推送事件JSON RPC消息
事件通过调用"addEvents"函数提交。该函数接收一个参数:"events",即下文记录的事件对象数组。
HTTP请求可通过Event-Push-Service-Md5请求头验证。该请求头由API密钥和消息体经如下哈希运算生成:header_value = md5(api_key, md5(message_body))
$gzapikey = "a247bf167a48d899b7a64aced0d6cebdbd5d474578c26cd023505b2c26******";
$message = file_get_contents('php://input');
$servermd5 = $_SERVER['HTTP_EVENT_PUSH_SERVICE_MD5'];
$resultmd5 = md5($apikey.md5($message));
云AD集成
当以下情况发生时生成此事件 控制中心 正在与Active Directory域进行同步。
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
公司ID |
字符串 |
是 |
公司标识符 |
|
同步器ID |
字符串 |
是 |
AD集成器标识符 |
|
问题类型 |
整数 |
是 |
AD同步问题类型 |
|
受保护实体ID |
整数 |
否 |
是否为受保护实体ID(仅限卸载时使用) |
|
上次AD报告日期 |
时间戳 |
否 |
最后AD同步日期 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"syncerId": "59b7d9bfa849af3a1465b7e3",
"issueType": 0,
"lastAdReportDate": "2017-09-14T08:03:49.671Z",
"module": "adcloud"
}
]
},
"id": 1505376232077
}
反钓鱼
当终端代理检测到访问网页时存在已知钓鱼尝试时,本通知将每次向您发出警报。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装组件的标识符 GravityZone 组件 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
计算机完全限定域名 |
字符串 |
是 |
IP地址 |
|
计算机ID |
字符串 |
是 |
GravityZone数据库中 的唯一终端标识符 |
|
aph类型 |
字符串 |
是 |
取值:钓鱼、欺诈、不可信 |
|
网址 |
字符串 |
是 |
恶意软件网址 |
|
状态 |
字符串 |
是 |
取值:aph已拦截、仅报告 |
|
最后拦截时间 |
时间戳 |
是 |
该恶意软件最后被拦截的时间戳 |
|
计数 |
整数 |
是 |
该恶意软件被检测到的次数 |
示例:
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "FC-EXCHANGE-01",
"computer_fqdn": "fc-exchange-01.fc.dom",
"computer_ip": "192.168.0.1",
"computer_id": "59b7d9bfa849af3a1465b7e4",
"product_installed": "BEST",
"aph_type": "phishing",
"url": "http://example.com/account/support/",
"status": "aph_blocked",
"last_blocked": "2017-09-14T08:49:43.000Z",
"count": 1,
"module": "aph"
}
]
},
"id": 1505378984190
}
反恶意软件
每当Bitdefender在您网络中的终端上检测到恶意软件时,就会生成此事件。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
string |
yes |
事件类型标识符。值:
|
|
product_installed |
string |
yes |
已安装的组件标识符 GravityZone 组件 |
|
companyId |
string |
yes |
公司标识符 |
|
computer_name |
string |
yes |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中 的唯一端点标识符 |
|
malware_type |
字符串 |
是 |
检测到的恶意软件类型:文件、http、cookie、pop3、smtp、进程、引导、注册表、流 |
|
malware_name |
字符串 |
是 |
恶意软件名称 |
|
hash |
字符串 |
否 |
恶意软件文件sha256哈希值 |
|
final_status |
字符串 |
是 |
对文件采取操作的最终状态:忽略、仍存在、已删除、已阻止、已隔离、已清除、已恢复 |
|
container_id |
string |
no |
容器实体的标识符 |
|
container_host |
string |
no |
管理容器实体的主机名称 |
|
file_path |
string |
yes |
恶意软件文件路径 |
|
timestamp |
timestamp |
yes |
检测到恶意软件的时间戳 |
|
signaturesNumber |
string |
no |
签名数量 |
|
taskScanType |
integer |
no |
任务扫描类型 |
|
scanEngineType |
integer |
no |
扫描引擎类型 |
|
cleaned |
整数 |
否 |
若文件在一分钟内生成多个同类型事件,记录其被清除的次数。 |
|
阻止 |
整数 |
否 |
若应用程序或文件在一分钟内生成多个同类型事件,记录其被阻止的次数。 |
|
删除 |
整数 |
否 |
若文件在一分钟内生成多个同类型事件,记录其被删除的次数。 |
|
隔离 |
整数 |
否 |
若文件在一分钟内生成多个同类型事件,记录其被隔离的次数。 |
|
忽略 |
整数 |
否 |
若文件或应用程序在一分钟内生成多个同类型事件,记录其中威胁被检测并忽略的次数。 |
|
存在 |
整数 |
否 |
若文件或应用程序在一分钟内生成多个同类型事件,记录其中威胁被检测到的次数。 |
示例:
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"module": "av",
"product_installed": "BEST",
"user": {
"id": "S-1-5-21-1493276475-1689882908-858204327-1001",
"name": "testadmin"
},
"companyId": "63920a01070088b57f0be1d2",
"computer_name": "IRU-WIN10X64-A",
"computer_fqdn": "iru-win10x64-a",
"computer_ip": "10.17.40.189",
"computer_id": "65030d040a2422770e0022b5",
"malware_type": "file",
"malware_name": "EICAR测试文件(非病毒)",
"hash": "8b3f191819931d1f2cef7289239b5f77c00b079847b9c2636e56854d1e5eff71",
"final_status": "隔离",
"file_path": "C:\\Users\\testadmin\\AppData\\Local\\VirtualStore\\eicar0000001.txt",
"timestamp": "2023-09-14T14:16:30.000Z",
"signaturesNumber": "7.95265",
"scanEngineType": 3,
"cleaned": 0,
"blocked": 0,
"deleted": 0,
"quarantined": 2,
"ignored": 0,
"present": 0
}
]
},
"id": 1694701009244
}
高级威胁防护(ATC)
当终端检测并阻止潜在危险应用程序时生成此事件。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装组件的标识符 GravityZone 组件 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中唯一的端点标识符 GravityZone 数据库 |
|
漏洞类型 |
字符串 |
是 |
取值:IDS应用、AVC应用、AVC漏洞 |
|
漏洞路径 |
字符串 |
是 |
漏洞文件路径 |
|
进程命令行 |
字符串 |
否 |
检测到进程的命令行参数 |
|
父进程ID |
整数 |
否 |
检测到进程的父进程PID |
|
父进程路径 |
字符串 |
否 |
检测到的父进程路径 |
|
状态 |
字符串 |
是 |
取值:avc已阻止、avc已允许、avc已清除 |
|
最后阻止时间 |
时间戳 |
是 |
该应用/漏洞最后一次被拦截的时间戳 |
|
计数 |
整数 |
是 |
该应用/漏洞被检测到的次数 |
示例:
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "FC-WIN7-X64-01",
"computer_fqdn": "fc-win7-x64-01",
"computer_ip": "192.168.0.1",
"computer_id": "59a1604e60369e06733f8abb",
"product_installed": "BEST",
"exploit_type": "AVC拦截漏洞",
"exploit_path": "C:\\Users\\admin\\Desktop\\Tools\\avcsim\\win32\\avcsim32.exe",
"status": "avc_blocked",
"last_blocked": "2017-09-14T07:56:33.000Z",
"count": 1,
"module": "avc"
}
]
},
"id": 1505375801845
}
数据保护
根据数据保护规则,每当终端上的数据流量被拦截时就会生成此事件。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装的 GravityZone 组件 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中 唯一终端标识符 |
|
target_type |
字符串 |
是 |
恶意软件类型:邮件、HTTP |
|
blocking_rule_name |
字符串 |
是 |
数据保护规则名称 |
|
网址 |
字符串 |
是 |
URL |
|
状态 |
字符串 |
是 |
始终为"data_protection_blocked" |
|
最后拦截时间 |
时间戳 |
是 |
该邮件/URL最后一次被拦截的时间戳 |
|
计数 |
整数 |
是 |
该恶意软件被检测到的次数 |
示例:
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "FC-WIN7-X64-01",
"computer_fqdn": "fc-win7-x64-01",
"computer_ip": "192.168.0.1",
"computer_id": "59a1604e60369e06733f8abb",
"product_installed": "BEST",
"target_type": "http",
"blocking_rule_name": "dv",
"url": "http://example.com/",
"status": "data_protection_blocked",
"last_blocked": "2017-09-11T10:23:43.000Z",
"count": 1,
"module": "dp"
}
]
},
"id": 1505125464691
}
Exchange恶意软件检测
当Bitdefender在您网络的Exchange服务器上检测到恶意软件时,会创建此事件。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中 唯一终端标识符 数据库 |
|
endpointId |
字符串 |
是 |
GravityZone数据库中 受管终端标识符 数据库 |
|
serverName |
字符串 |
是 |
服务器名称 |
|
发件人 |
字符串 |
是 |
邮件发件人 |
|
收件人 |
数组 |
是 |
邮件收件人列表(字符串数组) |
|
主题 |
字符串 |
是 |
邮件主题 |
|
检测时间 |
时间戳 |
是 |
检测时间 |
|
恶意软件 |
数组 |
是 |
检测到的恶意软件列表(数组格式为{"malwareName": 字符串, "malwareType": 字符串, "actionTaken": 字符串, "infectedObject": 字符串}) |
示例:
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "FC- EXCHANGE - 01",
"computer_fqdn": "fc- exchange - 01.fc.dom",
"computer_ip": "192.168.0.1",
"computer_id": "59b7d9bfa849af3a1465b7e4",
"product_installed": "最佳",
"endpointId": "59b7d9bfa849af3a1465b7e3",
"serverName": "FC- EXCHANGE - 01",
"sender": "fc_test01@fc.dom",
"recipients": [
"fc_test02@fc.dom"
],
"subject": "邮件发送中.. WL - cbe100c9f42a20ef9a4b1c20ed1a59f9 - 0",
"detectionTime": "2017- 09 - 13T14: 20:37.000Z",
"malware": [
{
"malwareName": "木马.Generic.KD.874127",
"malwareType": "病毒",
"actionTaken": "隔离",
"infectedObject": "WL- cbe100c9f42a20ef9a4b1c20ed1a59f9 - 0"
}
],
"module": "exchange-malware"
}
]
},
"id": 1505312459584
}
Exchange许可证使用已达上限
当Exchange许可证达到限制时会生成此事件
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
string |
是 |
事件类型标识符。取值:
|
|
companyId |
string |
是 |
公司标识符 |
示例:
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"endpointId": "59b7d9bfa849af3a1465b7e3",
"module": "exchange-organization-info",
"mailboxes":8,
"license_limit":5,
"license_key":"5IMI111"
}
]
},
"id": 1505387661508
}
Exchange用户凭证
当因用户凭证无效导致目标Exchange服务器上无法启动按需扫描任务时,会生成此事件。要完成任务,您需要更改Exchange凭证。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
string |
是 |
事件类型标识符。取值:
|
|
companyId |
string |
是 |
公司标识符 |
|
终端ID |
字符串 |
是 |
GravityZone数据库中管理的终端标识符 GravityZone 数据库 |
示例:
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"endpointId": "59b7d9bfa849af3a1465b7e3",
"module": "exchange-user-credentials"
}
]
},
"id": 1505387661508
}
防火墙
当终端代理根据应用策略阻止端口扫描或应用程序访问网络时,会生成此事件。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
已安装产品 |
字符串 |
是 |
已安装的GravityZone组件标识符 GravityZone 组件 |
|
公司ID |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中 GravityZone 数据库 |
|
status |
字符串 |
是 |
状态 |
|
local_port |
字符串 |
否 |
本地端口 |
|
protocol_id |
字符串 |
否 |
恶意软件攻击协议的标识符,定义自 协议编号 |
|
application_path |
字符串 |
否 |
应用程序路径 |
|
source_ip |
字符串 |
否 |
源IP地址 |
|
last_blocked |
时间戳 |
是 |
该连接最后一次被阻止的时间戳 |
|
count |
整数 |
是 |
该连接被检测到的次数 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "FC-WIN7-X64-01",
"computer_fqdn": "fc-win7-x64-01",
"computer_ip": "192.168.0.1",
"computer_id": "59a1604e60369e06733f8abb",
"product_installed": "BEST",
"status": "portscan_blocked",
"protocol_id": "6",
"source_ip": "192.168.0.2",
"last_blocked": "2017-09-08T12:52:03.000Z",
"count": 1,
"module": "fw"
}
]
},
"id": 1504875129648
}
HyperDetect事件
当HyperDetect模块检测到恶意软件时生成的事件。
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装的 GravityZone 组件 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中唯一的终端标识符 GravityZone 数据库 |
|
恶意软件类型 |
字符串 |
是 |
检测到的恶意软件类型:文件、http、cookie、pop3、smtp、进程、引导区、注册表、流 |
|
恶意软件名称 |
字符串 |
是 |
恶意软件名称 |
|
哈希值 |
字符串 |
否 |
恶意软件文件的sha256哈希值 |
|
最终状态 |
字符串 |
是 |
对文件采取操作的最终状态:已忽略、仍然存在、已删除、已阻止、已隔离、已清除、已恢复 |
|
容器ID |
字符串 |
否 |
容器实体的标识符 |
|
容器主机 |
字符串 |
否 |
管理容器实体的主机名称 |
|
文件路径 |
字符串 |
是 |
恶意软件文件路径 |
|
攻击类型 |
字符串 |
否 |
取值:定向攻击、灰色软件、漏洞利用、勒索软件、可疑文件及网络流量 |
|
检测级别 |
字符串 |
否 |
取值:宽松、常规、激进 |
|
是否为无文件攻击 |
字符串 |
否 |
若为无文件攻击则标记为真 |
|
命令行参数 |
字符串 |
否 |
命令行参数 |
|
进程信息路径 |
字符串 |
否 |
进程路径 |
|
进程信息命令行 |
字符串 |
否 |
进程命令行参数 |
|
父进程ID |
整数 |
否 |
父进程ID |
|
parent_process_path |
字符串 |
否 |
父进程路径 |
|
hwid |
字符串 |
是 |
硬件标识符 |
|
date |
时间戳 |
是 |
检测到恶意软件时的时间戳 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"module": "hd",
"product_installed": "EPS",
"user": {
"name": "admin",
"sid": "BF410F3B-5F3A-41E1-BF8F-28DE6948A355
"
},
"computer_name": "DHMSI",
"computer_fqdn": "dhmsi",
"computer_ip": "10.10.18.226",
"computer_id": "5c4999491ddfad7177316f80",
"malware_type": "file",
"malware_name": "",
"hash": "hash_3",
"final_status": "quarantined",
"file_path": "44e695d9ed259aea10e5b57145d0d0dc.bender",
"attack_type": "可疑文件和网络流量",
"detection_level": "正常",
"is_fileless_attack": 1,
"command_line_parameters": "a b c",
"process_info_path": "C:\\a.exe",
"process_info_command_line": "c:\\a.exe -testParam",
"parent_process_id": 1716,
"parent_process_path": "C:\\Windows\\System32\\cmd.exe",
"hwid": "00000000-0000-0000-0000-406186b5****",
"companyId": "5c497704f9bf8d0b1b4df***",
"date": "2019-01-24T11:13:04.000Z"
}
]
},
"id": 1547719287349
}
产品模块状态
当安装的代理的安全模块被启用或禁用时生成此事件。
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
字符串 |
是 |
事件类型标识符。值:
|
|
product_installed |
字符串 |
是 |
已安装组件的标识符 GravityZone 组件 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computerId |
字符串 |
是 |
GravityZone数据库中 GravityZone 数据库 |
|
container_id |
字符串 |
否 |
容器实体的标识符 |
|
container_host |
string |
no |
管理容器实体的主机名称 |
|
is_container_host |
boolean |
no |
该机器是否为容器主机 |
|
malware_status |
boolean |
no |
反恶意软件模块 |
|
aph_status |
boolean |
no |
反钓鱼模块 |
|
firewall_status |
boolean |
no |
防火墙模块 |
|
avc_status |
boolean |
no |
主动威胁控制模块 |
|
ids_status |
boolean |
no |
入侵检测系统模块 |
|
uc_web_filtering |
boolean |
否 |
内容控制网页访问控制模块 |
|
uc_categ_filtering |
布尔值 |
否 |
内容控制网页分类过滤模块 |
|
uc_application_status |
布尔值 |
否 |
内容控制应用程序黑名单模块 |
|
dp_status |
布尔值 |
否 |
内容控制数据保护模块 |
|
pu_status |
布尔值 |
否 |
高级用户模块 |
|
dlp_status |
布尔值 |
否 |
设备控制模块 |
|
exchange_av_status |
布尔值 |
否 |
Exchange保护反恶意软件模块 |
|
exchange_as_status |
布尔值 |
否 |
Exchange保护反垃圾邮件模块 |
|
exchange_at_status |
布尔值 |
否 |
Exchange Protection附件过滤模块 |
|
exchange_cf_status |
布尔值 |
否 |
Exchange Protection内容过滤模块 |
|
exchange_od_status |
布尔值 |
否 |
Exchange Protection按需扫描模块 |
|
volume_encryption |
布尔值 |
否 |
加密模块 |
|
patch_management |
布尔值 |
否 |
补丁管理模块 |
|
container_protection_status |
布尔值 |
否 |
容器保护模块 |
|
network_monitor_status |
布尔值 |
否 |
网络攻击防护 模块 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "FC- WIN7 - X64 - 01",
"computer_fqdn": "fc- win7 - x64 - 01",
"computer_ip": "192.168.0.1",
"computer_id": "59a1604e60369e06733f8abb",
"product_installed": "BEST",
"malware_status": 1,
"aph_status": 1,
"firewall_status": 1,
"avc_status": 1,
"uc_web_filtering": 0,
"uc_categ_filtering": 0,
"uc_application_status": 0,
"dp_status": 0,
"pu_status": 1,
"dlp_status": 0,
"module": "modules"
}
]
},
"id": 1504871857671
}
沙箱分析器检测
每当沙箱分析器在提交的文件中发现新威胁时,就会生成此事件。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
companyId |
字符串 |
是 |
公司标识符 |
|
endpointId |
字符串 |
是 |
受管端点在 GravityZone 数据库中的标识符 |
|
deviceExternalId |
字符串 |
否 |
端点在外部系统中的唯一标识符 GravityZone 数据库 |
|
submissionId |
字符串 |
否 |
GravityZone 网络沙箱提交ID |
|
computerName |
字符串 |
是 |
计算机名称 |
|
computerIp |
字符串 |
是 |
计算机IP地址 |
|
detectionTime |
整数 |
是 |
检测时间 |
|
threatType |
字符串 |
是 |
威胁类型 |
|
filePaths |
数组 |
是 |
文件路径(字符串数组) |
|
fileSizes |
数组 |
是 |
文件大小(字符串数组) |
|
修复操作 |
数组 |
是 |
修复操作(字符串数组)。可能取值:
|
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"endpointId": "59a1604e60369e06733f8aba",
"computerName": "FC-WIN7-X64-01",
"computerIp": "192.168.0.1",
"detectionTime": 1505386969,
"threatType": "勒索软件",
"filePaths": [
"C:\\Users\\Administrator\\Documents\\installer.xml",
"D:\\opt\\bitdefender\\installer2.xml",
"D:\\sources\\console\\CommonConsole\\app\\modules\\policies\\view\\endpoints\\networkSandboxing\\installer3.xml"
],
"fileSizes": [
"2614",
"2615",
"2616"
],
"remediationActions": [
"1",
"",
"1"
],
"module": "网络沙箱"
}
]
},
"id": 1505386971126
}
产品注册
当网络中安装的代理注册状态发生变化时生成此事件。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
已安装产品 |
字符串 |
是 |
已安装组件的标识符 GravityZone 组件 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中 唯一终端标识符 数据库 |
|
container_id |
字符串 |
否 |
容器实体的标识符 |
|
container_host |
字符串 |
否 |
管理容器实体的主机名称 |
|
is_container_host |
布尔值 |
否 |
该机器是否为容器主机 |
|
product_registration |
字符串 |
是 |
取值:registered(已注册)、unregistered(未注册) |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "FC-EXCHANGE-01",
"computer_fqdn": "fc-exchange-01.fc.dom",
"computer_ip": "192.168.0.1",
"computer_id": "59b7d9bfa849af3a1465b7e4",
"product_installed": "BEST",
"product_registration": "registered",
"module": "registration"
}
]
},
"id": 1505221060168
}
过期的更新服务器
当更新服务器的恶意软件特征库过期时会生成此事件。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
fromSupa |
布尔值 |
是 |
标识来自中继服务器的事件(始终为true) |
|
module |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装的 GravityZone 组件 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
在 GravityZone中的唯一终端标识符 数据库 |
|
状态 |
布尔值 |
是 |
更新状态 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "FC-WIN7-X64-01",
"computer_fqdn": "fc-win7-x64-01",
"computer_ip": "192.168.0.1",
"computer_id": "59a1604e60369e06733f8abb",
"product_installed": "BEST",
"status": 0,
"fromSupa": 1,
"module": "supa-update-status"
}
]
},
"id": 1505379714808
}
过载的安全服务器
当网络中安全服务器的扫描负载超过设定阈值时生成此事件。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装的 GravityZone 组件 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中 的唯一终端标识符 |
|
loadAverage |
整数 |
是 |
平均负载 |
|
cpuUsage |
整数 |
是 |
CPU使用率 |
|
memoryUsage |
整数 |
是 |
内存使用率 |
|
网络使用率 |
整数 |
是 |
网络使用率 |
|
整体使用率 |
整数 |
是 |
整体使用率 |
|
SVA负载 |
字符串 |
否 |
SVA负载 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "bitdefender-sva",
"computer_fqdn": "bitdefender-sva",
"computer_ip": "192.168.0.1",
"computer_id": "59b8f3aba849af3a1465b81e",
"product_installed": "SVA",
"loadAverage": 1,
"cpuUsage": 48,
"memoryUsage": 32,
"networkUsage": 0,
"overallUsage": 48,
"svaLoad": "正常",
"module": "sva-load"
}
]
},
"id": 1505293227782
}
安全服务器状态
当特定安全服务器的状态发生变化时创建此事件。状态涉及电源(开机/关机)、产品更新、特征库更新及需重启状态。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
已安装产品 |
字符串 |
是 |
已安装组件的标识符 GravityZone 组件 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中 GravityZone 数据库 |
|
powered_off |
布尔值 |
是 |
已关机 |
|
product_update_available |
布尔值 |
否 |
产品更新可用 |
|
signature_update |
时间戳 |
否 |
上次特征库更新时间戳 |
|
product_reboot_required |
布尔值 |
否 |
如需重启则为真 |
|
lastupdate |
字符串 |
否 |
最后更新时间 |
|
lastupdateerror |
字符串 |
否 |
最后更新错误 |
|
updatesigam |
字符串 |
否 |
安全服务器引擎版本 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "bitdefender-sva",
"computer_fqdn": "bitdefender-sva",
"computer_ip": "192.168.0.1",
"computer_id": "59b8f3aba849af3a1465b81e",
"product_installed": "SVA",
"powered_off": 0,
"product_update_available": 1,
"product_reboot_required": 0,
"lastupdate": "0",
"updatesigam": "7.72479",
"module": "sva"
}
]
},
"id": 1505293227782
}
反漏洞利用事件
当高级反漏洞利用功能触发检测时生成此事件。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装产品的标识符 GravityZone component |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
计算机ID |
字符串 |
是 |
GravityZone数据库中 GravityZone 数据库 |
|
容器ID |
字符串 |
否 |
容器实体的标识符 |
|
容器宿主机 |
字符串 |
否 |
管理容器实体的宿主机名称 |
|
终端ID |
字符串 |
是 |
GravityZone数据库中 GravityZone 数据库 |
|
检测动作 |
字符串 |
是 |
针对检测结果采取的措施 |
|
检测威胁名称 |
字符串 |
否 |
威胁类型 |
|
检测进程ID |
字符串 |
是 |
检测到的进程ID |
|
检测利用技术 |
字符串 |
是 |
检测中采用的技术 |
|
检测父进程ID |
字符串 |
否 |
被检测进程的父进程ID |
|
检测路径 |
字符串 |
是 |
检测到的路径 |
|
检测父进程路径 |
字符串 |
否 |
检测中父进程的路径 |
|
检测CVE |
字符串 |
否 |
检测到的CVE |
|
检测载荷 |
字符串 |
否 |
检测到的载荷 |
|
检测用户名 |
字符串 |
否 |
检测到事件时登录的用户 |
|
检测时间 |
时间戳 |
是 |
产品报告的事件时间,已格式化为字符串表示 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"module": "antiexploit",
"product_installed": "最佳",
"companyId": "5cf10c8af23f73097377c924",
"computer_name": "TEST_ENDPOINT",
"computer_fqdn": "test-endpoint.dsd.ro",
"computer_ip": "10.10.18.226",
"computer_id": "5cf51ba5e8ee8c5b1852a9d7",
"endpointId": "5cf51ba5e8ee8c5b1852a9d6",
"detection_action": "kill",
"detection_threatName": "EICAR测试文件(非病毒)",
"detection_pid": "2000",
"detection_exploitTechnique": "Flash/通用",
"detection_parentPid": "4000",
"detection_path": "C:\\file15c8ba8b90ea1de127962f464.exe",
"detection_parentPath": "C:\\file25c8ba8b90ea1de127962f464.exe",
"detection_username": "user@domain.com",
"detection_time": "2019-06-03T13:58:30.000Z"
}
]
},
"id": 1547719287349
}
网络攻击防护事件
当网络攻击防护模块触发检测时生成此事件。
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装的 GravityZone 组件标识符 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中 GravityZone 数据库 |
|
endpointId |
字符串 |
是 |
终端标识符 |
|
label |
字符串 |
否 |
管理员在网格网络中设置的标签 |
|
采取的措施 |
字符串 |
是 |
检测到威胁后采取的行动 |
|
检测名称 |
字符串 |
是 |
从BEST接收到的检测名称 BEST |
|
检测攻击技术 |
字符串 |
是 |
网络攻击防护策略中设置的攻击技术名称 |
|
源IP |
字符串 |
是 |
攻击源的IP地址 |
|
受害IP |
字符串 |
是 |
受害端点的IP地址 |
|
本地端口 |
字符串 |
是 |
攻击发生的端口号 |
|
时间戳 |
时间戳 |
是 |
产品报告的事件时间(已格式化为字符串表示) |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"module": "network-monitor",
"product_installed": "BEST",
"user": {
"userName": "user1@domain.com",
"userSid": "S-1-2-3-4"
},
"computer_name": "TEST_ENDPOINT",
"computer_fqdn": "test-endpoint.dsd.ro",
"computer_ip": "10.10.18.226",
"computer_id": "5d639e8f48ac2f04f6e00b1c",
"actionTaken": "reportOnly",
"detection_name": "PrivacyThreat.PasswordStealer
.HTTP",
"detection_attackTechnique": "discovery",
"source_ip": "10.17.134.4",
"victim_ip": "213.211.198.58",
"local_port": "80",
"timestamp": "2019-01-24T11:13:04.000Z"
}
]
},
"id": 1547719287349
}
任务状态
每次任务状态变更时生成此事件。
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装的 GravityZone 组件标识符 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
计算机全限定域名 |
字符串 |
是 |
全限定域名 |
|
计算机IP地址 |
字符串 |
是 |
IP地址 |
|
计算机ID |
字符串 |
是 |
GravityZone数据库中 GravityZone 数据库 |
|
用户ID |
字符串 |
是 |
用户标识符 |
|
任务ID |
字符串 |
是 |
任务标识符 |
|
任务名称 |
字符串 |
是 |
任务名称 |
|
任务类型 |
整数 |
是 |
任务类型 |
|
targetName |
字符串 |
是 |
任务名称 |
|
isSuccessful |
布尔值 |
是 |
若任务执行成功则为真 |
|
status |
整数 |
是 |
任务状态 |
|
errorMessage |
字符串 |
是 |
错误信息 |
|
errorCode |
整数 |
是 |
错误代码 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "FC-WIN7-X64-01",
"computer_fqdn": "fc-win7-x64-01",
"computer_ip": "192.168.0.1",
"computer_id": "59a1604e60369e06733f8abb",
"product_installed": "BEST",
"userId": "59a14b2b1da197c6108b4568",
"taskId": "59b28dc81da19711058b4568",
"taskName": "快速扫描 2017-09-08(子任务)",
"taskType": 272,
"targetName": "FC-WIN7-X64-01",
"isSuccessful": 1,
"status": 3,
"errorMessage": "",
"errorCode": 0,
"module": "task-status"
}
]
},
"id": 1504874269032
}
用户控制/内容控制
当终端用户活动(如网页浏览或软件应用)根据应用策略被阻止时生成此事件
重要提示
根据您指定的服务器,此事件类型可能默认未激活。请登录控制台并检查您的URL:若您正在使用
https://cloud.gravityzone.bitdefender.com
,您需要联系技术支持并请求他们激活该事件类型。
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装的 GravityZone 组件 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
计算机IP |
字符串 |
是 |
IP地址 |
|
计算机ID |
字符串 |
是 |
GravityZone数据库中 的唯一端点标识符 |
|
控制类型 |
字符串 |
否 |
取值:应用程序、HTTP |
|
网址 |
字符串 |
否 |
URL |
|
拦截类型 |
字符串 |
否 |
取值:应用程序、HTTP时间限制器、HTTP黑名单、HTTP分类、HTTP虚假网站、HTTP反恶意软件 |
|
分类 |
字符串 |
否 |
取值:网页代理、游戏、小报、仇恨、赌博、毒品、非法、购物、在线支付、视频、社交网络、在线约会、即时通讯、搜索引擎、地区顶级域名、新闻、色情、成人内容、博客、文件共享、麻醉品、在线视频、宗教、自杀、健康、暴力卡通、武器、黑客、诈骗、休闲游戏、网络游戏、电脑游戏、在线照片、广告、建议、银行、商业、计算机与软件、教育、娱乐、政府、爱好、主机托管、求职、门户网站、广播音乐、体育、消磨时间、旅行、网页邮件 |
|
应用程序路径 |
字符串 |
否 |
应用程序路径 |
|
状态 |
字符串 |
否 |
取值:uc_application_blocked(应用被拦截), uc_site_blocked(站点被拦截) |
|
最后拦截时间 |
时间戳 |
否 |
该恶意软件最后一次被拦截的时间戳 |
|
计数 |
整数 |
否 |
该恶意软件被检测到的次数 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "FC-WIN7-X64-01",
"computer_fqdn": "fc-win7-x64-01",
"computer_ip": "192.168.0.1",
"computer_id": "59a1604e60369e06733f8abb",
"product_installed": "BEST(比特梵德)",
"uc_type": "http",
"url": "http://192.168.0.1:2869/upnphost/udhisapi.dll",
"block_type": "http_timelimiter",
"categories": "",
"status": "uc_site_blocked",
"last_blocked": "2017-09-08T12:46:30.000Z",
"count": 1,
"module": "uc"
}
]
},
"id": 1504874799367
}
安装代理
当代理程序在终端设备上安装时生成此事件。
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
产品已安装 |
字符串 |
是 |
已安装组件的标识符 GravityZone 组件 |
|
公司ID |
字符串 |
是 |
公司标识符 |
|
计算机名 |
字符串 |
是 |
计算机名称 |
|
计算机FQDN |
字符串 |
是 |
完全限定域名 |
|
计算机IP |
字符串 |
是 |
IP地址 |
|
计算机ID |
字符串 |
是 |
GravityZone数据库中 GravityZone 数据库 |
|
终端ID |
字符串 |
是 |
GravityZone数据库中受管理端点的标识符 GravityZone 数据库 |
|
硬件ID |
字符串 |
是 |
硬件标识符 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"product_installed": "BEST",
"companyId": "59a14b271da197c6108b4567",
"computer_name": "测试终端",
"computer_fqdn": "test-endpoint.dsd.ro",
"computer_ip": "10.10.18.226",
"computer_id": "5cf51ba5e8ee8c5b1852a9d7",
"module": "安装",
"endpointId": "5e2085febf255a545e52276b",
"hwid": "00000000-0000-0000-0000-406186b5bdbd50"
}
]
},
"id": 1547719287350
}
卸载代理
当从终端卸载代理时生成此事件。
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
已安装产品 |
字符串 |
是 |
已安装组件的标识符 GravityZone 组件 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中 的唯一终端标识符 数据库 |
|
endpointId |
字符串 |
是 |
GravityZone中 受管终端的标识符 数据库 |
|
原因 |
整数 |
是 |
卸载方法。可用选项:
|
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"product_installed": "BEST",
"companyId": "59a14b271da197c6108b4567",
"computer_name": "TEST_ENDPOINT",
"computer_fqdn": "test-endpoint.dsd.ro",
"computer_ip": "10.10.18.226",
"computer_id": "59b7d9bfa849af3a1465b7e4",
"endpointId": "5e2085febf255a545e52276b",
"reason": 1,
"module": "uninstall"
}
]
},
"id": 1505221060168
}
硬件ID变更
当网络中终端的硬件ID发生变更时生成此事件。
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
string |
yes |
已安装产品的标识符 GravityZone 组件 |
|
companyId |
string |
yes |
公司标识符 |
|
computer_name |
string |
yes |
计算机名称 |
|
computer_fqdn |
string |
yes |
完全限定域名 |
|
computer_ip |
string |
yes |
IP地址 |
|
computer_id |
string |
yes |
GravityZone数据库中终端的唯一标识符 GravityZone 数据库 |
|
old_hwid |
string |
是 |
机器的旧硬件ID |
|
new_hwid |
字符串 |
是 |
机器的新硬件ID |
|
endpointId |
字符串 |
是 |
在 GravityZone 数据库 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"module": "hwid-change",
"product_installed": "BEST",
"companyId": "5e207bc354060806ed24a132",
"computer_name": "A",
"computer_fqdn": "test-endpoint.dsd.ro",
"computer_ip": "10.10.18.526",
"computer_id": "5e284ff5b7e43d387ba54a96",
"old_hwid": "00000000-0000-0000-0000-406186b5bde7",
"new_hwid": "00000000-0000-0000-0000-406186b5bde6",
"endpointId": "5e284ff5b7e43d387ba54a95"
}
]
},
"id": 1547719287349
}
端点移入
当端点从一家公司移动到另一家公司的网络清单中时生成此事件。目标公司将接收该事件。
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
string |
yes |
已安装产品的标识符 GravityZone 组件 |
|
companyId |
string |
yes |
公司标识符 |
|
computer_name |
string |
yes |
计算机名称 |
|
computer_fqdn |
string |
yes |
完全限定域名 |
|
computer_ip |
string |
yes |
IP地址 |
|
computer_id |
string |
yes |
GravityZone 数据库中 的唯一端点标识符 |
|
endpointId |
string |
是 |
GravityZone数据库中受管终端的标识符 GravityZone 数据库 |
|
硬件ID |
字符串 |
是 |
硬件标识符 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"product_installed": "BEST",
"companyId": "59a14b271da197c6108b4568",
"computer_name": "TEST_ENDPOINT",
"computer_fqdn": "test-endpoint.dsd.ro",
"computer_ip": "10.10.18.226",
"computer_id": "59b7d9bfa849af3a1465b7e3",
"endpointId": "5e2085febf255a545e52276a",
"module": "endpoint-moved-in",
"hwid": "5e284ff-5b7e43d387ba-54a95"
}
]
},
"id": 1505221060169
}
终端移出
当终端在网络资产清单中从一个公司迁移至另一个公司时生成此事件。该事件由源公司接收。
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
已安装产品 |
字符串 |
是 |
已安装产品的标识符 GravityZone 组件 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中终端的唯一标识符 GravityZone 数据库 |
|
endpointId |
字符串 |
是 |
GravityZone数据库中受管终端的标识符 GravityZone 数据库 |
|
硬件ID |
字符串 |
是 |
硬件标识符 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"product_installed": "BEST",
"companyId": "59a14b271da197c6108b4567",
"computer_name": "TEST_ENDPOINT",
"computer_fqdn": "test-endpoint.dsd.ro",
"computer_ip": "10.10.18.226",
"computer_id": "59b7d9bfa849af3a1465b7e4",
"endpointId": "5e2085febf255a545e52276b",
"module": "endpoint-moved-out",
"hwid": "5e284ff-5b7e43d387ba-54a95"
}
]
},
"id": 1505221060170
}
故障排查活动
当故障排查任务结束时生成该事件,并通知其状态。若成功,将提供相关日志。
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
已安装产品 |
字符串 |
是 |
已安装的 GravityZone 组件标识符 |
|
公司ID |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中 的唯一端点标识符 |
|
taskId |
字符串 |
是 |
当前故障排查任务的ID |
|
taskType |
字符串 |
是 |
任务类型 |
|
errorCode |
整数 |
是 |
表示任务失败时错误代码的整数值 |
|
用户名 |
字符串 |
否 |
启动故障排除任务的用户账户名称 |
|
本地路径 |
字符串 |
否 |
目标机器上存放故障排除归档文件的路径 |
|
网络共享路径 |
字符串 |
否 |
网络共享中存放故障排除归档文件的路径 |
|
保存至Bitdefender云端 |
布尔值 |
否 |
是否将故障排除归档文件同时上传至Bitdefender云端的选项 |
|
状态 |
整数 |
是 |
任务完成时的状态代码 |
|
停止原因 |
整数 |
否 |
故障排除活动被终止的原因代码 |
|
失败存储类型 |
整数 |
否 |
当部分交付方式成功而部分失败时,标识具体失败的存储类型 |
|
startDate |
timestamp |
no |
事件开始的时间戳 |
|
endDate |
timestamp |
no |
产品报告的事件时间,已格式化为字符串表示 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"product_installed": "BEST",
"companyId": "59a14b271da197c6108b4567",
"computer_name": "TEST_ENDPOINT_WINDOWS_10",
"computer_fqdn": "test-endpoint.dsd.ro",
"computer_ip": "10.10.0.101",
"computer_id": "5ee30e2b29a4e218489442b6",
"module": "troubleshooting-activity",
"taskId": "5eea0105f23f731302405833",
"taskType": "Debug Session",
"errorCode": 3,
"username": "test@test.com",
"localPath": "/test/dir",
"networkSharePath": "//1.2.3.4/dir",
"saveToBitdefenderCloud": 0,
"status": 3,
"stopReason": 2,
"failedStorageType": 1,
"startDate": "2020-06-24T06:06:48.000Z",
"endDate": "2020-06-24T06:09:28.000Z"
}
]
},
"id": 1505221060169
}
勒索软件活动检测
当终端代理阻止勒索软件攻击时触发此事件
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
string |
yes |
事件类型标识符。取值:
|
|
product_installed |
string |
yes |
已安装产品的标识符 GravityZone 组件 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中的唯一终端标识符 GravityZone 数据库 |
|
company_name |
字符串 |
是 |
检测到攻击事件所属的公司名称 |
|
endpoint_id |
字符串 |
是 |
GravityZone数据库中受管端点的标识符 GravityZone 数据库 |
|
attack_type |
字符串 |
是 |
勒索软件攻击类型 |
|
item_count |
字符串 |
是 |
攻击期间加密的文件数量 |
|
detected_on |
整数 |
是 |
检测到攻击的日期和时间 |
|
attack_source |
字符串 |
是 |
远程攻击时的远程IP地址或本地攻击时的进程路径 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"module": "ransomware-mitigation",
"companyId": "5dad6f685f627d42cb3cd434",
"product_installed": "SVA",
"user": {
"name": "用户",
"sid": "S-11-22-33"
},
"company_name": "Bitdefender",
"computer_name": "DC-Nebula",
"computer_fqdn": "dc-nebula.nebula.local",
"computer_ip": "10.17.16.10",
"computer_id": "5ed4d2fef23f7325715dbb22",
"attack_type": "remote",
"item_count": "23",
"detected_on": 1591007594,
"attack_source": "10.10.20.120"
}
]
},
"id": 1505221060169
}
新事件
每当在控制中心的“事件”部分显示新的根本原因分析(RCA)时,都会生成此事件。 控制中心 。该事件包含从RCA JSON中提取的相关项目列表,可用于通过EDR特定数据丰富SIEM驱动的关联。
参数 :
|
名称 |
类型 |
是否必填 |
描述 |
|---|---|---|---|
|
module |
字符串 |
是 |
事件类型标识符。取值:
|
|
computer_name |
字符串 |
是 |
计算机名 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
计算机IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中 的唯一终端标识符 |
|
incident_id |
字符串 |
是 |
事件标识符 |
|
严重性评分 |
整数 |
是 |
严重性评分 |
|
攻击入口 |
整数 |
是 |
攻击入口 |
|
主要动作 |
字符串 |
是 |
主要动作 |
|
检测名称 |
字符串 |
否 |
检测名称 |
|
文件名 |
字符串 |
否 |
文件名 |
|
文件路径 |
字符串 |
否 |
文件路径 |
|
文件MD5哈希值 |
字符串 |
否 |
MD5文件哈希值 |
|
文件SHA256哈希值 |
字符串 |
否 |
SHA-256文件哈希值 |
|
网址 |
字符串 |
否 |
域名网址 |
|
端口 |
整数 |
否 |
域名端口 |
|
协议 |
字符串 |
否 |
应用层协议 |
|
源IP |
字符串 |
否 |
源IP地址 |
|
进程PID |
整数 |
否 |
进程PID |
|
进程路径 |
字符串 |
否 |
进程路径 |
|
父进程PID |
整数 |
否 |
父进程PID |
|
父进程路径 |
字符串 |
否 |
父进程路径 |
|
攻击类型 |
数组 |
否 |
攻击类型 |
|
攻击ID |
数组 |
否 |
MITRE ATT&CK框架中的攻击ID |
|
进程命令行参数 |
字符串 |
否 |
命令行中的进程参数 |
|
严重等级 |
字符串 |
是 |
生成事件的严重程度 |
|
公司ID |
字符串 |
是 |
公司标识符 |
|
节点 |
对象数组 |
否 |
提供事件涉及实体的详细信息。 备注该参数在此事件类型的CEF格式中不可用。 |
|
端点ID |
字符串 |
是 |
端点标识符 |
|
用户名 |
字符串 |
否 |
发现事件时登录的用户 |
|
用户SID |
字符串 |
否 |
事件源关联用户的SID |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"module": "new-incident",
"created": "2020-07-20T09:36:23.485Z",
"computer_id": "5efb3a520075db7384dfa286",
"computer_fqdn": "desktop-jac14gs",
"computer_name": "DESKTOP-JAC14GS",
"detection_name": "ATC.Malicious",
"attack_types": [
"其他"
],
"computer_ip": "10.17.23.30",
"severityScore": 90,
"incident_id": "5f1557cbe7b2584f3959ee19",
"attack_entry": 1688239188,
"parent_process_path": "c:\\windows\\system32\\cmd.exe",
"parent_process_pid": 9636,
"process_path": "c:\\users\\bdadmin\\desktop\\atcsim\\atcsim32.exe",
"process_pid": 10324,
"username": "DESKTOP-JAC14GS\\bdadmin",
"user_sid": "S-1-5-21-3349207704-443292085-2237656896-1003",
"process_command_line": "detect",
"file_hash_md5": "ccb1b07bdf330627f02b3c832663a489",
"file_hash_sha256": "d5adc6a65a57d30d3ae70d195983d155e7cd24f26eb1ebebde9b92655251ec55",
"att_ck_id": [
"T1036",
"T1059",
"T1002",
"T1012"
],
"severity": "高危",
"main_action": "无操作",
"endpointId": "5efb3a520075db7384dfa285",
"companyId": "5efb2f7154060876cb4a13d2",
"nodes": [
{
"id": "67dd30dd4a842ebbbb0b6b1b",
"name": "runme.exe",
"type": "进程执行",
"details": {
"file": {
"name": null,
"path": "c:\\users\\bdvm\\desktop\\edr win samples\\ctc sample\\runme.exe",
"md5": "b5f9240a49fcc6be5de168c5cbbff59a",
"sha256": "8407fe2c7da0141f111806ec5d3453d92099b75070b0ff829f2efcc38100794d"
},
"process": {
"pid": 6368,
"parent": {
"pid": 7036,
"name": "explorer.exe",
"path": null
},
"command_line": "",
"user_sid": "S-1-5-21-3349207704-443292085-2237656896-1003",
"user_name": "LEV-EDR5\\BDVM",
"exection_date": "2020-11-26T11:07:47+02:00",
"name": null
}
},
"total_alerts": 0
},
{
"id": "67dd30dd4a842ebbbb0b6b1c",
"name": "desktop",
"type": "文件",
"details": {
"name": null,
"path": "c:\\users\\bdvm\\desktop",
"md5": null,
"sha256": null
},
"total_alerts": 0
},
{
"id": "67dd30dd4a842ebbbb0b6b1c",
"type": "注册表",
"details": {
"registry": {
"key": "",
"value": "",
"data": ""
},
"process": {
"id": 0,
"name": "",
"path": ""
}
}
"total_alerts": 0
},
{
"id": "67dd30dd4a842ebbbb0b6b1c",
"type": "域名",
"details": {
"domain": {
"requested_url": "",
"remote_port": "",
"source_application": ""
},
"process": {
"id": 0,
"name": "",
"path": ""
},
"file": {
"md5": "",
"sha256": ""
}
}
"total_alerts": 0
},
{
"id": "67dd30dd4a842ebbbb0b6b1c",
"type": "容器或容器主机",
"details": {
"name": "",
"hardware_id": "",
"ip": "",
"container": true,
"container_host": false
}
"total_alerts": 0
},
{
"id": "67dd30dd4a842ebbbb0b6b1c",
"type": "终端",
"details": {
"name": "",
"hardware_id": "",
"ip": "",
"container": true,
"container_host": false
}
"total_alerts": 0
}
]
}
]
},
"id": 1505221060171
}
新扩展事件
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
创建时间 |
字符串 |
是 |
事件创建时的时间戳。 |
|
最后更新时间 |
字符串 |
是 |
事件最后一次更新的时间戳。 |
|
最后处理时间 |
字符串 |
是 |
事件最后一次被处理的时间戳。 |
|
事件ID |
字符串 |
是 |
事件的唯一标识符。 |
|
事件编号 |
整数 |
是 |
事件编号,即该事件在 GravityZone . |
|
version |
integer |
yes |
事件的版本号。 |
|
severity |
string |
yes |
基于严重性评分的事件严重等级分类。 可选值:
|
|
severity_score |
integer |
yes |
事件的严重性评分。 |
|
main_action |
string |
yes |
针对该事件采取的主要处置措施。 |
|
killchain_phases |
array of strings |
yes |
与该事件关联的MITRE ATT&CK攻击链阶段列表。 |
|
最后攻击链阶段 |
字符串 |
是 |
攻击过程中达到的最后一个MITRE ATT&CK攻击链阶段 |
|
攻击类型 |
字符串数组 |
是 |
触发该事件时使用的攻击类型 |
|
关联事件 |
字符串数组 |
是 |
与此事件关联的其他事件ID列表 |
|
节点 |
对象数组 |
是 |
涉及事件的实体列表(例如终端、服务器、移动设备、路由器、打印机、物联网设备、攻击者和电子邮件)。每个对象包含id、名称、类型、详情和total_alerts字段。 注意该参数以CEF格式的字符串数组形式返回。 |
示例
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"module": "new-extended-incident",
"created": "2020-07-20T09:36:23.485Z",
"last_updated": "2020-07-20T09:36:23.485Z",
"last_processed": "2020-07-20T09:36:23.485Z",
"incident_id": "5f1557cbe7b2584f3959ee19",
"incident_number": 1,
"version": 1,
"severity_score": 100,
"severity": "high",
"main_action": "action_needed",
"killchain_phases": [
"初始访问",
"执行",
"命令与控制"
],
"last_killchain_phase": "执行",
"attack_types": [
"漏洞利用",
"鱼叉式钓鱼",
"数据外泄"
],
"correlated_incidents": [
"5f1557cbe7b2584f3959ee17",
"5f1557cbe7b2584f3959ee18"
],
"nodes": [
{
"id": "67dd30dd4a842ebbbb0b6b1b",
"name": "",
"type": "终端",
"details": {
"hardware_id": "",
"ips": [
"127.0.0.1",
"192.168.1.1"
],
"macs": [
""
],
"computer_id": ""
},
"total_alerts": 0
},
{
"id": "67dd30dd4a842ebbbb0b6b1b",
"name": "",
"type": "服务器",
"details": {
"hardware_id": "",
"ips": [
"127.0.0.1",
"192.168.1.1"
],
"macs": [
""
],
"computer_id": "",
"network_services": [
"文件共享",
"邮件",
"域控制器"
]
},
"total_alerts": 0
},
{
"id": "67",
"name": "",
"type": "移动设备",
"details": {
"device_id": "",
"ip": "127.0.0.1",
"operating_system": "",
"device_group_name": "",
"phone_number": ""
},
"total_alerts": 0
},
{
"id": "67dd30dd4a842ebbbb0b6b1b",
"name": "",
"type": "路由器",
"details": {
"ip": "127.0.0.1",
"mac": ""
},
"total_alerts": 0
},
{
"id": "67dd30dd4a842ebbbb0b6b1b",
"name": "",
"type": "打印机",
"details": {
"ip": "127.0.0.1",
"mac": ""
},
"total_alerts": 0
},
{
"id": "67dd30dd4a842ebbbb0b6b1b",
"name": "",
"type": "物联网设备",
"details": {
"ip": "127.0.0.1",
"mac": ""
},
"total_alerts": 0
},
{
"id": "67dd30dd4a842ebbbb0b6b1b",
"name": "",
"type": "攻击者",
"details": {
"threat_group": "Lazarus"
},
"total_alerts": 0
},
{
"id": "67dd30dd4a842ebbbb0b6b1b",
"name": "",
"type": "电子邮件",
"details": {
"sender": "",
"recipients": [
""
],
"subject": "",
"attachments": [
""
]
},
"total_alerts": 0
}
]
}
]
},
"id": 1505221060171
}
合作伙伴变更
每当客户公司加入或退出您的管理时,都会生成此事件。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
companyId |
字符串 |
是 |
新合作伙伴公司的ID。 |
|
moved_company_id |
字符串 |
是 |
已变更合作伙伴的公司ID。 |
|
moved_company_name |
字符串 |
是 |
已变更合作伙伴的公司名称。 |
|
action |
字符串 |
是 |
合作伙伴采取的操作。可能取值:
|
|
license_type |
字符串 |
否 |
公司的许可证类型。 |
|
end_subscription_date |
时间戳 |
否 |
公司的订阅截止日期。 |
|
auto_renew_period |
字符串 |
否 |
订阅有效期将自动延长的月数。 |
|
minimal_commitment_usage_endpoints |
整数 |
否 |
该公司承诺每月使用的最小端点数量。 |
|
enabled_services |
数组 |
否 |
该公司启用的服务列表。 |
示例:
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [{
"module": "partner-changed",
"companyId": "638f118f6b82bec40d0976df",
"moved_company_id": "628f107f6b82bec40d0976af",
"moved_company_name": "Bitdefender",
"action": "joined",
"license_type": "Monthly",
"end_subscription_date": "2022-12-30T23:59:00",
"auto_renew_period": 12,
"minimal_commitment_usage_endpoints": 2,
"enabled_services": [
"邮件安全",
"全盘加密",
"补丁管理",
"HyperDetect",
"沙箱分析器"
]
}]
},
"id": 1505221060171
}
安全容器更新可用
当您网络中安装的安全容器有可用更新时,此通知将提醒您。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装组件的标识符。 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中的唯一终端标识符 |
|
host_name |
字符串 |
是 |
过时安全容器的主机名 |
{
"jsonRPC示例": {
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"module": "security-container-update-available",
"product_installed": "BEST",
"companyId": "60f00bd6c1aa8571d55a9314",
"computer_name": "security-container-x",
"computer_fqdn": "security-container-x-containers-host.dsd.ro",
"computer_ip": "10.17.15.247",
"computer_id": "60f6ba5e1b3272cce33c3281",
"host_name": "TEST_ENDPOINT_2"
}
]
},
"id": 1626946550489
}
}
集成中心状态变更
当集成中心内配置的集成状态发生变化时,此通知将告知您。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
company_id |
字符串 |
是 |
公司标识符 |
|
integration_id |
字符串 |
是 |
集成ID |
|
integration_name |
字符串 |
是 |
集成名称 |
|
integration_type |
字符串 |
是 |
集成类型 |
|
integrator_fqdn |
字符串 |
否 |
集成器FQDN |
|
integrator_ip |
字符串 |
否 |
集成器IP |
|
integrator_hwid |
字符串 |
否 |
集成商硬件ID |
|
integrator_id |
字符串 |
否 |
集成商ID |
|
integrator_name |
字符串 |
否 |
集成商名称 |
|
日期 |
时间戳 |
是 |
状态变更时的时间戳 |
|
error_code |
整数 |
是 |
导致状态变更的错误代码 |
|
status |
字符串 |
是 |
新的集成状态 |
|
_testEvent_ |
布尔值 |
是 |
指示是否为测试事件 |
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"module": "integrations-hub-status",
"company_id": "67bdd1b355c6085de10060b2",
"integration_id": "67a0c5e7b365a314820f1582",
"integration_name": "zzz3",
"integration_type": "vcenter",
"integrator_fqdn": "fc-win7-x64-01",
"integrator_ip": "10.17.46.207",
"integrator_hwid": "098H52ST479QE053V2",
"integrator_id": "5d529fb7008739443adb4003",
"integrator_name": "FC-WIN7-X64-01",
"date": "2025-02-24T13:01:17.000Z",
"error_code": 0,
"status": "active",
"_testEvent_": true
}
]
},
"id": 1741345761804
}