легитимных служб: $Reg_value (MITRE: T1036.004 Masquerading: Masquerade Task or Service).",
  "file_and_directory_permissions_deny_or_remove_via_stu": "Процесс $Image_path запретил или удалил разрешения папок/файлов: $Command_line (MITRE: T1222.001 File and Directory Permissions Modification: Windows File and Directory Permissions Modification).",
  "file_and_directory_permissions_modification_via_stu": "Процесс $Image_path изменил разрешения папок/файлов Windows: $Command_line (MITRE: T1222.001 File and Directory Permissions Modification: Windows File and Directory Permissions Modification).",
  "file_association": "Процесс $Image_path установил новое значение для ключа реестра $Registry_key, отвечающий за сопоставление типа файла с расширением, на $Registry_value (MITRE: T1546.001 Change Default File Association)",
  "file_download_via_bits_com": "Процесс $Image_path загрузил файл, используя COM-объект BITS (MITRE: T1197 BITS Jobs).",
  "file_download_via_bitsadmin": "Процесс $Image_path попытался загрузить файл с помощью команды $Command_line (MITRE: T1197 BITS Jobs).",
  "file_drop_from_trusted_process": "Доверенный процесс $Image_path создал исполняемый файл $File_path (MITRE: T1204.002 User Execution: Malicious File).",
  "file_execution_options": "Процесс $Image_path добавил запуск исполняемого файла $Registry_value вместе с существующей программой, изменив параметр Debugger в $Registry_key (MITRE: T1546.012 Image File Execution Options Injection).",
  "file_replacement": "Процесс $Image_path подменил собственный исполняемый файл (MITRE: T1070.004 Indicator Removal on Host: File Deletion).",
  "filename_like_system_tool_in_wrong_place_dropped": "Исполняемый файл $Image_path с именем системного процесса изменен в нестандартной директории $File_path (MITRE: T1036.005 Masquerading).",
  "filename_like_system_tool_in_wrong_place_run": "Процесс $Image_path запустил программу, которая называется как системный файл, но хранится не в оригинальной папке: $Dropper_image_path. Команда: $Command_line (MITRE: T1036.005 Masquerading).",
  "find_bank_client": "Процесс $Image_path сверил имя процесса каждого пользователя со списком известных имен процессов клиентов интернет-банка (MITRE: T1518 Software Discovery). Такая активность типична для вредоносной программы Trojan-Banker.",
  "find_file": "Процесс $Image_path выполнил поиск файла/папки с именем, содержащим подстроку $Substring, в папке $Search_path. (MITRE: T1083 File and Directory Discovery).",
  "ftp_scan": "Процесс $Image_path провел сканирование FTP-соединений (MITRE: T1046 Network Service Scanning).",
  "fw_modification_via_netsh": "Процесс $Image_path изменил конфигурацию брандмауэра Microsoft Windows с помощью Netsh.exe: $Command_line (MITRE: T1562.004 Disable or Modify System Firewall).",
  "get_privilege": "Процесс $Image_path получил привилегию $Privilege_name (MITRE: T1134 Access Token Manipulation).",
  "granting_rights_to_user": "Процесс $Image_path назначил права пользователю с помощью WinAPI (MITRE: T1098 Account Manipulation).",
  "group_policy_discovery_via_gpresult": "Процесс $Image_path попытался получить информацию о групповых политиках: $Command_line (MITRE: T1615 Group Policy Discovery).",
  "group_policy_discovery_via_powershell": "Процесс $Image_path пытался получить информацию о групповых политиках с помощью PowerShell: $Command_line (MITRE: T1615 Group Policy Discovery).",
  "group_policy_discovery_via_sysvol_directory": "Процесс $Image_path попытался получить информацию о групповых политиках с помощью директории Sysvol (MITRE: T1615 Group Policy Discovery).",
  "group_policy_settings_modification_via_powershell": "Процесс $Image_path изменил параметры групповых политик через PowerShell: $Command_line (MITRE: T1484.001 Domain Policy Modification: Group Policy Modification).",
  "group_policy_settings_modification_via_reg": "Процесс $Image_path изменил параметры групповых политик через реестр: $Command_line (MITRE: T1484.001 Domain Policy Modification: Group Policy Modification).",
  "heap_spray": "В динамической памяти доверенного процесса $Image_path обнаружен код, внедренный методом Heap-Spray (MITRE: T1203 Exploitation for Client Execution).",
  "hidden_sfx": "Самораспаковывающийся архив $Image_path был запущен в скрытом режиме (MITRE: T1204.002 User Execution: Malicious File).",
  "hidden_via_pwsh": "Процесс $Parent_image_path запустил PowerShell с атрибутом \"Скрытый\": $Command_line (MITRE: T1564.003 Hidden Window).",
  "hide_user_account_via_registry": "Процесс $Image_path скрыл учетную запись пользователя с помощью реестра: $Registry_key (MITRE: T1564.002 Hide Artifacts: Hidden Users).",
  "hosts_file_modification": "Процесс $Image_path изменил файл hosts ОС Windows. Это может повлиять на разрешение имен DNS (MITRE: T1565 Data Manipulation).",
  "icmp_scan": "Программа $Image_path многократно выполнила ICMP-запросы (MITRE: T1046 Network Service Discovery)",
  "image_file_execution_options_injection_via_silentprocessexit": "Процесс $Image_path установил ключ реестра $Registry_key для запуска исполняемого файла $Registry_value вместе с существующей программой (MITRE: T1546.012 Event Triggered Execution: Image File Execution Options Injection).",
  "import_service_from_file": "Процесс $Image_path создал или изменил сервис: прочитал файл на диске и импортировал его содержимого в реестр $Reg_Key (MITRE: T1543.003 New Service). ",
  "ingress_tool_transfer_via_certoc": "Процесс $Image_path загрузил на компьютер инструмент Ingress: $Command_line (MITRE: T1105 Ingress Tool Transfer).",
  "ingress_tool_transfer_via_certreq": "Процесс $Image_path загрузил на компьютер инструмент Ingress: $Command_line (MITRE: T1105 Ingress Tool Transfer).",
  "ingress_tool_transfer_via_certutil": "Процесс $Image_path загрузил на компьютер инструмент Ingress: $Command_line (MITRE: T1105 Ingress Tool Transfer).",
  "ingress_tool_transfer_via_cmdl32": "Процесс $Image_path загрузил на компьютер инструмент Ingress: $Command_line (MITRE: T1105 Ingress Tool Transfer).",
  "ingress_tool_transfer_via_curl": "Процесс $Image_path загрузил на компьютер инструмент Ingress: $Command_line (MITRE: T1105 Ingress Tool Transfer).",
  "ingress_tool_transfer_via_desktopimgdownldr": "Процесс $Image_path загрузил на компьютер инструмент Ingress: $Command_line (MITRE: T1105 Ingress Tool Transfer).",
  "ingress_tool_transfer_via_esentutl": "Процесс $Image_path загрузил на компьютер инструмент Ingress: $Command_line (MITRE: T1105 Ingress Tool Transfer).",
  "ingress_tool_transfer_via_finger": "Процесс $Image_path загрузил инструмент Ingress на компьютер:  Command_line (MITRE: T1105 Ingress Tool Transfer).",
  "ingress_tool_transfer_via_hh": "Процесс $Image_path загрузил на компьютер инструмент Ingress: $Command_line (MITRE: T1218.001 System Binary Proxy Execution: Compiled HTML File).",
  "ingress_tool_transfer_via_imewdbld": "Процесс $Image_path загрузил на компьютер инструмент Ingress: $Command_line (MITRE: T1105 Ingress Tool Transfer).",
  "ingress_tool_transfer_via_microsoft_office_tools": "Процесс $Image_path загрузил на компьютер инструмент Ingress: $Command_line (MITRE: T1105 Ingress Tool Transfer).",
  "ingress_tool_transfer_via_mpcmdrun": "Процесс $Image_path загрузил на компьютер инструмент Ingress: $Command_line (MITRE: T1105 Ingress Tool Transfer).",
  "ingress_tool_transfer_via_msoxmled": "Процесс $Image_path загрузил на компьютер инструмент Ingress: $Command_line (MITRE: T1105 Ingress Tool Transfer).",
  "ingress_tool_transfer_via_print": "Процесс $Image_path загрузил на компьютер инструмент Ingress: $Command_line (MITRE: T1105 Ingress Tool Transfer).",
  "ingress_tool_transfer_via_printbrm": "Процесс $Image_path загрузил на компьютер инструмент Ingress: $Command_line (MITRE: T1105 Ingress Tool Transfer).",
  "ingress_tool_transfer_via_replace": "Процесс $Image_path загрузил на компьютер инструмент Ingress: $Command_line (MITRE: T1105 Ingress Tool Transfer).",
  "ingress_tool_transfer_via_xwizard": "Процесс $Image_path загрузил на компьютер инструмент Ingress: $Command_line (MITRE: T1105 Ingress Tool Transfer).",
  "inject_common": "Процесс $Image_path внедрил бинарный код в процесс $Target_path (MITRE: T1055 Process Injection).",
  "inject_from_trusted_process": "Доверенный процесс $Image_path внедрил бинарный код в процесс $Target_path (MITRE: T1055 Process Injection).",
  "inject_propagate": "Процесс $Image_path внедрил бинарный код в процесс explorer.exe (MITRE: T1055 Process Injection).",
  "inject_self_copy": "Процесс $Image_path внедрил бинарный код в свою копию $Target_path (MITRE: T1055.002 Process Injection).",
  "install_chrome_extension": "Процесс $Image_path пытался установить расширение в браузер Google Chrome (MITRE: T1217 Browser Bookmark Discovery).",
  "install_chrome_extension_via_cmd": "Процесс $Image_path пытался установить расширение в браузер Google Chrome через командную строку: $Command_line (MITRE: T1217 Browser Bookmark Discovery).",
  "install_chrome_extension_via_reg": "Процесс $Image_path пытался установить расширение в браузер Google Chrome через реестр: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1217 Browser Bookmark Discovery).",
  "install_edge_extension_via_cmd": "Процесс $Image_path пытался установить расширение в браузер Microsoft Edge через командную строку: $Command_line (MITRE: T1217 Browser Bookmark Discovery).",
  "install_edge_extension_via_reg": "Процесс $Image_path пытался установить расширение в браузер Microsoft Edge через реестр: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1217 Browser Bookmark Discovery).",
  "install_screensaver": "Процесс $Image_path установил экранную заставку Windows $Target_file (MITRE: T1546.002 Screensaver).",
  "installed_components": "Процесс $Image_path установил новый компонент Активной установки $Target_path, изменив параметр $Registry_key (MITRE: T1547.014 Boot or Logon Autostart Execution: Active Setup).",
  "installing_root_cert_via_certutil": "Установлен корневой сертификат с помощью certutil.exe: $Command_line (MITRE: T1553.004 Install Root Certificate).",
  "internet_connection_discovery_via_standard_windows_utilities": "Процесс $Image_path пытался получить информацию об Интернет-соединениях с помощью стандартных утилит Windows: $Command_line (MITRE: T1016.001 System Network Configuration Discovery: Internet Connection Discovery).",
  "invalid_eh": "В доверенном процессе $Image_path обнаружен некорректный обработчик исключений (MITRE: T1203 Exploitation for Client Execution).",
  "invoke_obfuscation_via_use_clip": "Командная строка процесса $Image_path была обфусцирована с использованием clip.exe: $Command_line (MITRE: T1027 Obfuscated Files or Information).",
  "invoke_obfuscation_via_use_mshta": "Командная строка процесса $Image_path была обфусцирована с использованием MSHTA.exe: $Command_line (MITRE: T1027 Obfuscated Files or Information).",
  "invoke_obfuscation_via_use_var": "Командная строка процесса $Image_path была обфусцирована с использованием переменных окружения: $Command_line (MITRE: T1027 Obfuscated Files or Information).",
  "invoke_powershell_tcp_reverse_shell": "Процесс $Parent_image_path мог вызвать Reverse Shell через PowerShell: $Command_line (MITRE: T1059.001 Command and Scripting Interpreter: PowerShell).",
  "javascript_execution_via_msxsl_or_wmic": "JavaScript был запущен через $Image_path с помощью загрузки библиотеки $Loaded_image_path (MITRE: T1059.007 Command and Scripting Interpreter: JavaScript).",
  "ldap_scan": "Процесс $Image_path осуществил проверку портов 88,389,636, ассоциированных с LDAP-сервером (MITRE: T1046 Network Service Discovery).",
  "leaked_lsass_handle": "Процесс $Source_image_path пытался получить дескриптор процесса lsass.exe с помощью CreateProcessWithLogon. Этот дескриптор содержится в созданном процессе: $Image_path (MITRE: T1134.004 Access Token Manipulation: Parent PID Spoofing).",
  "library_modify_in_sxs_folder": "Процесс $Image_path изменил DLL в папке WinSxS: $Target_path (MITRE: T1129 Shared Modules).",
  "linux_add_cronjob": "Процесс $Image_name изменил файл задач cron $File_name (MITRE TA0003 Persistence, MITRE TA0002 Execution,  MITRE T1053.003 Scheduled Task/Job: Cron).",
  "linux_add_pam_module": "Процесс $Image_name добавил модуль PAM $File_name (MITRE T1556.003 Modify Authentication Process: Pluggable Authentication Modules).",
  "linux_add_root_cert": "Процесс $Image_name добавил новый корневой SSL-сертификат $File_name (MITRE TA0005 Defense Evasion, T1553.004 Subvert Trust Controls: Install Root Certificate).",
  "linux_add_systemd_service": "Процесс $Image_name создал новую службу systemd $File_name  (MITRE TA0003 Persistence, MITRE T1543.002 Create or Modify System Process: Systemd Service).",
  "linux_change_auth_logs": "Процесс $Image_name изменил системный журнал аутентификации (MITRE T1070.002 Indicator Removal on Host: Clear Linux or Mac System Logs).",
  "linux_change_bash_profile": "Процесс $Image_name изменил .bashrc или .bash_profile (MITRE TA0003 Persistence, MITRE T1546.004 Unix Shell Configuration Modification).",
  "linux_change_fw_rules": "Процесс $Image_name изменил правила брандмауэра (MITRE TA0005 Defense Evasion, T1562.004 Impair Defenses: Disable or Modify System Firewall).",
  "linux_change_passwd": "Процесс $Image_name изменил /etc/passwd или /etc/shadow (MITRE TA0003 Persistence, MITRE T1098 Account Manipulation).",
  "linux_clear_command_history": "Процесс $Image_name изменил историю команд интерпретатора shell (MITRE TA0005 Defense Evasion, T1070.003 Indicator Removal on Host: Clear Command History).",
  "linux_connect_to_uncommon_port": "Процесс $Image_name попытался подключиться к редко используемому порту $Port на IP-адресе $IP.",
  "linux_connect_without_dns": "Процесс $Image_name попытался подключиться по порту $Port к хосту $IP без выполнения DNS-запроса.",
  "linux_create_linker_hook": "Процесс $Image_name изменил конфигурационный файл динамического линковщика (MITRE T1574.006 Hijack Execution Flow: Dynamic Linker Hijacking).",
  "linux_delete_file": "Процесс $Image_name удалил файл $Target_path (MITRE TA0005 Defense Evasion, MITRE T1070.004 Indicator Removal on Host: File Deletion).",
  "linux_execute_downloader": "Процесс $Image_name попытался запустить консольный HTTP-клиент $Target_file с аргументами $Argv (MITRE TA0011 Command and Control, MITRE T1105 Ingress Tool Transfer).",
  "linux_execute_dropped_file": "Процесс $Image_name создал и запустил файл $Target_file с аргументами: $Argv.",
  "linux_execute_file": "Процесс $Image_name запустил исполняемый файл $Target_file с аргументами: $Argv.",
  "linux_execute_suspicious_command": "Процесс $Image_name попытался выполнить подозрительную команду с аргументами: $Argv.",
  "linux_execute_tcpshell": "Процесс $Image_name запустил консоль bind shell или reverse shell на хосте $IP:$Port (MITRE TA0002 Execution, MITRE T1059 Command and Scripting Interpreter).",
  "linux_hidden_file_access": "Процесс $Image_name попытался обратиться к скрытому файлу $Target_file (MITRE TA0005 Defense Evasion, MITRE T1564.001 Hide Artifacts: Hidden Files and Directories).",
  "linux_inmemory_exec": "Процесс $Image_name попытался запустить исполняемый файл из дескриптора в оперативной памяти (MITRE TA0005 Defense Evasion, MITRE T1564 Hide Artifacts).",
  "linux_keyboard_read": "Процесс $Image_name попытался перехватить ввод с клавиатуры через файл $File_name (MITRE TA0009 Collection, MITRE T1056 Input Capture).",
  "linux_lateral_movement_ssh": "Процесс $Image_name попытался подобрать пароли к SSH-серверам (MITRE TA0008 Lateral Movement, MITRE T1021.004 Remote Services: SSH).",
  "linux_load_kernel_module": "Процесс $Image_name загрузил модуль ядра (MITRE TA0003 Persistence, MITRE T1547.006 Boot or Logon Autostart Execution: Kernel Modules and Extensions).",
  "linux_modify_many_files": "Процесс $Image_name попытался изменить более 128 файлов.",
  "linux_open_raw_socket": "Процесс $Image_name открыл RAW-сокет.",
  "linux_permissions_modification": "Процесс $Image_name попытался изменить разрешения файла $File_name (MITRE TA0005 Defense Evasion, T1222 File and Directory Permissions Modification).",
  "linux_port_scan": "Процесс попытался просканировать порты на другом хосте с IP-адресом $IP (MITRE TA0007 Discovery, T1046 Network Service Scanning).",
  "linux_port_scan_many_hosts": "Процесс $Image_name попытался просканировать порты на других хостах (MITRE TA0007 Discovery, T1046 Network Service Scanning).",
  "linux_process_enumeration": "Процесс $Image_name попытался получить информацию обо всех запущенных процессах с помощью директории /proc (MITRE TA0007 Discovery, MITRE T1057 Process Discovery).",
  "linux_process_trace": "Процесс $Image_name начал трассировку другого процесса (MITRE TA0005 Defense Evasion, T1055.008 Process Injection: Ptrace System Calls).",
  "linux_read_cpu_info": "Процесс $Image_name попытался получить информацию о процессоре из файла /proc/cpuinfo (MITRE TA0007 Discovery, MITRE T1082 System Information Discovery).",
  "linux_read_fw_rules": "Процесс $Image_name просматривает правила брандмауэра (MITRE TA0007 Discovery, MITRE T1518.001 Software Discovery: Security Software Discovery).",
  "linux_read_kallsyms": "Процесс $Image_name попытался получить значения указателей на функции в ядре (MITRE T1068 Exploitation for Privilege Escalation).",
  "linux_rename_file": "Процесс $Image_name переименовал файл $Previous_name в $New_name.",
  "linux_self_copy": "Процесс $Image_name скопировал свой собственный исполняемый файл в $Target_file.",
  "linux_self_delete": "Процесс $Image_name удалил свой собственный исполняемый файл $Target_file (MITRE TA0005 Defense Evasion, MITRE T1070.004 Indicator Removal on Host: File Deletion).",
  "linux_self_rename": "Процесс $Image_name переименовал свой собственный исполняемый файл $Previous_file в $New_name (MITRE TA0005 Defense Evasion, MITRE T1036 Masquerading).",
  "linux_send_signal": "Процесс $Image_name отправил сигнал другому процессу.",
  "linux_set_fake_file_time": "Процесс $Image_name изменил время последнего прочтения или изменения файла $File_name (MITRE T1070.006 Indicator Removal on Host: Timestomp).",
  "linux_set_process_name": "Процесс $Image_name попытался изменить свое собственное имя (MITRE TA0005 Defense Evasion, MITRE T1036 Masquerading).",
  "linux_ssh_key_access": "Процесс $Image_name попытался получить доступ к ключам SSH (MITRE TA0006 Credential Access, MITRE T1552.004 Unsecured Credentials: Private Keys).",
  "linux_ssh_modify_authkeys": "Процесс $Image_name попытался изменить ключи SSH, используемые для авторизации (MITRE TA0003 Persistence, MITRE T1098.004 Account Manipulation: SSH Authorized Keys).",
  "linux_tcp_connect": "Процесс $Image_name подключился к порту TCP $Port на IP-адресе $IP.",
  "linux_tcp_listen": "Процесс $Image_name открыл порт TCP $Port на IP-адресе $IP.",
  "linux_tmpfs_access": "Процесс $Image_name попытался открыть файл $File_name во временном файловом хранилище.",
  "linux_userfaultd_usage": "Процесс $Image_name попытался обработать ошибки типа page fault в пространстве пользователя (MITRE T1068 Exploitation for Privilege Escalation).",
  "listing_domain_accounts": "Обнаружены попытки получения доменных учетных записей при помощи $Image_path: $Command_line (MITRE: T1087.002 Account Discovery: Domain Account).",
  "listing_domain_accounts_powershell": "Процесс $Image_path попытался получить информацию о доменных учетных записях: $Command_line (MITRE: T1087.002 Account Discovery: Domain Account).",
  "listing_local_accounts": "Процесс $Image_path попытался получить информацию о локальных учетных записях: $Command_line (MITRE: T1087.001 Account Discovery: Local Account).",
  "listing_local_accounts_reg": "Процесс пытался получить информацию о локальных учетных записях при помощи реестра: $Command_line (MITRE: T1087.001 Account Discovery: Local Account).",
  "listing_shares_via_net": "Процесс $Image_path пытался получить список общих сетевых ресурсов: $Command_line (MITRE: T1135 Network Share Discovery).",
  "lnk_creation_from_archive": "Процесс $Image_path создал LNK файл $File_path (MITRE: T1204.002 User Execution: Malicious File).",
  "lnk_modification": "Процесс $Image_path изменил ярлык $Target_file (MITRE: T1547.009 Boot or Logon Autostart Execution: Shortcut Modification).",
  "load_win_kernel": "Процесс $Image_path загрузил ядро операционной системы в свое адресное пространство (MITRE: T1068 Exploitation for Privilege Escalation).",
  "loading_dropped_dll": "Процесс $Image_path загрузил DLL $Loaded_image_path, созданную процессом $Dropper_image_path (MITRE: T1574.001 DLL Search Order Hijacking).",
  "local_account_creation": "Процесс $Image_path создал локальную учетную запись с помощью WinAPI: $Registry_key (MITRE: T1136.001 Create Account: Local Account).",
  "local_account_creation_via_net": "Процесс $Image_path создал локальную учетную запись: $Command_line (MITRE: T1136.001 Create Account: Local Account).",
  "local_account_creation_via_powershell": "Процесс $Image_path создал локальную учетную запись: $Command_line (MITRE: T1136.001 Create Account: Local Account).",
  "local_group_permition_discovery": "Процесс $Image_path попытался получить информацию о разрешениях локальных групп: $Command_line (MITRE: T1069.001 Permission Groups Discovery: Local Groups).",
  "local_group_permition_discovery_powershell": "Процесс $Image_path пытался получить информацию о правах локальных групп с помощью PowerShell: $Command_line (MITRE: T1069.001 Permission Groups Discovery: Local Groups).",
  "local_group_permition_discovery_wmic": "Процесс $Image_path пытался получить информацию о правах локальных групп с помощью wmic: $Command_line (MITRE: T1069.001 Permission Groups Discovery: Local Groups).",
  "local_ip_connect": "Процесс $Image_path обратился к IP-адресу, принадлежащему локальной сети (MITRE: T1018 Remote System Discovery).",
  "localhost_ip_connect": "Процесс Image_path обратился к IP-адресу хоста $Destination_ip (MITRE: T1205 Traffic Signaling).",
  "logon_scripts": "Процесс $Image_path изменил значение $Registry_value_name в ключе реестра $Registry_key на $Registry_value (MITRE: T1037.001 Logon Scripts)",
  "logon_user": "Процесс $Image_path использовал функцию LogonUser() для создания сеанса входа в систему пользователя с именем $Username (MITRE: T1134.003 Access Token Manipulation: Make and Impersonate Token).",
  "lsass_created_unlegal_child_process": "Процесс LSAAS $Parent_image_path создал нелегальный дочерний процесс $Image_path с помощью командной строки: $Command_line (MITRE: T1036 Masquerading).",
  "mac_address_check": "Процесс $Image_path проверил MAC-адрес. Это может быть использовано для обнаружения виртуальной машины (MITRE: T1497.001 Virtualization/Sandbox Evasion: System Checks).",
  "mail_communication": "Процесс $Image_path использует порт TCP/IP, зарезервированный для почтовых протоколов (MITRE: T1071.003 Commonly Used Port).",
  "malware_strings": "В дампе памяти процесса $Image_path обнаружены строки, характерные для вредоносных программ (MITRE: T1486 Data Encrypted for Impact).",
  "masquerading_image_path": "Процесс $Parent_image_path создал процесс, указав путь к исполняемому файлу с помощью командной строки: $Command_line (MITRE: T1036 Masquerading).",
  "mavinject_process_injection": "Обнаружено внедрение в процесс DLL с помощью утилиты MavInject.exe: $Command_line (MITRE: T1055.001 Process Injection: Dynamic-link Library Injection).",
  "memory_check": "Процесс $Image_path проверил количество памяти в системе. Это может быть использовано для обнаружения виртуальной машины (MITRE: T1497.001 Virtualization/Sandbox Evasion: System Checks).",
  "meterpreter_cobaltstrike_service_creation": "Обнаружено создание службы Meterpreter/Cobalt Strike: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1543.003 Create or Modify System Process: Windows Service).",
  "minint_key_creation": "Процесс $Image_path отключил логирование событий Windows путем создания ключа реестра: $Registry_key (MITRE: T1562.002 Impair Defenses: Disable Windows Event Logging).",
  "missing_call_ret": "В доверенном процессе $Image_path была выполнена команда ret без выполнения команды call (MITRE: T1203 Exploitation for Client Execution).",
  "mmc20_lateral_movement": "Процесс $Parent_image_path запустил MMC20 с командной строкой: $Command_line (MITRE: T1021.003 Remote Services: Distributed Component Object Model).",
  "modification_authentication_packages_via_registry": "Процесс $Image_path изменил ключ реестра Authentication Package: $Registry_value (MITRE: T1547.002 Boot or Logon Autostart Execution: Authentication Package).",
  "modification_time_providers_via_registry": "Процесс $Image_path изменил параметры поставщика времени через реестр: $Registry_value (MITRE: T1547.003 Boot or Logon Autostart Execution: Time Providers).",
  "modify_file_similar_system": "Процесс $Image_path внес изменения в файл $Target_path, имя которого похоже на имя системного файла (MITRE: T1036.003 Masquerading: Rename System Utilities).",
  "modify_startup_folder_location": "Процесс $Image_path установил в качестве папки автозагрузки $Registry_value, изменив параметр реестра $Registry_key\\\\$Registry_value_name (MITRE: T1547.001 Registry Run Keys / Startup Folder).",
  "modify_user_files": "Процесс $Image_path изменил файлы пользователя $File_path. Это действие типично для вредоносных программ-вымогателей класса Trojan-Ransom (MITRE: T1486 Data Encrypted for Impact).",
  "mounting_windows_admin_shares": "Процесс $Image_path смонтировал общий административный ресурс: $Command_line (MITRE: T1021.002 SMB/Windows Admin Shares).",
  "mouse_movement": "Процесс $Image_path пытается обнаружить движение мыши (MITRE: T1497.002 Virtualization/Sandbox Evasion: User Activity Based Checks)",
  "mouse_movement_check": "Процесс $Image_path установил хук для мониторинга событий мыши. Это может быть использовано для обнаружения виртуальной машины (MITRE: T1497.002 Virtualization/Sandbox Evasion: User Activity Based Checks).",
  "mshta_ADS": "Процесс $Image_path выполнил файл .hta через альтернативный поток данных: $Cmd_line (Mitre T1218.005 Signed Binary Proxy Execution: Mshta).",
  "mshta_external_hta": "Процесс $Image_path запустил исполняемый файл из внешнего источника: $Command_line (Mitre T1218.005 Signed Binary Proxy Execution: Mshta)",
  "mshta_network_connection": "Процесс $Image_path выполнил сетевое соединение с $Destination_ip (MITRE: T1218.005 Signed Binary Proxy Execution: Mshta).",
  "mshta_public_directory_files": "Процесс $Image_path выполнил файл .hta, расположенный в открытой директории: $Command_line (Mitre T1218.005 Signed Binary Proxy Execution: Mshta).",
  "mshta_susp_arguments": "Процесс $Image_path был запущен со скриптами java scripts/vbscripts в качестве аргумента командной строки: $Command_line (MIRTE: T1218.005 Signed Binary Proxy Execution: Mshta) ",
  "mshta_unknown_files_execution": "Процесс $Image_path выполнил файл с расширением, отличным от .hta: $Command_line (Mitre T1218.005 Signed Binary Proxy Execution: Mshta).",
  "msiexec_download": "Процесс $Image_path использует msiexec.exe с параметрами $Command_line для запуска вредоносных файлов через командную строку (MITRE: T1218.007 Signed Binary Proxy Execution).",
  "msiexec_external_msi": "Процесс $Image_path запустил установочный файл из внешнего ресурса: $Command_line (MITRE: T1218.007 Signed Binary Proxy Execution: Msiexec).",
  "msiexec_network_connection": "Процесс $Image_path выполнил сетевое соединение с $URL (MITRE: T1218.007 Signed Binary Proxy Execution: Msiexec).",
  "msiexec_suspicious_arguments": "Процесс $Image_path был запущен с подозрительными аргументами: $Command_line (MITRE: T1218.007 Signed Binary Proxy Execution: Msiexec).",
  "msmsdt_follina_exploitation": "Процесс $Image_path использовал уязвимость Follina (CVE-2022-30190) программы Microsoft Support Diagnostic Tool (MSDT): $Command_line (MITRE: T1203 Exploitation for Client Execution).",
  "msxml_com_object_usage_via_powershell": "Процесс $Image_path использовал COM-объект MSXML через PowerShell, чтобы подключиться к сети: $Command_line (MITRE: T1559.001 Inter-Process Communication: Component Object Model).",
  "name_like_system_file": "Процесс $Image_path создал файл с именем, похожим на имя системного файла $target_file (MITRE: T1036.005 Masquerading).",
  "net_share_removal_via_net": "Процесс $Parent_image_path удалил подключение к сетевому ресурсу: $Command_line (MITRE: T1070.005 Network Share Connection Removal).",
  "net_share_removal_via_pwsh": "Процесс $Parent_image_path удалил подключение к сетевому ресурсу: $Command_line (MITRE: T1070.005 Network Share Connection Removal).",
  "netsh_helper_dll_via_command_line": "Процесс $Image_path использовал вспомогательные библиотеки DLL netsh.exe для выполнения произвольного кода через командную строку: $Command_line (MITRE: T1546.007 Event Triggered Execution: Netsh Helper DLL).",
  "netsh_helper_dll_via_registry": "Процесс $Image_path установил ключ реестра $Registry_key, чтобы использовать вспомогальные библиотеки DLL netsh.exe для выполнения произвольного кода (MITRE: T1546.007 Event Triggered Execution: Netsh Helper DLL).",
  "network_connection_from_cmstp": "Процесс $Image_path выполнил сетевое подключение: $Command_line (MITRE: T1218.003 Signed Binary Proxy Execution: CMSTP).",
  "network_connection_from_regsvr32": "Процесс $Image_path выполнил сетевое подключение: $Command_line (MITRE: T1218.010 Signed Binary Proxy Execution: Regsvr32).",
  "network_connection_from_sc": "Обнаружено подключение к удаленному хосту с помощью sc.exe: $Command_line (MITRE: T1021 Remote Services).",
  "network_connection_from_werfault_or_wermgr": "Установлено сетевое соединение $Destination_ip от werfault или wermgr: $Image_path (MITRE: T1036 Masquerading).",
  "network_connection_from_wscript_or_cscript": "Процесс $Image_path выполнил сетевое подключение: $Command_line (MITRE: T1059.005 Command and Scripting Interpreter: Visual Basic).",
  "non_executable_extension": "Процесс запущен файлом с неисполняемым расширением $Image_path.",
  "non_standard_dll_in_spools": "Процесс $Image_path загрузил нестандартную DLL (MITRE: T1547.012 Boot or Logon Autostart Execution: Print Processors).",
  "non_standart_dll_loading_in_lsass": "Нестандартная библиотека DLL загружена в адресное пространство процесса $Image_path: $Command_line (MITRE: T1547.008 Boot or Logon Autostart Execution: LSASS Driver)",
  "non_standart_dll_loading_in_lsass_mem": "Процесс $Image_path загрузил нестандартную DLL (MITRE: T1547.008 Boot or Logon Autostart Execution: LSASS Driver).",
  "not_http_on_80": "Процесс $Image_path отправил данные, не соответсвующие HTTP-спецификации, на порт, ассоциируемый с HTTP (MITRE: T1571 Non-Standard Port)",
  "not_standard_directory_archive": "Процесс утилиты архивирования $Image_path был запущен из нестандартной папки (MITRE: T1560.001 Archive Collected Data: Archive via Utility).",
  "not_standard_parent_process_bitsadmin": "Процесс $Image_path был запущен нестандартным родительским процессом $Parent_image_path с помощью командной строки: $Command_line (MITRE: T1197 BITS Jobs).",
  "obfuscated_powershell": "Обнаружены признаки обфускации в командной строке PowerShell: $Command_line (MITRE: T1027 Obfuscated Files or Information).",
  "obfuscation_using_rundll32_in_cmd": "Обнаружено использование rundll32.exe для обфускации командной строки: $Command_line (MITRE: T1027 Obfuscated Files or Information).",
  "obfuscation_using_rundll32_in_registry": "Обнаружена обфускация с использованием rundll32.exe в реестре: $Registry_value (MITRE: T1027 Obfuscated Files or Information).",
  "obfuscation_via_stdin": "Обнаружена обфускация с использованием стандартных потоков ввода-вывода: $Command_line (MITRE: T1027 Obfuscated Files or Information).",
  "password_filter_modification_via_registry": "Процесс $Image_path изменил ключ реестра Notification Packages: $Registry_value (MITRE: T1556.003 Modify Authentication Process: Pluggable Authentication Modules).",
  "password_policy_discovery_via_powershell": "Процесс $Image_path пытался получить информацию о политике паролей с помощью PowerShell: $Command_line (MITRE: T1201 Password Policy Discovery).",
  "password_policy_discovery_via_standard_windows_utilities": "Процесс $Image_path пытался получить информацию о политике паролей с помощью стандартных утилит Windows: $Command_line (MITRE: T1201 Password Policy Discovery).",
  "peripheral_device_discovery_via_powershell": "Процесс $Image_path пытался получить информацию о внешних устройствах: $Command_line (MITRE: T1518.001 Software Discovery: Security Software Discovery).",
  "peripheral_device_discovery_via_standard_windows_utilities": "Процесс $Image_path пытался получить информацию о внешних устройствах с помощью стандартных утилит Windows: $Command_line (MITRE: T1518.001 Software Discovery: Security Software Discovery).",
  "ping_delete": "Процесс $Parent_image_path использовал команду Ping, чтобы отложить удаление своего исполняемого файла: $Command_line. (MITRE: T1070.004 Indicator Removal on Host: File Deletion).",
  "ping_hex_encoded_ip_address": "IP-адрес был указан для команды ping в шестнадцатеричном виде: $Command_line (MITRE: T1027 Obfuscated Files or Information).",
  "port_monitor_via_reg": "Процесс $Image_path изменил параметры мониторинга порта: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1547.010 Port Monitors).",
  "portable_executable_injection": "Процесс $Image_path внедрил исполняемый код в процесс $Target_image_path (MITRE: T1055.002 Portable Executable Injection).",
  "possible_nodejs_revese_shell": "Процесс $Parent_image_path мог вызвать Reverse Shell через node.exe: $Command_line (MITRE: T1059.007 Command and Scripting Interpreter: JavaScript).",
  "potential_commands_sharphoud": "Процесс $Image_path мог использовать команды Sharphoud/Bloodhound: $Command_line (MITRE: T1087 Account Discovery).",
  "powershell_base64": "Процесс PowerShell выполнил код, представленный в виде base64-строки: $Cmd_line (Mitre: T1140 Deobfuscate/Decode Files or Information).",
  "powershell_compression": "Обнаружены методы сжатия в PowerShell: $Command_line (MITRE: T1027 Obfuscated Files or Information).",
  "powershell_connecting": "Процесс PowerShell $Image_path, запущенный с помощью команды $Cmd_line, установил соединение с удаленным хостом $Destination_address (MITRE: T1059.001 PowerShell).",
  "powershell_download": "Скрипт для командного интерпретатора PowerShell попытался загрузить файл с помощью команды $Command_line (MITRE: T1059.001 PowerShell).",
  "powershell_from_vbs": "Процесс $Parent_image_path вызвал Powershell из скрипта SyncAppvPublishingServer.vbs: $Command_line (MITRE: T1216 System Script Proxy Execution).",
  "powershell_installation_as_service": "Процесс: $Image_path установил PowerShell в качестве службы Windows: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1569.002 System Services: Service Execution).",
  "powershell_invoke_obfuscation": "Обнаружены признаки обфускации в командной строке PowerShell: $Command_line (MITRE: T1027 Obfuscated Files or Information).",
  "powershell_listening": "Процесс PowerShell $Image_path, запущенный с помощью команды $Command_line, начал прослушивать сетевой трафик и ожидать входящих соединений (MITRE: T1059.001 PowerShell).",
  "powershell_suspicious_arguments": "Обнаружены подозрительные аргументы в командной строке PowerShell: $Command_line (MITRE: T1059.001 Command and Scripting Interpreter: PowerShell).",
  "ppid_spoofing": "Процесс $Original_parent_image подменил родительский PID дочернего процесса $Image_path. Назначенный родительский процесс: $Spoofed_parent_image (MITRE: T1134.004 Access Token Manipulation: Parent PID Spoofing).",
  "ppid_spoofing2": "Процесс $Original_parent_image подменил родительский PID дочернего процесса $Image_path с помощью UpdateProcThreadAttribute WinAPI. Назначенный родительский процесс: $Spoofed_parent_image (MITRE: T1134.004 Access Token Manipulation: Parent PID Spoofing).",
  "print_proc_via_reg": "Процесс $Image_path добавил $Registry_value в ключ реестра: $Registry_key\\\\$Registry_value_name (MITRE: T1547.012 Boot or Logon Autostart Execution: Print Processors).",
  "privilege_escalation_via_dde_client_impersonation_abuse": "Процесс $Image_path выдал себя за DDE-клиента с помощью WinAPI (MITRE: T1068 Exploitation for Privilege Escalation).",
  "privilege_escalation_via_named_pipe_client_impersonation_abuse": "Процесс $Image_path выдал себя за клиента Named Pipe с помощью WinAPI (MITRE: T1068 Exploitation for Privilege Escalation).",
  "process_crash": "Произошел сбой в работе приложения $Image_path.",
  "process_creation_via_runas": "Процесс $Parent_image_path создал процесс в контексте безопасности другого пользователя: $Command_line (MITRE: T1134.002 Access Token Manipulation: Create Process with Token).",
  "process_discovery_via_powershell": "Процесс $Image_path пытался получить информацию о процессах с помощью PowerShell: $Command_line (MITRE: T1057 Process Discovery).",
  "process_discovery_via_standart_windows_utilities": "Процесс $Image_path пытался получить информацию о процессах с помощью стандартных утилит Windows: $Command_line (MITRE: T1057 Process Discovery).",
  "process_doppelganging": "Процесс $Image_path внедрил код в процесс $Target_image_path, используя метод Process Doppelgänging (MITRE: T1055.013 Process Injection: Process Doppelganging).",
  "process_dump_via_rundll32_comsvcs_dll": "Процесс $Image_path сохранил дамп памяти другого процесса с помощью Comsvcs.dll: $Command_line (MITRE: T1003.001 OS Credential Dumping: LSASS Memory).",
  "process_hollowing": "Процесс $Image_path внедрил код в процесс $Target_image_path, используя метод Process Hollowing (MITRE: T1055.012 Process Injection: Process Hollowing).",
  "process_injection_via_alpc_port": "Процесс $Image_path внедрил код в процесс $Target_image_path с помощью порта ALPC (MITRE: T1055 Process Injection).",
  "process_injection_via_clipbrdwndclass": "Процесс $Image_path внедрил код в процесс $Target_image_path с помощью Clipboard Window Class (MITRE: T1055 Process Injection).",
  "profile_ps1_modification": "Процесс $Image_path изменил профиль PowerShell ($File_path) - скрипт, который выполняется при запуске оболочки PowerShell. (MITRE: T1546.013 Event Triggered Execution: PowerShell Profile).",
  "provider_enableproperty_value_modification_via_registry": "Процесс $Image_path установил новое значение для поля \"EnableProperty\" реестра Windows: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1562.006 Impair Defenses: Indicator Blocking).",
  "ps1_created_in_susp_directory": "Процесс $Image_path создал новый ps1 скрипт в подозрительной директории: $File_path (MITRE: T1059.001 Command and Scripting Interpreter: PowerShell).",
  "pwsh_execute_from_file": "Код PowerShell был выполнен из файла: $Command_line (MITRE: T1059.001 Command and Scripting Interpreter: PowerShell).",
  "pwsh_execute_from_internet": "Код PowerShell был выполнен из интернета-ресурса: $Cmd_line (MITRE: T1059.001 Command and Scripting Interpreter: PowerShell).",
  "pwsh_execute_from_registry": "Код PowerShell был выполнен из реестра Windows: $Command_line (MITRE: T1059.001 Command and Scripting Interpreter: PowerShell).",
  "query_registry_via_powershell": "Процесс $Image_path пытался выполнить запрос к реестру с помощью PowerShell: $Command_line (MITRE: T1012 Query Registry).",
  "query_registry_via_standard_windows_utilities": "Процесс $Image_path пытался выполнить запрос к реестру: $Command_line (MITRE: T1012 Query Registry).",
  "ransom_wasted": "Процесс $Image_path переименовывает файлы пользователей с расширением $Extension, что характерно для семейства Trojan-Ransom (MITRE: T1486 Data Encrypted for Impact)",
  "rdp_hijackinhg_via_tscon": "Процесс $Image_path перенаправляет сеанс RDP с помощью tscon: $Command_line (MITRE: T1021 Remote Desktop Protocol).",
  "rdp_network_connection_from_unusual_process": "Установлено сетевое соединение RDP/TCP от необычного процесса: от $Image_path к IP-адресу $Destination_ip (MITRE: T1021.001 Remote Desktop Protocol).",
  "rdp_registry_modification": "Процесс $Image_path изменил RDP-сервис через реестр: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1021.001 Remote Desktop Protocol).",
  "rdp_service_modification_via_reg": "Процесс $Image_path модифицировал службу RPD через Reg: $Command_line (MITRE: T1021 Remote Desktop Protocol).",
  "rdp_shadowing_via_mstsc": "Процесс $Image_path установил теневой сеанс RDP через MSTSC: $Command_line (MITRE: T1021 Remote Desktop Protocol).",
  "read_bios_version": "Процесс $Image_path прочитал значение версии BIOS и сравнил его с предустановленным значением $Target_file_path. (MITRE: T1497.001 Virtualization/Sandbox Evasion: System Checks)",
  "read_browser_user_data": "Процесс $Image_path пытается получить доступ к учетным данным пользователя из веб-браузера (MITRE: T1555.003 Credentials from Web Browsers)",
  "read_chrome_bookmarks": "Процесс $Image_path пытался получить доступ к закладкам, сохраненным в браузере Google Chrome (MITRE: T1217 Browser Bookmark Discovery).",
  "read_chrome_credentials": "Процесс $Image_path пытался получить доступ к учетным данным, сохраненным в браузере Google Chrome (MITRE: T1555.003 Credentials from Web Browsers).",
  "read_clipboard": "Процесс $Image_path прочитал данные из буфера обмена пользователя (MITRE: T1115 Clipboard Data).",
  "read_credentials_in_files": "Процесс $Image_path выполнил поиск файла $File_path (MITRE: T1552.001 Unsecured Credentials: Credentials In Files). ",
  "read_documents": "Процесс $Image_path выполнил массовое чтение файлов из папки \"Мои документы\" (MITRE: T1119 Automated Collection).",
  "read_edge_bookmarks": "Процесс $Image_path пытался получить доступ к закладкам, сохраненным в браузере Microsoft Edge (MITRE: T1217 Browser Bookmark Discovery).",
  "read_edge_credentials": "Процесс $Image_path пытался получить доступ к учетным данным, сохраненным в браузере Microsoft Edge (MITRE: T1555.003 Credentials from Web Browsers).",
  "read_firefox_bookmarks": "Процесс $Image_path пытался получить доступ к закладкам, сохраненным в браузере Mozilla Firefox (MITRE: T1217 Browser Bookmark Discovery).",
  "read_firefox_credentials": "Процесс $Image_path пытался получить доступ к учетным данным, сохраненным в браузере Mozilla Firefox (MITRE: T1555.003 Credentials from Web Browsers).",
  "read_ie_bookmarks": "Процесс $Image_path пытался получить доступ к закладкам, сохраненным в браузере Internet Explorer (MITRE: T1217 Browser Bookmark Discovery).",
  "read_ie_credentials": "Процесс $Image_path пытался получить доступ к учетным данным, сохраненным в браузере Internet Explorer (MITRE: T1555.003 Credentials from Web Browsers).",
  "read_opera_bookmarks": "Процесс $Image_path пытался получить доступ к закладкам, сохраненным в браузере Opera (MITRE: T1217 Browser Bookmark Discovery).",
  "read_opera_credentials": "Процесс $Image_path пытался получить доступ к учетным данным, сохраненным в браузере Opera (MITRE: T1555.003 Credentials from Web Browsers).",
  "read_outlook_pst": "Процесс $Image_path открыл на чтение файл данных Microsoft Outlook (MITRE: T1114.001 Email Collection).",
  "read_system_files": "Процесс $Image_path выполнил массовое чтение системных файлов (MITRE: T1083 File and Directory Discovery).",
  "reboot_safe_mode": "Процесс $Parent_image_path перезапустил систему Windows в безопасном режиме: $Command_line (MITRE: T1562.009 Impair Defenses: Safe Mode Boot).",
  "recursive_dir": "Процесс $Image_path выполнил перебор дерева папок, включая подпапки и содержащиеся в них файлы, с помощью рекурсивного метода (MITRE: T1119 Automated Collection).",
  "redefine_http_protocol_handler_registry": "Процесс $Image_path задал $Registry_value в качестве обработчика протокола HTTP.",
  "redirection_to_local_admin_share": "Процесс $Image_path перенаправляет вывод на локальную папку администратора: $Command_line (MITRE: T1021.002 SMB/Windows Admin Shares).",
  "reg_delete": "Процесс $Parent_image_path запустил программу $Image_path с помощью команды $Command_line. Эта команда использует стандартные инструменты для удаления параметра реестра (MITRE: T1112 Modify Registry).",
  "register_hot_key": "Процесс $Image_path зарегистрировал сочетание клавиш быстрого вызова.",
  "regsvr32_dll_from_public_directory": "Процесс $Image_path загрузил DLL из общедоступных директорий: $Command_line (MITRE: T1218.010 Signed Binary Proxy Execution: Regsvr32).",
  "regsvr32_susp_arguments": "Процесс $Image_path был запущен с подозрительными параметрами: $Command_line (MITRE: T1218.010 Signed Binary Proxy Execution: Regsvr32).",
  "remote_execution_via_winrm": "Процесс $Parent_image_path использовал WinRM для удаленного выполнения: $Command_line (MITRE: T1216 System Script Proxy Execution).",
  "remote_powershell": "Обнаружен командлет Powershell для удаленного выполнения команд: $Command_line (MITRE: T1059.001 Command and Scripting Interpreter: PowerShell).",
  "remote_services_using_mmc20_application_com_object": "Процесс $Image_path создал COM-объект MMC20.Application для осуществления бокового перемещения: $Command_line (MITRE: T1021.003 Remote Services: Distributed Component Object Model).",
  "remote_services_via_com_objects_in_command_line": "Процесс $Image_path создал COM-объект с указанием IP-адреса в командной строке: $Command_line (MITRE: T1021.003 Remote Services: Distributed Component Object Model).",
  "remote_system_discovery_via_powershell": "Процесс $Image_path пытался получить информацию об удаленных системах с помощью PowerShell: $Command_line (MITRE: T1018 Remote System Discovery).",
  "remote_system_discovery_via_standard_windows_utilities": "Процесс $Image_path попытался получить информацию об удаленных системах: $Command_line (MITRE: T1018 Remote System Discovery).",
  "remote_wmi_wbemcomn_dll_hijack": "Процесс $Image_path перехватил DLL с помощью удаленного использования WMI и библиотеки $Loaded_image_path: (MITRE: T1047 Windows Management Instrumentation).",
  "rename_system_files": "Процесс $Image_path переименовал файл $File_path в $Target_file_path (MITRE: T1036.003 Masquerading: Rename System Utilities).",
  "right_to_left_override": "В имени файла $Image_path содержится уязвимость Right to Left Override (RLO). Эта техника позволяет скрыть настоящее расширение файла (MITRE: T1036.002 Masquerading: Right-to-Left Override).",
  "run_cpl": "Процесс $Image_path запустил компонент Панели управления Windows (MITRE: T1218.002 Control Panel Items).",
  "run_from_app_data": "Процесс $Image_path запустил исполняемый файл $Target_path из скрытой системной папки Application Data.",
  "run_from_program_data": "Процесс $Image_path запустил исполняемый файл $Target_path из скрытой системной папки ProgramData.",
  "run_from_recycler": "Процесс $Image_path запустил исполняемый файл $Target_image_path, помещенный в Корзину.",
  "run_from_windir": "Процесс $Image_path запустил исполняемый файл $Target_path, расположенный в системной папке Windows.",
  "rundll_comma_in_registry_run_runonce": "Процесс $Image_path добавил rundll32, содержащий вызов функции, в ключ реестра раздела Run: $Registry_value (MITRE: T1547.001 Registry Run Keys/Startup Folder).",
  "rundll_in_registry_service_imagepath": "Процесс $Image_path создал службу, которая содержит вызов функции в поле ImagePath, с помощью rundll32.exe: $Registry_value (MITRE: T1543.003 Create or Modify System Process: Windows Service).",
  "rundll32_external_dll": "Процесс $Image_path выполнил .dll файл из внешнего источника: $Command_line (MITRE: T1218.011 Signed Binary Proxy Execution: Rundll32).",
  "rundll32_suspicious_arguments": "Обнаружены подозрительные аргументы запуска процесса rundll32.exe, которые могут использоваться для выполнения вредоносного кода: $Command_line (MITRE T1218.011 Signed Binary Proxy Execution: Rundll32).",
  "rundll32_without_parameters": "Процесс $Image_path запустил rundll32.exe без параметров: $Cmd_line (MITRE: T1218.011 Signed Binary Proxy Execution: Rundll32).",
  "save_remote_admin": "Процесс $Image_path сохранил утилиту удаленного администрирования $File_path (MITRE: T1219 Remote Access Software).",
  "saving_lsa_registry_hives": "Процесс $Parent_image_path попытался сохранить из реестра секреты сервиса проверки подлинности локальной системы безопасности (LSA), используя $Image_path с командной строкой $Command_line (MITRE: T1003.004 OS Credential Dumping: LSA Secrets).",
  "scheduled_task_creation_via_loading_dll": "Создана запланированная задача: $Loaded_image загружена в адресное пространство процесса $Image_path (MITRE: T1053.005 Scheduled Task/Job: Scheduled Task).",
  "scheduled_task_creation_via_microsoft_office_application": "Приложением Microsoft Office $Image_path была создана запланированная задача (MITRE: T1053.005 Scheduled Task/Job: Scheduled Task).",
  "screenshot": "Процесс $Image_path сделал снимок Рабочего стола (MITRE: T1113 Screen Capture).",
  "script_event_consumer_via_file_create_from_scrcons": "Процесс $Image_path создал файл $File_path. Это значит, что был создан Script Event Consumer (MITRE: T1546.003 Event Triggered Execution: Windows Management Instrumentation Event Subscription).",
  "script_event_consumer_via_load_image_in_scrcons": "Процесс $Image_path загрузил образ $Loaded_image_path. Это значит, что был создан Script Event Consumer (MITRE: T1546.003 Event Triggered Execution: Windows Management Instrumentation Event Subscription).",
  "script_event_consumer_via_suspicious_parent_child_scrcons": "Был создан Script Event Consumer, на что указывает подозрительный дочерний процесс от $Parent_image_path: $Command_line (MITRE: T1546.003 Event Triggered Execution: Windows Management Instrumentation Event Subscription).",
  "script_execution_via_msxsl_or_wmic": "Скрипт Visual Basic был запущен через $Image_path с помощью загрузки библиотеки $Loaded_image_path (MITRE: T1059.005 Command and Scripting Interpreter: Visual Basic).",
  "sdiagnhost_suspicious_child_follina": "Процесс $Parent_image_path запустил $Image_path с помощью Sdiagnhost.exe: $Command_line (MITRE: T1203 Exploitation for Client Execution).",
  "security_software_discovery_via_powershell": "Процесс $Image_path пытался получить информацию о защитном ПО с помощью PowerShell: $Command_line (MITRE: T1518.001 Software Discovery: Security Software Discovery).",
  "security_software_discovery_via_registry": "Процесс $Image_path пытался получить информацию о защитном ПО с помощью реестра: $Command_line (MITRE: T1518.001 Software Discovery: Security Software Discovery).",
  "security_software_discovery_via_standard_windows_utilities": "Процесс $Image_path пытался получить информацию о защитном ПО: $Command_line (MITRE: T1518.001 Software Discovery: Security Software Discovery).",
  "security_software_discovery_via_wmic": "Процесс $Image_path пытался получить информацию о защитном ПО с помощью wmic: $Command_line (MITRE: T1518.001 Software Discovery: Security Software Discovery).",
  "security_token_changed_to_system": "В доверенном процессе $Image_path был изменен маркер безопасности (MITRE: T1203 Exploitation for Client Execution).",
  "self_copy": "Процесс $Image_path скопировал файл $Src_path в $Dst_path.",
  "self_copy_autorun": "Процесс $Image_path переместил/скопировал собственный исполняемый файл в $Target_image_path и добавил его в автозапуск (MITRE: T1547.001 Registry Run Keys / Start Folder).",
  "self_copy_recycler": "Процесс $Image_path скопировал/переместил файл $File_path в Корзину ($Target_file_path) (MITRE: T1074.001 Local Data Staging).",
  "self_copy_startup": "Процесс $Image_path скопировал/переместил файл $File_path в папку автозагрузки $Target_file_path (MITRE: T1547.001 Registry Run Keys / Start Folder).",
  "self_delete": "Процесс $Image_path удалил исполняемый файл $Target_file_path (MITRE: T1070.004 File Deletion).",
  "self_modify": "Процесс $Image_path изменил исполняемый файл $File_path (MITRE: T1036 Masquerading).",
  "self_rename": "Исполняемый файл $File_path был переименован процессом $Image_path в файл $Target_file_path (MITRE: T1036 Masquerading).",
  "service_creation_from_non_system_directory": "Процесс $Image_path создал службу Windows $Service_name, которая запускается из несистемной директории: $Service_path (MITRE: T1543.003 Create or Modify System Process: Windows Service).",
  "service_creation_from_non_system_directory2": "Процесс $Image_path создал службу Windows, которая запускается из несистемной директории: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1543.003 Create or Modify System Process: Windows Service).",
  "service_image_path_modification_via_powershell": "Путь к образу службы Windows был изменен с помощью PowerShell.exe: $Command_line (MITRE: T1543.003 Create or Modify System Process: Windows Service).",
  "service_image_path_modification_via_registry": "Процесс $Image_path изменил путь к образу службы Windows: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1543.003 Create or Modify System Process: Windows Service).",
  "service_image_path_modification_via_sc_exe": "Обнаружено изменение пути к образу службы Windows: $Command_line (MITRE: T1543.003 Create or Modify System Process: Windows Service)",
  "service_stop_via_net": "Процесс $Image_path остановил службу: $Command_line (MITRE: T1489 Service Stop).",
  "service_stop_via_powershell": "Процесс $Image_path остановил службу с помощью PowerShell: $Command_line (MITRE: T1489 Service Stop).",
  "service_stop_via_sc": "Служба была остановлена с помощью $Image_path: $Command_line (MITRE: T1489 Service Stop).",
  "service_stop_via_taskkill": "Процесс $Image_path остановил службу с помощью команды taskkill: $Command_line (MITRE: T1489 Service Stop).",
  "service_stop_via_wmic": "Процесс $Parent_image_path остановил работу службы с помощью WMIC: $Command_line (MITRE: T1489 Service Stop).",
  "set_desktop_wallpaper": "Процесс $Image_path установил новую заставку для рабочего стола Windows: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1491.001 Defacement: Internal Defacement).",
  "set_fake_file_time": "Процесс $Image_path изменил время создания файла $File_path (MITRE: T1070.006 Indicator Removal on Host: Timestomp)",
  "set_hidden_attribute": "Процесс $Image_path установил атрибут \"Скрытый\" для файла $File_path (MITRE: T1564.001 Hidden Files and Directories).",
  "set_hidden_attribute_via_attrib": "Процесс $Parent_image_path установил атрибут \"Скрытый\" для файла с помощью attrib.exe: $Command_line. (MITRE: T1564.001 Hidden Files and Directories).",
  "set_keylogger": "Процесс $Image_path установил клавиатурный перехватчик (MITRE: T1056.001 Input Capture: Keylogging).",
  "setting_user_password_to_never_expired_via_powershell": "Процесс $Image_path отключил истечение срока действия пароля пользователя с помощью PowerShell: $Command_line (MITRE: T1098 Account Manipulation).",
  "setting_user_password_to_never_expired_via_wmic": "Процесс $Image_path отключил истечение срока действия пароля пользователя: $Command_line (MITRE: T1098 Account Manipulation).",
  "setwindowshookex_use_to_inject_dll": "Процесс $Image_path выполнил попытку внедрить $File_path в любой из процессов с помощью вызова SetWindowsHookEx() (MITRE: T1055 Process Injection).",
  "shared_modules_to_crit_proc": "Модуль $Loaded_image_path был загружен в адресное пространство процесса $Image_path (MITRE: T1129 Shared Modules).",
  "shared_modules_to_legal_soft": "Модуль $Loaded_image_path был загружен в адресное пространство процесса $Image_path (MITRE: T1129 Shared Modules).",
  "shell_code_exec": "Доверенный процесс $Image_path выполнил шелл-код, чтобы получить несанкционированный доступ к системе (MITRE: T1203 Exploitation for Client Execution).",
  "shell_command_in_lnk_file": "Командная оболочка обнаружена в файле LNK: $Command_line (MITRE: T1059.003 Command and Scripting Interpreter: Windows Command Shell).",
  "shell_from_verclsid": "Процесс verclsid.exe запустил командную оболочку: $Command_line (MITRE: T1218.012 Signed Binary Proxy Execution: Verclsid).",
  "shell_start_from_lnk_in_downloads": "Процесс $Image_path был запущен из LNK-файла: $Command_line (MITRE: T1204.002 User Execution: Malicious File).",
  "shellcode_sign": "В памяти процесса $Image_path обнаружен шелл-код (MITRE: T1203 Exploitation for Client Execution).",
  "shimming": "Программа $Image_path использует технологию перехвата (hooking), чтобы перенаправить выполнение кода приложения (MITRE: T1546.011 Application Shimming)",
  "shutdown_system": "Процесс $Image_path завершил работу Windows (MITRE: T1529 System Shutdown/Reboot).",
  "sleep_evasion": "Процесс $Image_path установил задержку выполнения кода (MITRE: T1497.003 Virtualization/Sandbox Evasion: Time Based Evasion).",
  "smb_scan": "Программа $Image_path выполнила многократные SMB-запросы (MITRE: T1018 Remote System Discovery)",
  "software_discovery_via_powershell": "Процесс $Image_path пытался получить информацию о ПО с помощью PowerShell: $Command_line (MITRE: T1518 Software Discovery).",
  "software_discovery_via_standard_windows_utilities": "Процесс $Image_path пытался получить информацию о ПО с помощью стандартных утилит Windows: $Command_line (MITRE: T1518 Software Discovery).",
  "ssh_scan": "Процесс $Image_path провел сканироваие соединений SSH (MITRE: T1046 Network Service Scanning).",
  "ssp_configuration_modification": "Процесс $Image_path добавил нового поставщика обеспечения безопасности (Security Support Provider): $Registry_value (MITRE: T1547.005 Boot or Logon Autostart Execution: Security Support Provider).",
  "stack_pointer_out_teb": "В доверенном процессе $Image_path указатель стека превысил допустимое значение, определенное в структуре блока переменных окружения потока (TEB) (MITRE: T1203 Exploitation for Client Execution).",
  "start_bcdedit": "Автоматическое восстановление Windows было отключено с помощью утилиты BCDEdit: $Command_line (MITRE: T1490 Inhibit System Recovery).",
  "start_page": "Процесс $Image_path изменил домашнюю страницу браузера (MITRE: T1185 Man in the Browser).",
  "start_with_cmd": "Процесс $Image_path изменил ключ реестра $Registry_key, чтобы исполняемый файл $Target_image_path запускался вместе с интерпретатором командной строки Windows (MITRE: T1547.001 Registry Run Keys / Startup Folder).",
  "started_child_process_from_cmstp": "Процесс от $Parent_image_path был создан нетипичным способом: $Command_line (MITRE: T1218.003 Signed Binary Proxy Execution: CMSTP).",
  "started_scheduled_task_from_public_directories": "Была создана запланированная задача для запуска процесса из общедоступных директорий: $Command_line (MITRE: T1053.005 Scheduled Task/Job: Scheduled Task).",
  "started_windows_shell_from_hh": "Процесс $Image_path инициировал запуск Windows Shell: $Command_line (MITRE: T1218.001 Signed Binary Proxy Execution: Compiled HTML File).",
  "started_windows_shell_from_mmc": "Процесс $Parent_image_path запустил командную оболочку $Image_path с командной строкой: $Command_line (MITRE: T1021.003 Remote Services: Distributed Component Object Model).",
  "started_windows_shell_from_mshta": "Процесс $Image_path инициировал запуск Windows Shell: $Command_line (MITRE: T1218.005 Signed Binary Proxy Execution: Mshta).",
  "started_windows_shell_from_regsvr": "Процесс $Image_path инициировал запуск Windows Shell: $Command_line (MITRE: T1218.010 Signed Binary Proxy Execution: Regsvr32).",
  "started_windows_shell_from_rundll32": "Процесс $Image_path инициировал запуск Windows Shell: $Command_line (MITRE: T1218.011 Signed Binary Proxy Execution: Rundll32).",
  "started_windows_shell_from_trusted_process": "Доверенное приложение $Parent_image_path запустило Windows Shell процесс $Image_path с командной строкой $Command_line (MITRE: T1204.002 User Execution: Malicious File).  ",
  "startup_system_file_name": "Процесс $Image_path создал в папке автозагрузки файл $Target_image_path с именем, похожим на имя системного файла (MITRE: T1547.001 Registry Run Keys / Start Folder, T1036.005 Masquerading).",
  "steal_browser_data_via_esentutl": "Процесс $Parent_image_path пытался украсть данные браузера с помощью esentutl.exe: $Command_line (MITRE: T1005 Data from Local System).",
  "susp_access_to_lsass": "Процесс $Image_path выполнил обращение к области памяти LSASS с правами на чтение/запись (MITRE:T1003.001 OS Credential Dumping: LSASS Memory).",
  "susp_ext_in_startup_folder": "В папке автозапуска был создан файл с подозрительным расширением (MITRE: T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder).",
  "susp_syntax_command_odbcconf": "Процесс $Image_path с аргументами $Command_line может быть использован для выполнения вредоносного кода (MITRE: T1218.008 Signed Binary Proxy Execution: Odbcconf).",
  "suspend_eventlog_service": "Процесс $Image_path отключил запись событий в журнал событий Windows, приостановив службу EventLog (MITRE: T1562.002 Impair Defenses: Disable Windows Event Logging).",
  "suspicious_adding_user_to_remote_desktop_users_group": "Процесс $Image_path добавил пользователя в группу пользователей RDP: $Command_line (MITRE: T1021 Remote Desktop Protocol).",
  "suspicious_autorun": "Процесс $Image_path добавил файл $Registry_value в автозапуск через подозрительный раздел реестра $Registry_key (MITRE: T1547.001 Registry Run Keys / Startup Folder).",
  "suspicious_certificates_file_creation": "Процесс $Image_path создал файл сертификата: $File_path (MITRE: T1552.004 Unsecured Credentials: Private Keys).",
  "suspicious_child_process_wmiprvse": "Подозрительный потомок процесса $Parent_image_path: $Command_line (MITRE: T1047 Windows Management Instrumentation)",
  "suspicious_clipboard_output_via_wmic": "Обнаружено подозрительное использование буфера обмена при работе с процессом $Image_path: $Command_line (MITRE: T1047 Windows Management Instrumentation).",
  "suspicious_command_wmic": "Утилита wmic.exe была запущена с подозрительным синтаксисом: $Command_line (MITRE: T1047 Windows Management Instrumentation).",
  "suspicious_escape_characters_in_use_api": "Процесс $Image_path оперирует обфусцированной строкой, содержащей escape-символы: $String (MITRE: T1027 Obfuscated Files or Information).",
  "suspicious_escape_characters_in_use_cmd": "Обнаружено подозрительное использование escape-символов в командной строке: $Command_line (MITRE: T1027 Obfuscated Files or Information).",
  "suspicious_jobs_via_bitsadmin": "Процесс $Image_path попытался создать подозрительную задачу с помощью команды $Command_line (MITRE: T1197 BITS Jobs).",
  "suspicious_loading_dll_via_regsvcs_regasm": "Процесс $Image_path загрузил DLL: $Command_line (MITRE: T1218.009 Signed Binary Proxy Execution: Regsvcs/Regasm).",
  "suspicious_parent_process_regsvr32": "Процесс $Parent_image_path инициировал запуск regsvr32.exe: $Command_line (MITRE: T1218.010 Signed Binary Proxy Execution: Regsvr32).",
  "suspicious_powershell_host_process_dropped": "Процесс $Image_path выполнил операцию с исполняемым файлом, который был переименован из powershell.exe в $Drop_path (MITRE: T1036.005 Masquerading).",
  "suspicious_powershell_host_process_run": "Процесс $Image_path запустил интерпретатор PowerShell не с помощью программы powershell.exe, а с помощью $Drop_path. Команда: $Cmd_line (MITRE: T1059.001 Command and Scripting Interpreter: PowerShell).",
  "suspicious_query_to_the_lsa_in_registry": "Процесс $Image_path запрашивает ключ реестра $Registry_key, содержащий секреты сервиса проверки подлинности локальной системы безопасности (LSA) (MITRE: T1003.004 OS Credential Dumping: LSA Secrets).",
  "suspicious_query_to_the_sam_in_registry": "Процесс $Image_path обратился к ветвям SAM реестра: $Registry_key (MITRE: T1003.002 OS Credential Dumping: Security Account Manager).",
  "suspicious_query_to_the_security_in_registry": "Процесс $Image_path запросил ключ реестра $Registry_key, содержащий данные безопасности (MITRE: T1003.004 OS Credential Dumping: LSA Secrets).",
  "suspicious_sockets_usage_via_powershell": "Процесс $Parent_image_path подозрительно использовал системные сокеты через PowerShell: $Command_line (MITRE: T1059.001 Command and Scripting Interpreter: PowerShell).",
  "suspicious_syntax_in_command_execution_InstallUtill": "Нетипичные аргументы обнаружены в командной строке процесса $Parent_image_path: $Command_line (MITRE: T1218.004 Signed Binary Proxy Execution: InstallUtil).",
  "suspicious_syntax_in_command_execution_regasm": "Процесс $Image_path был запущен с подозрительными аргументами: $Command_line (MITRE: T1218.009 Signed Binary Proxy Execution: Regsvcs/Regasm).",
  "suspicious_syntax_in_command_execution_schtasks": "Процесс $Image_path был запущен с подозрительными аргументами: $Command_line (MITRE: T1053.005 Scheduled Task/Job: Scheduled Task).",
  "suspicious_wsman_provider_image_loads": "Процесс $Image_path загрузил DLL $Loaded_image_path (MITRE: T1021.003 Remote Services: Distributed Component Object Model)",
  "svc_stop": "Процесс $Image_path пытается управлять средствами безопасности с помощью утилиты sc.exe (MITRE T1562.001 Impair Defenses: Disable or Modify Tools).",
  "svchost_without_parameters": "Процесс svchost ($Image_path) был запущен без параметров: $Command_line (MITRE: T1036 Masquerading).",
  "system_information_discovery_via_powershell": "Процесс $Image_path пытался получить информацию о системе с помощью PowerShell: $Command_line (MITRE: T1082 System Information Discovery).",
  "system_information_discovery_via_standard_windows_utilities": "Процесс $Image_path пытался получить информацию о системе с помощью стандартных утилит Windows: $Command_line (MITRE: T1082 System Information Discovery).",
  "system_language_discovery_via_registry": "Процесс $Image_path пытался получить информацию о системном языке с помощью реестра: $Command_line (MITRE: T1614.001 System Location Discovery: System Language Discovery).",
  "system_language_discovery_via_standard_windows_utilities": "Процесс $Image_path пытался получить информацию о системном языке с помощью стандартным утилит Windows: $Command_line (MITRE: T1614.001 System Location Discovery: System Language Discovery).",
  "system_network_configuration_discovery_via_standard_windows_utilities": "Процесс $Image_path пытался получить информацию о сетевой конфигурации системы с помощью стандартных утилит Windows: $Command_line (MITRE: T1016 System Network Configuration Discovery).",
  "system_network_connections_discovery_via_powershell": "Процесс $Image_path пытался получить информацию о сетевых соединениях с помощью PowerShell: $Command_line (MITRE: T1049 System Network Configuration Discovery).",
  "system_network_connections_discovery_via_standard_windows_utilities": "Процесс $Image_path пытался получить информацию о сетевых соединениях с помощью стандартных утилит Windows: $Command_line (MITRE: T1049 System Network Configuration Discovery).",
  "system_owner_or_user_discovery": "Процесс $Parent_path запустил программу $Image_path с помощью следующей команды: $Cmd_line. Эта команда содержит попытки выяснить информацию о владельце системы и учетных записях пользователей (MITRE: T1033 System Owner/User Discovery).",
  "system_owner_or_user_discovery_via_powershell": "Процесс $Image_path пытался получить информацию о текущем пользователе/владельце системы с помощью PowerShell: $Command_line (MITRE: T1033 System Owner/User Discovery).",
  "system_owner_or_user_discovery_via_suspicious_commandline_whoami": "Процесс $Image_path пытался получить информацию о текущем пользователе/владельце системы с помощью подозрительной команды whoami: $Command_line (MITRE: T1033 System Owner/User Discovery).",
  "system_ownr_or_user_discovery_via_standard_windows_utilities": "Процесс $Image_path пытался получить информацию о текущем пользователе/владельце системы с помощью стандартных утилит Windows: $Command_line (MITRE: T1033 System Owner/User Discovery).",
  "system_service_discovery_via_powershell": "Процесс $Image_path попытался получить информацию о системных службах с помощью PowerShell: $Command_line (MITRE: T1007 System Service Discovery).",
  "system_service_discovery_via_standard_registry": "Процесс $Image_path пытался получить информацию о системных службах с помощью реестра: $Command_line (MITRE: T1007 System Service Discovery).",
  "system_service_discovery_via_standard_windows_utilities": "Процесс $Image_path пытался получить информацию о системных службах: $Command_line (MITRE: T1007 System Service Discovery).",
  "system_service_discovery_via_standard_wmic": "Процесс $Image_path пытался получить информацию о системных службах с помощью wmic: $Command_line (MITRE: T1007 System Service Discovery).",
  "system_time_discovery_via_api": "Процесс $Image_path пытался получить информацию о системном времени (MITRE: T1124 System Time Discovery).",
  "system_time_discovery_via_powershell": "Процесс $Image_path пытался получить информацию о системном времени с помощью PowerShell: $Command_line (MITRE: T1124 System Time Discovery).",
  "system_time_discovery_via_standard_windows_utilities": "Процесс $Image_path пытался получить информацию о системном времени: $Command_line (MITRE: T1124 System Time Discovery).",
  "sysvol_check": "Процесс $Image_path попытался обратиться к папке SYSVOL (MITRE: T1497.001 Virtualization/Sandbox Evasion: System Checks).",
  "task_cache": "Программа $Image_path пытается изменить кэш планировщика заданий, чтобы выполнять скрытый запуск приложений: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1053.005 Scheduled Task).",
  "thread_creation_into_critical_win_process": "Процесс $Image_path выполнил попытку создать удаленный поток в процессе $Target_image_path (MITRE: T1055 Process Injection).",
  "thread_execution_hijacking": "Процесс $Image_path перехватил выполнение потока, чтобы внедрить код в процесс $Target_image_path (MITRE: T1055.003 Process Injection: Thread Execution Hijacking).",
  "time_evasion_detected": "Обнаружены техники обхода анализа в песочнице. Рекомендуется отправить файл для обработки на более продолжительное время (MIRTE: T1497.003 Virtualization/Sandbox Evasion: Time Based Evasion)",
  "token_manipulation": "Процесс $Image_path совершил действия для обхода UAC-проверки: получил и модифицировал токен процеса auto-elevate, затем использовал его для запуска от имени администратора (MITRE: T1548.002 Bypass User Account Control).",
  "token_manipulation_via_createprocessasuser": "Процесс $Image_path дуплицировал токен доступа процесса $Target_image_path и создал процесс $Created_image_path, используя новый токен (MITRE: T1134.001 Access Token Manipulation: Token Impersonation/Theft).",
  "token_manipulation_via_createprocesswithtoken": "Процесс $Image_path дуплицировал токен доступа процесса $Target_image_path и создал процесс $Created_image_path, используя новый токен (MITRE: T1134.001 Access Token Manipulation: Token Impersonation/Theft).",
  "token_manipulation_via_impersonateloggedonuser": "Процесс $Image_path имперсонировал токен доступа процесса $Target_image_path с помощью ImpersonateLoggedOnUser (MITRE: T1134.001 Access Token Manipulation: Token Impersonation/Theft).",
  "tor_connect": "Процесс $Image_path обратился к ресурсу сети Tor \"$URL\" (MITRE: T1090.003 Multi-hop Proxy).",
  "uac_bypass_via_com_object_access_cmstp": "Обход UAC выполняется через COM-объект: $Command_line (MITRE: T1548.002 Abuse Elevation Control Mechanism: Bypass User Account Control).",
  "unknown_dll_launch_or_from_public_directories_rundll32": "Процесс $Image_path инициировал запуск dll из публичной директории: $Command_line (MITRE: T1218.011 Signed Binary Proxy Execution: Rundll32).",
  "unknown_file_execution_via_regsvr32": "Процесс $Parent_image_path выполнил файл с нетипичным расширением с помощью $Image_path: $Command_line (MITRE: T1218.010 System Binary Proxy Execution: Regsvr32).",
  "unknown_file_execution_via_rundll32": "Процесс $Parent_image_path выполнил файл с нетипичным расширением с помощью $Image_path: $Command_line (MITRE: T1218.011 System Binary Proxy Execution: Rundll32).",
  "use_alternate_data_stream_via_winapi": "$Image_path создал альтернативный поток данных с помощью WinAPI (MITRE: T1564.004 Hide Artifacts: NTFS File Attributes)",
  "use_of_presentationhost": "Процесс $Parent_image_path использовал Presentationhost.exe для выполнения кода из XBAP-файла: $Command_line (MITRE: T1218 System Binary Proxy Execution).",
  "user_account_deletion_via_net": "Процесс $Image_path удалил учетную запись пользователя: $Command_line (MITRE: T1531 Account Access Removal).",
  "user_account_deletion_via_powershell": "Процесс $Image_path удалил учетную запись с помощью PowerShell: $Command_line (MITRE: T1531 Account Access Removal).",
  "user_rights_modification_via_secedit": "Процесс $Image_path изменил права пользователя: $Command_line (MITRE: T1098 Account Manipulation).",
  "user_supervisor_cpl": "Процесс $Process_name, запущенный с правами обычного пользователя, получил привилегии пользователя SYSTEM (MITRE: T1203 Exploitation for Client Execution).",
  "using_alternate_data_stream_in_shell": "Процесс $Image_path использовал альтернативные потоки данных с помощью шелла: $Command_line (MITRE: T1564.004 Hide Artifacts: NTFS File Attributes).",
  "using_comspec_environment_var_not_in_cmd": "Процесс $Parent_image_path запустил программу $Image_path с параметром %comspec%: $Command_line (MITRE: T1059.003 Windows Command Shell).",
  "using_mofcomp_to_compile_mof_file_from_suspicious_folder": "Процесс $Image_path попытался скомпилировать mof-файл в подозрительной директории: $Command_line (MITRE: T1546.003 Event Triggered Execution: Windows Management Instrumentation Event Subscription).",
  "using_standard_tools_for_interaction_with_remote_registry": "Процесс $Parent_image_path запустил программу $Image_path с помощью команды $Command_line. Эта команда содержит признаки доступа к реестру на удаленном компьютере (MITRE: T1112 Modify Registry).",
  "using_utility_for_archive": "Процесс утилиты архивирования $Image_path был запущен (MITRE: T1560.001 Archive Collected Data: Archive via Utility).",
  "using_whoami_to_check_that_current_user_is_system": "Системная утилита whoami.exe была выполнена под учетной записью NT AUTHORITY\\\\SYSTEM (MITRE: T1033 System Owner/User Discovery).",
  "vbs_network": "Процесс $Image_path пытается получить доступ в сеть.",
  "virtual_device_check": "Процесс $Image_path проверил наличие виртуальных устройств в системе для обнаружения виртуальной машины (MITRE: T1497.001 Virtualization/Sandbox Evasion: System Checks).",
  "vm_driver_service": "Процесс $Image_path пытается обнаружить службы, связанные с технологией виртуализации (MITRE: T1497 Virtualization/Sandbox Evasion)",
  "vm_files_check": "Процесс $Image_path проверил наличие специфичного для виртуальной среды файла: $File_path (MITRE: T1497.001 Virtualization/Sandbox Evasion: System Checks).",
  "vm_keys_check": "Процесс $Image_path проверил наличие специфичного для виртуальной среды ключа реестра: $Registry_key (MITRE: T1497.001 Virtualization/Sandbox Evasion: System Checks).",
  "vm_modules_check": "Процесс $Image_path проверил загружен ли модуль $Module_name (MITRE: T1497.001 Virtualization/Sandbox Evasion: System Checks).",
  "vm_processes_check": "Процесс $Image_path проверил, запущен ли в системе процесс $Process_name(MITRE: T1497.001 Virtualization/Sandbox Evasion: System Checks).",
  "vm_values_check": "Процесс $Image_path проверил, совпадает ли значение ключа реестра $Registry_key\\$Registry_value_name с $Substring (MITRE: T1497.001 Virtualization/Sandbox Evasion: System Checks).",
  "wildcard_search": "Процесс $Image_path выполнил поиск файлов по маске $File_path (MITRE: T1005 Data from Local System).",
  "win_defender_exclusions_modification_via_registry": "Процесс $Image_path внес изменения в исключения Windows Defender: $Registry_key\\\\$Registry_value_name: $Registry_value (MITRE: T1562.001 Impair Defenses: Disable or Modify Tools).",
  "win_defender_modification_via_powershell": "Конфигурация Windows Defender была изменена с помощью PowerShell: $Command_line (MITRE: T1562.001 Impair Defenses: Disable or Modify Tools).",
  "windows_service_creation_via_net": "Процесс $Parent_image_path создал службу с помощью Net.exe: $Command_line (MITRE: T1543.003 Create or Modify System Process: Windows Service).",
  "windows_shell_started_archive_utility": "Процесс утилиты архивирования $Image_path был запущен с помощью Windows Shell $Parent_image_path с командной строкой $Command_line (MITRE: T1560.001 Archive Collected Data: Archive via Utility).",
  "windows_shell_started_at_exe": "Процесс $Image_path был запущен через Windows Shell: $Command_line (MITRE: T1053.002 Scheduled Task/Job: At (Windows)).",
  "windows_shell_started_schtasks": "Процесс $Image_path был запущен с помощью Windows Shell: $Command_line (MITRE: T1053.002 Scheduled Task/Job: Scheduled Task Windows).",
  "winlogon_helper_dll": "Процесс $Image_path может пользоваться функциями программы входа в систему Winlogon через ключ реестра $Registry_key для выполнения $Target_path при входе пользователя в систему (MITRE: Winlogon Helper DLL).",
  "winword_connection_to_external_resource": "Процесс $Image_path обратился к внешнему ресурсу по сети (MITRE: T1204.002 User Execution: Malicious File).",
  "wipe_mbr_via_deviceiocontrol": "Процесс $Image_path затер основную загрузочную запись (MBR) используя функцию DeviceIoControl. Действие типично для вредоносных программ класса Rootkit (MITRE: T1561.002 Disk Wipe: Disk Structure Wipe).",
  "wmi_execution_via_microsoft_office_application": "Приложение MS Office выполнило команду с помощью Windows Management Instrumentation (WMI): $Loaded_image_path загружена в адресное пространство процесса $Image_path (MITRE: T1047 Windows Management Instrumentation).",
  "wmi_get_info": "Процесс $Image_path пытается определить параметры системы с помощью WMI, что характерно для попыток определения среды (MITRE: T1082 System Information Discovery)",
  "wmi_via_powershell": "Процесс $Image_path обратился к инструментарию Windows Management Instrumentation с помощью PowerShell: $Command_line (MITRE: T1047 Windows Management Instrumentation).",
  "write_physical_device": "Процесс $Image_path выполнил посекторную запись данных на устройство $Device_path (MITRE: T1561.002 Disk Wipe: Disk Structure Wipe). ",
  "x509enrollment_encoded": "PowerShell выполнил код, представленный в формате x509: $Command_line (MITRE: T1027 Obfuscated Files or Information).",
  "xor-ed_powershell_command": "Обнаружены признаки XOR-обфускации в командной строке PowerShell: $Command_line (MITRE: T1027 Obfuscated Files or Information)."
}