获取事件
通过引用事件ID,您可以使用此方法检索特定安全事件的相关信息。
API地址:
CONTROL_CENTER_APIs_ACCESS_URL/v1.2/jsonrpc/incidents
参数
|
参数 |
描述 |
包含在请求中 |
类型 |
取值 |
|---|---|---|---|---|
|
|
需要获取信息的事件ID。 |
必填 |
字符串 |
无额外要求。 |
返回值
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
事件ID。 |
|
|
字符串 |
事件编号,显示于 GravityZone 控制台的 事件 页面。 |
|
|
字符串 |
事件类型。 可选值:
该字段的值将决定
|
|
|
对象 |
生成事件的公司ID。
更多信息请参阅
|
|
|
字符串 |
事件状态。 可选值:
|
|
|
字符串 |
事件被检测时保护技术自动采取的主要措施。 可选值:
|
|
|
String |
事件在网络中被检测到的时间与日期,采用ISO-8601格式。 |
|
|
String |
事件最后一次被GravityZone更新的时间与日期 GravityZone ,采用ISO-8601格式。 |
|
|
String |
事件最后一次被GravityZone处理的时间与日期 GravityZone ,采用ISO-8601格式。 |
|
|
Integer |
由检测技术报告的事件严重性评分。
可能取值:
|
|
|
String |
指向浏览器中查看事件详情网页的URL链接。 |
|
|
Object |
分配给此事件的用户的ID GravityZone 被分配处理该事件的用户。 若未分配用户,则返回结果中不包含此对象。
更多信息请参阅
|
|
|
String |
事件被分配的优先级。 可选值:
|
|
|
Array of strings |
事件中检测到的攻击类型列表。 |
|
|
Object |
该对象包含与事件相关的附加信息。所提供的信息取决于
|
|
|
Object |
附加到事件的注释列表。
更多信息请参阅
|
objects
company
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
生成事件的公司的ID。 |
|
|
字符串 |
生成事件的公司的名称。 |
assignee
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
案件被分配给的用户的ID。 |
|
|
字符串 |
案件被分配给的用户的名称。 |
|
|
字符串 |
被分配用户所属公司的ID。 |
|
|
字符串 |
被分配用户所属公司的名称。 |
notes
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
备注的ID。 |
|
|
字符串 |
创建备注的用户ID。 |
|
|
字符串 |
添加到备注的文本内容。 |
|
|
字符串 |
备注创建的日期和时间,采用ISO-8601格式。 |
details
- 适用于EDR事件
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
检测名称。 |
|
|
对象 |
对象列表,指示此事件用于关联数据时所属的扩展事件。 |
|
|
字符串 |
生成事件的端点ID。 |
|
|
字符串 |
生成事件的端点名称。 |
|
|
字符串 |
生成该事件的终端设备的完全限定域名(FQDN)。 |
|
|
字符串 |
生成该事件的终端设备的IP地址。 若终端设备存在多个IP地址,此处将显示与 GravityZone 通信时使用的IP地址,而非攻击中使用的IP。 |
|
|
字符串数组 |
终端设备的MAC地址列表。 |
|
|
对象 |
反映事件中各类资源数量的计数器列表。
更多信息请参阅
|
|
|
字符串 |
触发该事件的节点ID。 此为事件图谱的根节点。
该节点属于
|
|
|
对象数组 |
来自事件图谱的节点列表。
更多信息请参阅
|
|
|
对象数组 |
来自事件告警的列表。
更多信息,请参阅
|
|
|
对象数组 |
节点间转移的列表,用于映射EDR行为图中节点间的事件流。
更多信息,请参阅
|
|
|
对象数组 |
MITRE 攻击中检测到的技术。 |
所属
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
事件的唯一标识符。 |
|
|
字符串 |
可用于在 GravityZone . 注意用户需登录 GravityZone 以访问该事件。 |
计数器
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
整数 |
涉及事件的终端数量。 |
|
|
整数 |
涉及事件的文件数量。 |
|
|
整数 |
涉及事件的进程数量。 |
|
|
整数 |
涉及事件的域名数量。 |
|
|
整数 |
涉及事件的注册表键数量。仅适用于使用Windows的终端。 |
|
|
整数 |
涉及事件的系统事件数量。 |
|
|
整数 |
涉及事件的存储设备数量。 |
MITRE标签
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
该MITRE技术所属的类别。 |
|
|
对象数组 |
为该类别检测到的MITRE技术。 |
techniques
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
MITRE技术的ID(例如,
|
|
|
字符串 |
MITRE技术的名称(例如,
|
|
|
对象数组 |
为该技术检测到的MITRE子技术。 |
subtechniques
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
MITRE子技术的ID(例如,
|
|
|
字符串 |
MITRE子技术名称(例如,
|
节点
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
节点的唯一标识符。 |
|
|
字符串 |
节点的名称。 |
|
|
字符串 |
节点的类型。 可选值:
|
|
|
字符串数组 |
告警ID列表。这些ID与
|
|
|
对象数组 |
节点可用的详细信息。对象包含的数据根据
对于其他类型,响应中将不包含该属性。 |
details
|
字段
|
属性 |
类型 |
|---|---|---|
|
|
|
字符串 |
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
布尔值 |
|
|
|
布尔值 |
|
|
|
|
字符串 |
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
整数 |
|
|
|
布尔值 |
|
|
|
对象 包含以下属性:
|
|
|
|
对象 包含以下属性:
|
|
|
|
对象 包含以下属性:
|
|
|
|
|
对象 包含以下属性:
|
|
|
对象 包含以下属性:
|
|
|
|
对象 包含以下属性:
|
|
|
|
对象 包含以下属性:
|
|
|
|
对象 包含以下属性:
|
|
|
|
|
对象 包含以下属性:
|
|
|
对象 包含以下属性:
|
|
|
|
|
对象 包含以下属性:
|
|
|
对象 包含以下属性:
|
|
|
|
对象 包含以下属性:
|
告警
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
告警的唯一标识符。 |
|
|
字符串 |
告警的名称。 |
|
|
字符串 |
告警在网络中被检测到的时间和日期, |
|
|
对象 |
该对象包含关于检测到告警者的信息。 |
|
|
对象 |
该对象包含与告警相关资源的信息。 |
|
|
对象数组 |
告警的额外信息 |
detectedBy
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
检测到威胁的技术的名称。 |
|
|
字符串 |
检测到威胁的技术的类型。 |
resources
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
资源类型。 可选值:
|
|
|
对象数组 |
节点可用的详细信息。对象包含的数据根据
对于其他类型,响应中将不包含该属性。 |
详情
|
字段
|
属性 |
类型 |
|---|---|---|
|
|
|
字符串 |
|
|
整数 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
|
字符串 |
|
|
字符串 |
|
|
|
整数 |
|
|
|
字符串 |
|
|
|
整数 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
整数 |
|
|
|
整数 |
|
|
|
整数 |
|
|
|
整数 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
整数 |
|
|
|
整数 |
|
|
|
字符串 |
|
|
|
整数 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
整数 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
整数 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
|
整数 |
|
|
字符串 |
|
|
|
整数 |
|
|
|
字符串 |
|
|
|
整数 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
整数 |
|
|
|
字符串 |
|
|
|
整数 |
|
|
|
字符串 |
|
|
|
整数 |
|
|
|
整数 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
|
字符串 |
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
额外信息
|
属性 |
类型 |
|---|---|
|
|
字符串 |
|
|
数字 | 布尔值 | 字符串 |
转换关系
这些条目应用于构建事件图谱,用于指示节点间的连接方式。
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
源节点的ID。 |
|
|
字符串 |
目标节点的ID。 |
|
|
字符串 |
转换发生的日期和时间,采用ISO-8601格式。 |
详情
- 适用于XDR事件
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
对象 |
一个对象列表,指示此事件用于关联数据时所属的扩展事件。
更多信息请参阅
|
|
|
对象 |
一个对象列表,指示在此事件中用于关联数据的其他事件。
更多信息请参阅
|
|
|
对象 |
反映事件中存在的某类资源数量的计数器映射。
更多信息请参阅
|
|
|
对象 |
MITRE 攻击中检测到的技术。
更多信息请参阅
|
|
|
字符串数组 |
基于MITRE ATT&CK框架,列出网络攻击生命周期各阶段的数组。每个值代表威胁行为者在事件中可能达到的特定阶段。 可选值:
|
|
|
字符串 |
基于MITRE ATT&CK框架,表示事件期间在网络攻击生命周期中达到的最新阶段。反映系统观测到的最远进展程度。 可选值:
|
|
|
对象 |
攻击中识别出的CVE漏洞列表。
更多信息请参阅
|
|
|
对象 |
可能实施攻击的可疑行为者列表。
更多信息请参阅
|
|
|
对象 |
事件图谱中的节点列表
更多信息请参阅
|
|
|
对象 |
事件关联的警报列表
更多信息请参阅
|
所属关系
与
包含关系
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
事件的ID。 |
|
|
字符串 |
可用于在 GravityZone . 注意用户需要登录 GravityZone 才能访问该事件。 |
counters
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
整数 |
涉及事件的终端数量。 |
|
|
整数 |
涉及事件的服务器数量。 |
|
|
整数 |
涉及事件的移动设备数量。 |
|
|
整数 |
涉及事件的打印机数量。 |
|
|
整数 |
事件中涉及的路由器数量。 |
|
|
整数 |
事件中涉及的物联网设备数量。 |
|
|
整数 |
事件中涉及的身份信息数量。 |
|
|
整数 |
事件中涉及的电子邮件数量。 |
|
|
整数 |
事件中涉及的IP地址数量。 |
|
|
整数 |
事件中涉及的域名数量。 |
|
|
整数 |
事件中涉及的域名服务器数量。 |
|
|
整数 |
事件中涉及的域名生成算法( DGA )数量。 |
|
|
整数 |
事件中涉及的云存储数量。 |
|
|
整数 |
事件涉及的 Tor节点 数量。 |
|
|
整数 |
事件涉及的外部驱动器数量。 |
|
|
整数 |
事件涉及的外部来源数量。 |
|
|
整数 |
事件涉及的外泄文件数量。 |
|
|
整数 |
事件涉及的内部IP数量。 |
|
|
整数 |
事件涉及的内部邮件数量。 |
|
|
整数 |
事件涉及的用户数量。 |
|
|
整数 |
事件涉及的虚拟桌面数量。 |
|
|
整数 |
事件涉及的容器(Docker、K8s等)数量。 |
|
|
整数 |
事件涉及的数据库数量。 |
|
|
Integer |
事件涉及的存储设备数量。 |
|
|
Integer |
事件涉及的Office 365实例数量。 |
|
|
Integer |
事件涉及的Active Directory实例数量。 |
|
|
Integer |
事件涉及的Azure Active Directory实例数量。 |
|
|
Integer |
事件涉及的Google Cloud Platform实例数量。 |
|
|
Integer |
事件涉及的Google Workspace实例数量。 |
|
|
Integer |
事件涉及的Atlassian实例数量。 |
|
|
Integer |
事件涉及的Atlassian Bitbucket产品数量。 |
|
|
Integer |
事件涉及的Atlassian Jira产品数量。 |
|
|
Integer |
事件涉及的Atlassian Confluence产品数量。 |
|
|
整数 |
事件涉及的Bitbucket项目数量。 |
|
|
整数 |
事件涉及的Confluence空间数量。 |
mitreTags
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
该MITRE技术所属的类别。 |
|
|
对象数组 |
为该类别检测到的MITRE技术。 |
techniques
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
MITRE技术的ID(例如,
|
|
|
字符串 |
MITRE技术的名称(例如,
|
|
|
对象数组 |
检测到的该MITRE技术关联的子技术。 |
子技术
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
MITRE子技术的ID(例如,
|
|
|
字符串 |
MITRE子技术的名称(例如,
|
CVE漏洞
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
CVE漏洞的ID(例如,
|
疑似攻击者
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
可疑行为者的名称。 |
|
|
整数 |
将该攻击与该行为者关联的置信度分数 |
|
|
对象数组 |
此攻击与该行为者关联的原因列表。 |
原因
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
原因的类型。 可能取值:
|
|
|
字符串 |
原因对应的值。 字符串格式将取决于类型字段。 |
节点
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
节点的唯一标识符。 |
|
|
字符串 |
节点的名称。 |
|
|
布尔值 |
标识该节点是否属于客户端网络外部资源。 |
|
|
字符串 |
节点的类型。 可选值:
|
|
|
对象 |
该模式可用的详细信息。对象包含的数据根据
对于其他任何类型,响应中将不包含该属性。 |
详情
|
字段的
|
属性 |
类型 |
|---|---|---|
|
|
|
字符串 |
|
|
字符串数组 |
|
|
|
字符串数组 |
|
|
|
字符串 |
|
|
|
|
字符串 |
|
|
字符串数组 |
|
|
|
字符串数组 |
|
|
|
字符串 |
|
|
|
字符串数组 |
|
|
|
|
字符串 |
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
|
字符串 |
|
|
字符串 |
|
|
|
|
字符串 |
|
|
|
字符串 |
|
|
字符串数组 |
|
|
|
字符串 |
|
|
|
字符串数组 |
|
|
|
|
字符串 |
|
|
字符串数组 |
|
|
|
字符串 |
|
|
|
|
字符串 |
|
|
字符串数组 |
|
|
|
|
字符串 |
|
|
|
字符串 |
|
|
字符串 |
|
|
|
|
字符串 |
|
|
字符串 |
|
|
|
|
字符串 |
|
|
字符串 |
|
|
|
|
字符串数组 |
|
|
字符串数组 |
|
|
|
字符串 |
|
|
|
|
字符串数组 |
|
|
字符串数组 |
|
|
|
字符串 |
|
|
|
|
字符串数组 |
|
|
字符串数组 |
|
|
|
字符串 |
|
|
|
|
字符串数组 |
|
|
字符串数组 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
|
字符串数组 |
|
|
字符串数组 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
|
字符串 |
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
|
字符串 |
|
|
|
字符串 |
|
|
字符串数组 |
|
|
|
字符串数组 |
|
|
|
|
字符串 |
|
|
|
字符串 |
|
|
字符串 |
|
|
|
|
字符串 |
|
|
字符串 |
|
|
|
字符串 |
告警
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
警报的ID。 |
|
|
String |
警报的名称。 |
|
|
String |
在网络上检测到警报的日期和时间,采用ISO-8601格式。 |
|
|
字符串数组 |
检测到警报的传感器列表。 可能取值:
|
|
|
String |
该警报检测到的MITRE战术。 可能取值:
|
|
|
对象数组 |
该数组包含用于构建事件图谱的数据,表示节点间的连接方式。 |
转移关系
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
节点ID |
|
|
字符串 |
节点ID |
|
|
对象数组 |
与此转移关联的资源。 |
资源
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
资源的名称。 |
|
|
字符串 |
资源的类型。 可选值:
|
|
|
对象 |
资源的详细信息。其模式取决于类型字段。
该资源可用的详细信息。对象包含的数据会根据
对于其他任何类型,响应中不会包含此属性。 对于其他任何类型,details对象的值将为null。 |
details
|
值为
|
属性 |
类型 |
|---|---|---|
|
|
|
字符串 |
|
|
|
字符串 |
|
|
字符串 |
|
|
|
|
字符串 |
|
|
|
字符串 |
|
|
字符串 |
|
|
|
整数 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
|
字符串 |
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串 |
|
|
|
字符串(ISO-8601格式) |
|
|
|
对象 包含以下属性:
|
|
|
|
对象 包含以下属性:
|
|
|
|
对象 包含以下属性:
|
|
|
|
对象 包含以下属性:
|
|
|
|
字符串 |
|
|
|
对象 包含以下属性:
|
|
|
|
|
字符串 |
|
|
|
字符串 |
|
|
字符串 |
|
|
|
字符串 |
|
|
|
|
字符串 |
|
|
字符串 |
|
|
|
|
字符串 |
|
|
|
字符串 |
|
|
字符串 |
|
|
|
|
字符串 |
|
|
字符串 |
示例
请求 :
{
"id": "1231",
"method": "getIncident",
"jsonrpc": "2.0",
"params": {
"id": "67dd30dd4a842ebbbb0b6af3"
}
}
响应 :
针对EDR事件
{
"id": "1231",
"jsonrpc": "2.0",
"result": {
"incidentId": "67dd30dd4a842ebbbb0b6af3",
"incidentNumber": 5,
"status": "开放",
"mainAction": "已报告",
"created": "2025-03-21T11:26:53+02:00",
"lastUpdated": "2025-03-21T11:26:53+02:00",
"lastProcessed": "2025-03-21T11:26:53+02:00",
"severityScore": 94,
"incidentLink": "https://10.192.168.35:443/#!/incidents/view/67dd30dd4a842ebbbb0b6af3",
"assignee": null,
"priority": "未知",
"attackTypes": [
"恶意软件",
"勒索软件",
"密码窃取程序"
],
"company": {
"id": "67b8a808bc8acb8a10084244",
"name": "Bitdefender"
},
"incidentType": "事件",
"details": {
"detectionName": "检测名称",
"counters": {
"endpoints": 1,
"files": 15,
"processes": 14,
"domains": 0,
"registries": 0,
"events": 39,
"storages": 0
},
"computerId": "67dd30b41f27f76f5b0785c4",
"computerName": "计算机 2-j6dz3W",
"computerFqdn": "computer2.local",
"computerIp": "204.51.35.166",
"computerMacAddresses": [
"909434863998"
],
"partOf": [],
"alerts": [
{
"id": "67dd30dd4a842ebbbb0b6af8",
"name": "木马.GenericKD.43872040",
"date": "2025-03-19T17:49:46+02:00",
"detectedBy": {
"name": "木马.GenericKD.43872040",
"class": "反恶意软件检测"
},
"resources": [
{
"type": "进程",
"details": {
"pid": 6368,
"processPath": "c:\\users\\bdvm\\desktop\\edr win samples\\ctc sample\\runme.exe",
"processPathSize": null,
"commandLine": "",
"parentPid": 7036,
"parentProcessPath": null,
"parentProcessCmdline": null,
"parentProcessUser": null,
"user": "LEV-EDR5\\BDVM",
"loadedModule": null,
"loadedModulePid": null,
"processInjectionWriter": null,
"processInjectionWriterPid": null,
"processInjectionTarget": null,
"processInjectionTargetPid": null,
"processInjectionSizeofWrite": null,
"processAccessPrivileges": null,
"parentProcessAccessPrivileges": null,
"processIntegrityLevel": null,
"parentProcessIntegrityLevel": null,
"processPackerName": null
}
},
{
"type": "文件",
"details": {
"filePath": "c:\\users\\bdvm\\desktop\\9b74ecceff733dd080c75355b7852076.1.exe",
"fileSize": null,
"accessType": null,
"attributeChangeType": null,
"rawDiskAccessType": null,
"internalName": null,
"originalFileName": null,
"companyName": null,
"fileDescription": null,
"productName": null,
"md5": null,
"sha256": null,
"certificateIssuer": null,
"certificateSigner": null,
"fileType": null,
"filePackerName": null,
"newFilePath": null
}
}
],
"extra": []
},
{
"id": "67dd30dd4a842ebbbb0b6afc",
"name": "ATC.恶意软件",
"date": "2025-03-20T18:45:42+02:00",
"detectedBy": {
"name": "ATC.恶意软件",
"class": "ATD检测"
},
"resources": [
{
"type": "进程",
"details": {
"pid": 7228,
"processPath": "c:\\users\\bdvm\\desktop\\edr win samples\\poc_cb_x32\\syringe.exe",
"processPathSize": null,
"commandLine": "-i AmCreateRemoteThread -p notepad -t notepad",
"parentPid": 3772,
"parentProcessPath": null,
"parentProcessCmdline": null,
"parentProcessUser": null,
"user": "LEV-EDR5\\BDVM",
"loadedModule": null,
"loadedModulePid": null,
"processInjectionWriter": null,
"processInjectionWriterPid": null,
"processInjectionTarget": null,
"processInjectionTargetPid": null,
"processInjectionSizeofWrite": null,
"processAccessPrivileges": null,
"parentProcessAccessPrivileges": null,
"processIntegrityLevel": null,
"parentProcessIntegrityLevel": null,
"processPackerName": null
}
},
{
"type": "文件",
"details": {
"filePath": "c:\\users\\bdvm\\desktop\\edr win samples\\poc_cb_x32\\syringe.exe",
"fileSize": 344576,
"accessType": null,
"attributeChangeType": null,
"rawDiskAccessType": null,
"internalName": null,
"originalFileName": null,
"companyName": null,
"fileDescription": null,
"productName": null,
"md5": null,
"sha256": null,
"certificateIssuer": null,
"certificateSigner": null,
"fileType": null,
"filePackerName": null,
"newFilePath": null
}
}
],
"extra": []
},
...
],
"nodes": [
{
"id": "67dd30dd4a842ebbbb0b6b1b",
"name": "runme.exe",
"type": "进程执行",
"details": {
"file": {
"name": null,
"path": "c:\\users\\bdvm\\desktop\\edr win samples\\ctc sample\\runme.exe",
"md5": "b5f9240a49fcc6be5de168c5cbbff59a",
"sha256": "8407fe2c7da0141f111806ec5d3453d92099b75070b0ff829f2efcc38100794d",
"size": 523958,
"isExecutable": true
},
"process": {
"pid": 6368,
"parent": {
"pid": 7036,
"name": "explorer.exe",
"path": null
},
"commandLine": "",
"userId": 0,
"userName": "LEV-EDR5\\BDVM",
"date": "2020-11-26T11:07:47+02:00",
"name": null
},
"sandbox": null,
"quarantine": null,
"killProcess": null
},
"alertIds": []
},
{
"id": "67dd30dd4a842ebbbb0b6b1e",
"name": "9b74ecceff733dd080c75355b7852076.1.exe",
"type": "文件",
"details": {
"name": null,
"path": "c:\\users\\bdvm\\desktop\\9b74ecceff733dd080c75355b7852076.1.exe",
"md5": "ccbb2d648319c4387ef492b6fedbc2df",
"sha256": "8826f87868946ad6482c18a51a6bee59380690863fdb2a78f662ec90384f2fea",
"size": 362482,
"isExecutable": true,
"fileProcess": null,
"sandbox": null,
"quarantine": null
},
"alertIds": [
"67dd30dd4a842ebbbb0b6af8"
]
},
...
],
"triggerNodeId": "67dd30dd4a842ebbbb0b6b1e",
"transitions": [
{
"from": "67dd30dd4a842ebbbb0b6b1b",
"to": "67dd30dd4a842ebbbb0b6b1e",
"date": "2025-03-19T23:16:39+02:00"
},
{
"from": "67dd30dd4a842ebbbb0b6b1f",
"to": "67dd30dd4a842ebbbb0b6b1b",
"date": "2025-03-19T15:42:57+02:00"
},
...
],
"mitreTags": [
{
"category": "权限提升",
"techniques": [
{
"name": "滥用权限控制机制",
"id": "T1548",
"subtechniques": [
{
"name": "Setuid和Setgid",
"id": "T1548.001"
}
]
}
]
},
{
"category": "执行",
"techniques": [
{
"name": "用户执行",
"id": "T1204",
"subtechniques": [
{
"name": "恶意文件",
"id": "T1204.002"
}
]
}
]
},
{
"category": "初始访问",
"techniques": [
{
"name": "钓鱼攻击",
"id": "T1566",
"subtechniques": [
{
"name": "鱼叉式钓鱼附件",
"id": "T1566.001"
}
]
},
{
"name": "利用面向公众的应用",
"id": "T1190",
"subtechniques": []
}
]
}
]
},
"notes": []
}
}
针对XDR事件
{
"id": 1,
"jsonrpc": "2.0",
"result": {
"incidentId": "67e2ccfe50ce0cbdb004ad14",
"incidentNumber": 59,
"status": "开放",
"mainAction": "已报告",
"created": "2025-03-25T17:34:22+02:00",
"lastUpdated": "2025-03-25T17:34:22+02:00",
"lastProcessed": "2025-03-25T17:34:22+02:00",
"severityScore": 45,
"incidentLink": "https://10.26.70.11:443/#!/incidents/view/67e2ccfe50ce0cbdb004ad14",
"assignee": null,
"priority": "未知",
"attackTypes": [
"恶意软件",
"勒索软件",
"密码窃取者"
],
"company": {
"id": "67d98d3cd13abc2515011634",
"name": "Bitdefender"
},
"incidentType": "扩展事件",
"details": {
"counters": {
"endpoints": 13,
"servers": 0,
"mobileDevices": 20,
"printers": 6,
"routers": 6,
"IoTs": 8,
"identities": 0,
"emails": 1,
"IPs": 9,
"domains": 12,
"DNSs": 3,
"DGAs": 2,
"cloudStorages": 20,
"torNodes": 8,
"externalDrives": 12,
"externalSources": 10,
"exfiltratedFiles": 0,
"internalIPs": 0,
"internalEmails": 0,
"users": 0,
"virtualDesktops": 0,
"containers": 0,
"databases": 0,
"storages": 0,
"office365Instances": 0,
"ADInstances": 0,
"azureADInstances": 0,
"AWSInstances": 0,
"GCPInstances": 0,
"googleWorkspaceInstances": 0,
"atlassianInstances": 0,
"atlassianBitbucketProducts": 0,
"atlassianJiraProducts": 0,
"atlassianConfluenceProducts": 0,
"bitbucketProjects": 0,
"confluenceSpaces": 0
},
"contains": [],
"partOf": [],
"cves": [
{
"id": "CVE-2018-4878"
},
{
"id": "CVE-2015-8651"
}
],
"suspectedActors": [
{
"name": "拉撒路集团",
"confidenceScore": 90,
"reasons": [
{
"type": "样本",
"value": "假IOC-md5"
},
{
"type": "文件名",
"value": "假IOC文件名"
}
]
},
{
"name": "红色阿波罗",
"confidenceScore": 85,
"reasons": []
},
{
"name": "评论团伙",
"confidenceScore": 80,
"reasons": []
},
{
"name": "土拉",
"confidenceScore": 75,
"reasons": []
}
],
"killChainPhases": [
"初始访问",
"持久性",
"权限提升",
"横向移动",
"收集",
"指挥与控制",
"渗出",
"影响"
],
"lastKillChainPhase": "影响",
"alerts": [
{
"id": "67e2ccfe50ce0cbdb004ad16",
"name": "带有感染附件的邮件被发送给所有公司员工",
"date": "2020-02-28T17:02:00+02:00",
"sensors": [
"NTSA"
],
"tactic": "横向移动",
"transitions": [
{
"from": "67e2ccfe50ce0cbdb004ad19",
"to": "67e2ccfe50ce0cbdb004ad15",
"resources": [
{
"name": "ROLE_e95071481b54554343285e3f.pdf",
"type": "角色",
"details": {
"id": "226c1168-a59e-4acb-af0c-d038d63898c9"
}
},
{
"name": "SHARING_LINK_cba147f3e25117638d1f8351.pdf",
"type": "共享链接",
"details": {
"url": "https://phishing-domain.com/file/8zp0jce0f1wkv8si7.pdf"
}
},
{
"name": "Email_7d5f1c2e2927129d075ebfc2",
"type": "邮件",
"details": {
"id": "N2ZiOWMwODU4Mjg3MzM3OTllZGI1YTI3N2NiMTkwYTI=",
"subject": "重要更新",
"userId": "sample1926@bitdefender.com",
"userTenantId": "0920ef2c-2850-4171-867a-70817f48af07",
"sensorIdentifier": null,
"receivedOn": "2025-03-25T17:33:22+02:00",
"sender": {
"name": "攻击者",
"address": "attacker458@email-provider.com"
},
"toRecipients": [
{
"name": "示例名字",
"address": "sample1926@bitdefender.com"
}
],
"ccRecipients": [],
"bccRecipients": [],
"urls": [],
"attachments": [
{
"name": "notice.zip",
"fileMd5": "74dce2360c9dc6f5530eebe30655641c",
"fileSha256": "535080ec267d4d1c0ba52c95b9a824870899a081bdcb561fb653ff8883782226",
"size": 33874
}
]
}
},
{
"name": "Generic_f00634125526b1342cf3328d",
"type": "通用",
"details": {
"data": "通用数据"
}
}
]
},
{
"from": "67e2ccfe50ce0cbdb004ad1f",
"to": "67e2ccfe50ce0cbdb004ad1b",
"resources": [
{
"name": "App_4d0ab867315d951b5e7f63d7",
"type": "应用程序",
"details": {
"appAddress": "C:\\tmp\\app.exe",
"ip": null
}
}
]
},
{
"from": "67e2ccfe50ce0cbdb004ad1b",
"to": "67e2ccfe50ce0cbdb004ad1a",
"resources": []
}
]
},
{
"id": "67e2ccfe50ce0cbdb004ad17",
"name": "用户打开了邮件附件",
"date": "2020-02-28T17:02:00+02:00",
"sensors": [
"NTSA",
"EDR",
"XDR"
],
"tactic": "收集",
"transitions": [
{
"from": "67e2ccfe50ce0cbdb004ad1a",
"to": "67e2ccfe50ce0cbdb004ad19",
"resources": [
{
"name": "KEY_VAULT_01a8bb19dde124c4",
"type": "密钥库",
"details": null
},
{
"name": "Generic_25ecebefdf7fee86ef20bea2",
"type": "流程",
"details": null
},
{
"name": "Generic_19f9842a9e5010e5ced2486c",
"type": "策略",
"details": null
},
{
"name": "URL_http://e2711a182a1c020c5f2191e1.com",
"type": "网址",
"details": {
"url": "https://bitdefender-testing.com/malware/?alabala=34ab2d12-dd23-11ee-a344-0050568edb17"
}
},
{
"name": "Generic_9df528e539438b8ab6463689",
"type": "策略",
"details": null
},
{
"name": "SSH_KEY_3539bea49dcb49abdaa03c91",
"type": "SSH 密钥",
"details": {
"sshPublicKey": "ssh-rsa czFleGx4enYycWNqcjB4Z3U5d2ZkNWc0aHZkcW10MXRzbzU4OTR2dGJqOG11OHcxNDhxNzNzcWpqa3FjOWVpMGd2bG1mODN2NDFycHJleHYzNTc2cHN4bDd0OHZxaHF4NW5xcXpiNDB1bHF0aGpwMWl3d3Zvemg5eGF6a3dnNmJoM3g1cXEwZXYycGxvdGw5Z2x1djk3bGdzamMza3Nqa2I4NzVuejBjczlyMTEyMnRieDlrNzIxdTBvNjdpNzM1NmVzcXFtem1vMHFvdTg0NmMxZDVvbmY0ZHpsbXpzcmU0d21xNWtpaGwyNmhpcGJiNG4ycHB0OW5sNjE2eHZjMw=="
}
},
{
"name": "Email_b7493f43a032bacdaf64c8de",
"type": "邮件",
"details": {
"id": "MDBjYWZhOGE2NjNjZGE2NjdlYmU3MGZjNGVmZTBjZTA=",
"subject": "重要更新",
"userId": "sample7929@bitdefender.com",
"userTenantId": "66b474e1-9e17-4184-899d-c6d444d460e4",
"sensorIdentifier": null,
"receivedOn": "2025-03-25T17:33:22+02:00",
"sender": {
"name": "攻击者",
"address": "attacker2713@email-provider.com"
},
"toRecipients": [
{
"name": "示例名字",
"address": "sample7929@bitdefender.com"
}
],
"ccRecipients": [],
"bccRecipients": [],
"urls": [],
"attachments": [
{
"name": "notice.zip",
"fileMd5": "74dce2360c9dc6f5530eebe30655641c",
"fileSha256": "535080ec267d4d1c0ba52c95b9a824870899a081bdcb561fb653ff8883782226",
"size": 33874
}
]
}
},
{
"name": "KEY_VAULT_4b2b8932ba760620",
"type": "密钥库",
"details": null
},
{
"name": "ROLE_188b6c1fe2f09fe1afed5029.pdf",
"type": "角色",
"details": {
"id": "a0572580-0962-48b5-bf83-9a22bd9bef2e"
}
},
{
"name": "ROLE_68387384e1149f2b964314b2.pdf",
"type": "角色",
"details": {
"id": "d657efff-1685-42b0-9baa-6030610b82b7"
}
}
]
}
]
}
],
"nodes": [
{
"id": "67e2ccfe50ce0cbdb004ad15",
"name": "攻击者",
"isExternal": false,
"type": "攻击者",
"details": {
"threatGroup": "APT29"
}
},
{
"id": "67e2ccfe50ce0cbdb004ad19",
"name": "promotions@rand.com",
"isExternal": false,
"type": "邮件",
"details": {
"sender": "b86e72bcf11de38a67b5",
"recipients": [
"c97e858ab76dd945706f",
"db71824e54e7f5b5a06f",
"354d1fd7b8d1d29a2bd0",
"6b3101f2cfc427527eab"
],
"subject": "734ed2ca46bb2eb684cc",
"attachments": [
"ec8540e4b77221367ff5",
"6000058a1f8aef7a55f0",
"4075cdb160de26f9256c",
"f11214a106ce0bb02513"
]
}
},
{
"id": "67e2ccfe50ce0cbdb004ad1a",
"name": "终端 1",
"isExternal": false,
"type": "终端",
"details": {
"hardwareId": "24935257-89404259-1260-1115-7183-151640137522",
"ips": [],
"macs": [],
"endpointId": null
}
}
],
"mitreTags": [
{
"category": "指挥与控制",
"techniques": [
{
"name": "动态解析",
"id": "T1568",
"subtechniques": [
{
"name": "域生成算法",
"id": "T1568.002"
}
]
}
]
},
{
"category": "执行",
"techniques": [
{
"name": "用户执行",
"id": "T1204",
"subtechniques": [
{
"name": "恶意文件",
"id": "T1204.002"
}
]
}
]
}
]
},
"notes": []
}
}