跳至主要内容

JSON字段

下方列表显示告警 JSON 标签页中的可用字段:

字段名称

描述

attack_type

恶意软件类型

可能取值:

  • 无文件攻击

  • 漏洞利用

  • 勒索软件

  • 密码窃取程序

  • 键盘记录器

  • 下载器

  • 恶意软件

ctc_version

EDR 版本号

detection_hd_category

告警类型

可能取值:

  • 0(定向攻击)

  • 1(可疑文件)

  • 2(漏洞利用)

  • 3(勒索软件)

  • 4(灰色软件)

extra_info.added_service_file_path

新增服务的文件路径

extra_info.added_service_name

新增服务名称

extra_info.extra_info_1

特定事件相关的附加信息

extra_info.extra_info_2

特定事件相关的附加信息

extra_info.file_packer_name

文件打包器名称

extra_info.file_vinfo_company_name

可执行文件元数据中列出的公司名称字段

extra_info.file_vinfo_product_name

可执行文件元数据中列出的产品名称字段

extra_info.ldap_distinguished_name

LDAP对象的识别名

extra_info.lnk_path

文件的直接下载链接

extra_info.new_hardware_device_name

设备名称

extra_info.process_injection_target_commandline

被注入进程的命令行

extra_info.process_read_memory_target_commandline

被注入进程的命令行

extra_info.process_read_memory_target_path

从内存中读取的进程命令行

extra_info.process_read_memory_target_pid

从内存中读取的进程ID

extra_info.requester_system_name

源主机名

extra_info.smb_host_name

SMB连接的主机名

extra_info.smb_user

SMB连接的用户

extra_info.winrm_connection_user_agent

Windows远程管理连接中使用的用户代理

extra_info.wmi_execute_method_class_name

Windows管理规范(WMI)类名

extra_info.wmi_execute_method_method_name

Windows Management Instrumentation (WMI) 函数名称

extra_info.wmi_interface

用于与API交互的Windows Management Instrumentation (WMI) 接口

malware_family

恶意软件家族

malware_type

恶意软件类型

severity

严重等级

本节内容 :