完整性监控 事件
当受支持实体被修改时,系统将在 报告 > 完整性监控 事件 .
该 完整性监控 事件 页面提供以下筛选选项:
-
事件日期
-
终端
-
变更类型 。此筛选选项允许选择一种或多种变更类型:全部、创建、更新、删除及重命名。
-
严重等级 。此筛选选项允许选择严重性类型:全部、低、中、高及严重。
-
分类 。此筛选选项允许选择事件分类:
-
Bitdefender 受信任 ——此类事件由被Bitdefender判定为安全的进程路径触发。 Bitdefender 。在Windows终端上,还会检查进程路径是否具有有效数字签名。
-
未批准 ——此类事件根据策略中应用的规则触发。
-
已批准 ——此类事件最初标记为未批准,但随后被用户更改。
可通过以下步骤更改事件分类:
-
选择需要更改分类的事件。
-
从 更改分类 下拉列表中选择新状态。
-
-
更多 。此筛选选项允许选择其他选项:全部、原因、实体类型、位置及用户。
注意
完整性监控 每小时最多显示5000个事件。若达到该上限,后续事件将不再发送至 GravityZone ,持续一小时。
事件详情窗口
当您选中某个事件后,页面右侧将显示 事件详情 窗口。此处可查看触发该事件的具体变更内容。
您可通过拖动四圆点图标来调整 事件详情 窗口大小。
该 事件详情 窗口包含以下字段:
-
常规信息:
-
原因 :触发事件的规则。
-
事件日期
-
严重程度
-
终端名称
-
用户 :修改文件的终端用户。
-
类别
-
-
详细信息:
-
事件类型
-
位置
-
变更类型
-
MITRE ATT&CK ID
-
-
属性变更:
-
大小
-
哈希值
-
最后修改时间
-
权限
-
所有者
-
所属组
-
属性
-
子项
-
键值
-
发布者
-
版本
-
安装日期
-
安装路径
-
镜像路径
-
启动类型
-
状态
备注
所有属性变更均显示各类型的先前值与更新值。
-
-
采取的操作:
-
修复
-
移至隔离区
-
删除
重要提示
若文件因被活动规则或其他应用程序锁定而暂无法执行删除或隔离操作,其状态将标记为 待处理 。系统将自动重试该操作。当文件解锁并完成操作后,用户将通过 GravityZone 收到通知。
-
注意
在Windows系统中,仅当 审核账户管理 已启用。更多信息,请参阅 审核账户管理 .