发送至SIEM的安全遥测事件
本节说明安全代理向SIEM解决方案(Splunk)发送的信息内容,数据按事件类型分组呈现。
进程创建
|
字段名称 |
描述 |
|---|---|
|
命令行 |
启动进程时使用的命令行参数 |
|
公司ID |
表示在 GravityZone . |
|
ctc_version |
CTC安全签名的版本 |
|
datetime |
Unix纪元时间格式的日期和时间 |
|
elevation |
与进程权限提升级别关联的数字ID |
|
elevation_sz |
指示进程是否以提升的权限运行。可能取值:
|
|
event_name |
事件名称 |
|
event_version |
事件版本 |
|
hardware_id |
由 BEST 生成的唯一标识终端的ID |
|
integrity |
与完整性级别关联的数字ID |
|
integrity_sz |
进程完整性级别。可能取值:
这些数值等同于所描述的强制完整性等级 此处 . |
|
machine_name |
主机名称 |
|
mitre_ids |
该字段包含以下与Mitre攻击和技术相关的信息:
|
|
os_family |
操作系统类型。可能取值:
|
|
os_platform |
操作系统架构类型,
|
|
os_type |
表示操作系统承担的是客户端还是服务器角色。 |
|
os_version |
操作系统版本。例如:
|
|
parent_cmdline |
启动父进程的命令行。 |
|
parent_elevation |
与父进程权限提升级别关联的数字ID |
|
parent_elevation_sz |
指示父进程是否以提升权限运行。可能取值:
|
|
parent_integrity |
与父进程完整性级别关联的数字ID |
|
parent_integrity_sz |
父进程的完整性级别。可能取值:
这些值等同于描述的强制完整性级别 此处 . |
|
parent_pid |
父进程标识符 |
|
parent_process_path |
父进程的文件路径 |
|
parent_user_name |
父进程列出的用户名 |
|
pid |
进程标识符 |
|
process_md5 |
进程的MD5哈希值 |
|
process_path |
进程路径 |
|
process_sha |
进程的SHA256哈希值 |
|
product_version |
最佳 产品版本 |
|
user_name |
启动进程的用户 |
|
user_sid |
与启动进程的用户账户关联的ID |
[
{
"parent_user_name": "1022H2X64-N74\\testadmin",
"integrity_sz": "高",
"integrity": 12288,
"ctc_version": "2.13.4.3",
"parent_integrity": 12288,
"parent_elevation": 1,
"process_sha": "81de431987304676134138705fc1c21188ad7f27edf6b77a6551aa693194485e",
"user_sid": "S-1-5-21-2405739389-2309292873-14435642-1001",
"machine_name": "1022H2X64-N74",
"event_version": 1,
"parent_process_path": "c:\\python36\\pythonw.exe",
"parent_cmdline": "C:\\framework\\main.py frk",
"cmdline": "\"C:\\putty9ebd95c0-5eb4-49b6-82ee-e7c7a879a373.exe\"",
"event_name": "process_create",
"pid": 7912,
"process_md5": "b6c12d88eeb910784d75a5e4df954001",
"elevation_sz": "提升",
"elevation": 1,
"parent_elevation_sz": "提升",
"user_name": "1022H2X64-N74\\testadmin",
"parent_integrity_sz": "高",
"process_path": "c:\\putty9ebd95c0-5eb4-49b6-82ee-e7c7a879a373.exe",
"datetime": 1715023630446,
"mitre_ids": [],
"os_version": "Windows 10",
"parent_pid": 2932,
"company_id": "5b9bc2701da197f07a8b4567",
"hardware_id": "4D8E0E42-22F0-2D94-6823-C3863931877A-0050568E1657",
"os_family": "windows",
"os_platform": "x64",
"os_type": "client",
"product_version": "7.9.11.406"
}
]
终止进程
|
字段名称 |
描述 |
|---|---|
|
company_id |
表示 GravityZone . |
|
ctc_version |
CTC安全签名的版本 |
|
datetime |
Unix纪元时间格式的日期和时间 |
|
event_name |
事件名称 |
|
event_version |
事件版本 |
|
hardware_id |
由 BEST 生成的唯一标识终端的ID |
|
machine_name |
主机名 |
|
os_family |
操作系统类型。可能取值:
|
|
os_platform |
操作系统架构类型,
|
|
os_type |
表示操作系统是承担客户端还是服务器角色。 |
|
os_version |
操作系统版本。例如:
|
|
pid |
进程标识符 |
|
product_version |
最佳 产品版本 |
[
{
"ctc_version": "2.13.4.3",
"machine_name": "1022H2X64-N74",
"event_version": 1,
"event_name": "terminate_process",
"pid": 7912,
"datetime": 1715023652647,
"os_version": "Windows 10",
"company_id": "5b9bc2701da197f07a8b4567",
"hardware_id": "4D8E0E42-22F0-2D94-6823-C3863931877A-0050568E1657",
"os_family": "windows",
"os_platform": "x64",
"os_type": "client",
"product_version": "7.9.11.406"
}
]
网络连接
|
字段名 |
描述 |
|---|---|
|
bytes_sent |
源端点发送的字节数 |
|
bytes_received |
目标端点接收的字节数 |
|
company_id |
表示公司ID(位于 GravityZone . |
|
ctc_version |
CTC安全签名版本 |
|
datetime |
Unix纪元时间格式的日期时间 |
|
direction |
指示网络连接的发起方向,是
|
|
event_name |
事件名称 |
|
event_version |
事件版本 |
|
hardware_id |
由 BEST 生成的唯一标识终端的ID。 |
|
ip_dest |
目标IP地址 |
|
ip_source |
源IP地址 |
|
machine_name |
主机名 |
|
operation |
指示执行的网络操作类型。例如:
|
|
os_family |
操作系统类型。可能取值:
|
|
os_platform |
操作系统架构类型,
|
|
os_type |
指示操作系统是充当客户端还是服务器角色。 |
|
os_version |
操作系统版本。例如:
|
|
pid |
进程标识符 |
|
port_dest |
目标端口 |
|
port_source |
源端口 |
|
process_path |
进程路径 |
|
product_version |
最佳 产品版本 |
{
"port_source": 54788,
"port_dest": 8089,
"bytes_sent": 0,
"ctc_version": "2.13.4.3",
"machine_name": "1022H2X64-N74",
"event_version": 1,
"ip_dest": "10.17.130.193",
"event_name": "network_connection",
"pid": 2932,
"direction": "出站",
"operation": "断开连接",
"bytes_received": 0,
"process_path": "c:\\python36\\pythonw.exe",
"datetime": 1715023721139,
"ip_source": "10.25.102.114",
"os_version": "Windows 10",
"company_id": "5b9bc2701da197f07a8b4567",
"hardware_id": "4D8E0E42-22F0-2D94-6823-C3863931877A-0050568E1657",
"os_family": "windows",
"os_platform": "x64",
"os_type": "client",
"product_version": "7.9.11.406"
}
登录
要成功接收登录事件,您必须首先 在终端上启用审核登录策略 。
|
字段名称 |
描述 |
|---|---|
|
company_id |
表示 GravityZone . |
|
ctc_version |
CTC安全签名的版本 |
|
datetime |
Unix纪元时间格式的日期和时间 |
|
event_name |
事件名称 |
|
event_version |
事件版本 |
|
hardware_id |
由 BEST 生成的唯一标识终端的ID |
|
ip_source |
源IP地址 |
|
logon_type |
与登录类型关联的ID。可能的值:
|
|
登录类型字符串 |
登录类型。可能取值:
要了解这些登录类型的更多信息,请参阅 登录类型及描述 . |
|
machine_name |
主机名 |
|
os_family |
操作系统类型。可能取值:
|
|
os_platform |
操作系统架构类型,
|
|
os_type |
表示操作系统是客户端还是服务器角色。 |
|
os_version |
操作系统版本。例如:
|
|
product_version |
BEST 产品版本 |
|
user_name |
执行登录的用户 |
{
"ctc_version": "2.13.4.3",
"logon_type_sz": "交互式",
"machine_name": "1022H2X64-N74",
"event_version": 1,
"event_name": "登录",
"user_name": "6e925f53-8d3c-4716-b",
"logon_type": 2,
"datetime": 1715025164820,
"ip_source": "::1",
"os_version": "Windows 10",
"company_id": "5b9bc2701da197f07a8b4567",
"hardware_id": "4D8E0E42-22F0-2D94-6823-C3863931877A-0050568E1657",
"os_family": "windows",
"os_platform": "x64",
"os_type": "客户端",
"product_version": "7.9.11.406"
}
注销
要成功接收注销事件,必须先在终端上启用审计注销策略。按照 此处 描述的步骤操作。在第3步中,请改为打开 审计注销 策略。
|
字段名称 |
描述 |
|---|---|
|
company_id |
表示 GravityZone . |
|
ctc_version |
CTC安全签名版本 |
|
datetime |
Unix纪元时间格式的日期和时间 |
|
event_name |
事件名称 |
|
event_version |
事件版本 |
|
hardware_id |
由 BEST 生成的唯一标识终端的ID。 |
|
machine_name |
主机名 |
|
os_family |
操作系统类型。可能取值:
|
|
os_platform |
操作系统架构类型,
|
|
os_type |
表示操作系统承担客户端还是服务器角色。 |
|
os_version |
操作系统版本。例如:
|
|
product_version |
BEST 产品版本 |
|
user_name |
注销的用户 |
{
"ctc_version": "2.13.4.3",
"machine_name": "1022H2X64-N74",
"event_version": 1,
"event_name": "log_out",
"user_name": "6e925f53-8d3c-4716-b",
"datetime": 1715025164820,
"os_version": "Windows 10",
"company_id": "5b9bc2701da197f07a8b4567",
"hardware_id": "4D8E0E42-22F0-2D94-6823-C3863931877A-0050568E1657",
"os_family": "windows",
"os_platform": "x64",
"os_type": "client",
"product_version": "7.9.11.406"
}
创建文件
|
字段名称 |
描述 |
|---|---|
|
company_id |
表示 GravityZone . |
|
ctc_version |
CTC安全签名版本 |
|
datetime |
Unix纪元时间格式的日期和时间 |
|
event_name |
事件名称 |
|
event_version |
事件版本 |
|
hardware_id |
由 BEST 生成的唯一标识终端的ID |
|
machine_name |
主机名 |
|
md5 |
文件的MD5哈希值 |
|
os_family |
操作系统类型。可能取值:
|
|
os_platform |
操作系统架构类型,
|
|
os_type |
指示操作系统是客户端还是服务器角色 |
|
os_version |
操作系统版本。例如:
|
|
path |
文件路径 |
|
pid |
进程标识符 |
|
process_sha |
生成该文件的进程的SHA256哈希值 |
|
process_md5 |
生成该文件的进程的MD5哈希值 |
|
process_path |
进程路径 |
|
product_version |
BEST 产品版本 |
|
sha |
文件的SHA256哈希值 |
|
source_path |
当文件被复制到新位置时,此字段表示初始文件路径。否则该字段为空。 |
|
user_name |
启动生成该文件进程的用户 |
[
{
"ctc_version": "2.13.4.3",
"process_sha": "9785001b0dcf755eddb8af294a373c0b87b2498660f724e76c4d53f9c217c7a3",
"source_path": "",
"machine_name": "1022H2X64-N74",
"event_version": 1,
"event_name": "file_create",
"pid": 6572,
"process_md5": "2e5a8590cf6848968fc23de3fa1e25f1",
"user_name": "",
"md5": "",
"process_path": "c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe",
"datetime": 1715023843379,
"path": "c:\\create904acfb1-f484-4282-89a1-7ff5d93dd3ef.txt",
"os_version": "Windows 10",
"sha": "",
"company_id": "5b9bc2701da197f07a8b4567",
"hardware_id": "4D8E0E42-22F0-2D94-6823-C3863931877A-0050568E1657",
"os_family": "windows",
"os_platform": "x64",
"os_type": "client",
"product_version": "7.9.11.406"
}
]
删除文件
|
字段名称 |
描述 |
|---|---|
|
company_id |
表示 GravityZone . |
|
ctc_version |
CTC安全签名版本 |
|
datetime |
Unix纪元时间格式的日期和时间 |
|
event_name |
事件名称 |
|
event_version |
事件版本 |
|
hardware_id |
由 BEST 生成的唯一标识终端的ID |
|
is_remote |
指示文件变更是否通过远程连接发生 |
|
machine_name |
主机名 |
|
os_family |
操作系统类型。可选值:
|
|
os_platform |
操作系统架构类型,
|
|
os_type |
指示操作系统承担客户端还是服务器角色 |
|
os_version |
操作系统版本。例如:
|
|
path |
被删除文件的文件路径 |
|
pid |
进程标识符 |
|
process_sha |
删除文件的进程的SHA256哈希值 |
|
process_md5 |
删除文件的进程的MD5哈希值 |
|
process_path |
进程路径 |
|
product_version |
BEST 产品版本 |
|
user_name |
启动删除文件进程的用户 |
[
{
"ctc_version": "2.13.4.3",
"process_sha": "9785001b0dcf755eddb8af294a373c0b87b2498660f724e76c4d53f9c217c7a3",
"machine_name": "1022H2X64-N74",
"event_version": 1,
"event_name": "file_delete",
"pid": 4872,
"process_md5": "2e5a8590cf6848968fc23de3fa1e25f1",
"user_name": "",
"process_path": "c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe",
"is_remote": 0,
"datetime": 1715023867586,
"path": "c:\\create904acfb1-f484-4282-89a1-7ff5d93dd3ef.txt",
"os_version": "Windows 10",
"company_id": "5b9bc2701da197f07a8b4567",
"hardware_id": "4D8E0E42-22F0-2D94-6823-C3863931877A-0050568E1657",
"os_family": "windows",
"os_platform": "x64",
"os_type": "client",
"product_version": "7.9.11.406"
}
]
修改文件
|
字段名称 |
描述 |
|---|---|
|
bytes_written |
写入的前几个字节的缓冲区(最多64K) |
|
company_id |
表示公司ID,位于 GravityZone . |
|
ctc_version |
CTC安全签名版本 |
|
datetime |
Unix纪元时间格式的日期和时间 |
|
entropy |
文件熵值 |
|
event_name |
事件名称 |
|
event_version |
事件版本 |
|
extra_keys |
用于在生成的事件中显示额外信息的键 |
|
extra_values |
对应于 extra_keys 字段的值 |
|
hardware_id |
由 BEST 生成的唯一标识终端的ID |
|
is_remote |
指示文件更改是否通过远程连接发生 |
|
machine_name |
主机名 |
|
md5 |
文件的MD5哈希值 |
|
os_family |
操作系统类型。可能取值:
|
|
os_platform |
操作系统架构类型,
|
|
os_type |
指示操作系统承担的是客户端还是服务器角色。 |
|
os_version |
操作系统版本。例如:
|
|
path |
文件路径 |
|
pid |
进程标识符 |
|
process_sha |
生成该文件的进程的SHA256哈希值 |
|
process_md5 |
生成该文件的进程的MD5哈希值 |
|
process_path |
进程路径 |
|
product_version |
BEST 产品版本 |
|
sha |
文件的SHA256哈希值 |
|
type |
与文件类型关联的ID。可能取值:
|
|
类型大小 |
文件类型。可能取值:
|
|
user_name |
启动修改文件进程的用户名。 |
{
"bytes_written": 0,
"ctc_version": "2.13.4.3",
"process_sha": "9785001b0dcf755eddb8af294a373c0b87b2498660f724e76c4d53f9c217c7a3",
"extra_keys": [],
"type_sz": "Unknown",
"machine_name": "1022H2X64-N74",
"event_version": 1,
"entropy": 0,
"event_name": "file_modify",
"pid": 7580,
"process_md5": "2e5a8590cf6848968fc23de3fa1e25f1",
"user_name": "",
"md5": "",
"process_path": "c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe",
"is_remote": 0,
"datetime": 1715024067932,
"path": "c:\\programdata\\modify2f808a64-a09d-49ff-885c-efd4cdc264bc.txt",
"extra_values": [],
"os_version": "Windows 10",
"sha": "",
"type": 999,
"company_id": "5b9bc2701da197f07a8b4567",
"hardware_id": "4D8E0E42-22F0-2D94-6823-C3863931877A-0050568E1657",
"os_family": "windows",
"os_platform": "x64",
"os_type": "client",
"product_version": "7.9.11.406"
}
从文件读取
|
字段名 |
描述 |
|---|---|
|
bytes_read |
从文件读取的字节数 |
|
company_id |
表示 GravityZone . |
|
ctc_version |
CTC安全签名版本 |
|
datetime |
Unix时间戳格式的日期时间 |
|
entropy |
文件熵值 |
|
event_name |
事件名称 |
|
event_version |
事件版本 |
|
extra_keys |
生成事件中显示额外信息的键名 |
|
extra_values |
对应 extra_keys 字段的值 |
|
hardware_id |
由BEST生成的、用于唯一标识端点的ID BEST 生成的唯一端点标识符 |
|
is_remote |
指示文件是否通过远程连接读取 |
|
machine_name |
主机名 |
|
os_family |
操作系统类型。可能取值:
|
|
os_platform |
操作系统架构类型
|
|
os_type |
指示操作系统承担客户端还是服务器角色 |
|
os_version |
操作系统版本。例如:
|
|
path |
文件路径 |
|
pid |
进程标识符 |
|
process_md5 |
进程的MD5哈希值 |
|
process_path |
进程路径 |
|
process_sha |
进程的SHA256哈希值 |
|
product_version |
BEST 产品版本 |
|
type |
与文件类型关联的ID。可能取值:
|
|
type_sz |
文件类型。可能取值包括:
|
|
user_name |
启动读取文件进程的用户 |
[
{
"ctc_version": "2.13.4.3",
"process_sha": "9785001b0dcf755eddb8af294a373c0b87b2498660f724e76c4d53f9c217c7a3",
"extra_keys": [],
"type_sz": "Unknown",
"machine_name": "1022H2X64-N74",
"event_version": 1,
"entropy": 0,
"event_name": "file_read",
"pid": 8756,
"process_md5": "2e5a8590cf6848968fc23de3fa1e25f1",
"user_name": "",
"process_path": "c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe",
"is_remote": 0,
"datetime": 1715024308353,
"path": "c:\\programdata\\readfileaf8f7981-30ed-4661-8ced-a34ad484c872.txt",
"bytes_read": 4096,
"extra_values": [],
"os_version": "Windows 10",
"type": 999,
"company_id": "5b9bc2701da197f07a8b4567",
"hardware_id": "4D8E0E42-22F0-2D94-6823-C3863931877A-0050568E1657",
"os_family": "windows",
"os_platform": "x64",
"os_type": "client",
"product_version": "7.9.11.406"
}
]
移动文件
|
字段名 |
描述 |
|---|---|
|
company_id |
表示 GravityZone . |
|
ctc_version |
CTC安全签名版本 |
|
datetime |
Unix纪元时间格式的日期和时间 |
|
event_name |
事件名称 |
|
event_version |
事件版本 |
|
硬件ID |
由 BEST 生成的唯一标识端点的ID |
|
机器名称 |
主机名 |
|
MD5 |
文件的MD5哈希值 |
|
新路径 |
新的文件路径 |
|
操作系统系列 |
操作系统类型。可能取值:
|
|
操作系统平台 |
操作系统架构类型,
|
|
操作系统类型 |
指示操作系统是客户端还是服务器角色 |
|
操作系统版本 |
操作系统版本。例如:
|
|
路径 |
初始文件路径 |
|
进程ID |
进程标识符 |
|
进程SHA256哈希 |
移动文件的进程的SHA256哈希值 |
|
进程MD5哈希 |
移动文件的进程的MD5哈希值 |
|
进程路径 |
进程路径 |
|
产品版本 |
最佳 产品版本 |
|
SHA256哈希 |
被移动文件的SHA256哈希值 |
|
用户名 |
启动移动文件进程的用户 |
[
{
"ctc_version": "2.13.4.3",
"process_sha": "9785001b0dcf755eddb8af294a373c0b87b2498660f724e76c4d53f9c217c7a3",
"machine_name": "1022H2X64-N74",
"event_version": 1,
"new_path": "c:\\movee9da5e14-0334-466e-b2e1-e6a801dba9fb.txt",
"event_name": "file_move",
"pid": 1724,
"process_md5": "2e5a8590cf6848968fc23de3fa1e25f1",
"user_name": "",
"md5": "",
"process_path": "c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe",
"datetime": 1715024186114,
"path": "c:\\windows\\movee9da5e14-0334-466e-b2e1-e6a801dba9fb.txt",
"os_version": "Windows 10",
"sha": "",
"company_id": "5b9bc2701da197f07a8b4567",
"hardware_id": "4D8E0E42-22F0-2D94-6823-C3863931877A-0050568E1657",
"os_family": "windows",
"os_platform": "x64",
"os_type": "client",
"product_version": "7.9.11.406"
}
]
注册表创建键
|
字段名称 |
描述 |
|---|---|
|
公司ID |
表示GravityZone中的公司ID GravityZone . |
|
ctc_version |
CTC安全签名版本 |
|
日期时间 |
Unix纪元时间格式的日期和时间 |
|
事件名称 |
事件名称 |
|
event_version |
事件版本 |
|
hardware_id |
由 BEST 生成的唯一标识终端的ID |
|
key_path |
注册表键路径 |
|
machine_name |
主机名 |
|
operation |
对注册表键执行的操作类型。可能取值:
|
|
os_family |
操作系统类型。可能取值:
|
|
os_platform |
操作系统架构类型,
|
|
os_type |
指示操作系统是充当客户端还是服务器角色。 |
|
os_version |
操作系统版本。例如:
|
|
pid |
进程标识符 |
|
product_version |
BEST 产品版本 |
|
user_name |
启动创建注册表键的进程的用户。 |
[
{
"ctc_version": "2.13.4.3",
"key_path": "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\test_keyaecf3fbc-038b-4cf6-a819-fffbf0080c54",
"machine_name": "1022H2X64-N74",
"event_version": 1,
"event_name": "reg_create_key",
"pid": 9476,
"user_name": "",
"operation": "create",
"datetime": 1715024773966,
"os_version": "Windows 10",
"company_id": "5b9bc2701da197f07a8b4567",
"hardware_id": "4D8E0E42-22F0-2D94-6823-C3863931877A-0050568E1657",
"os_family": "windows",
"os_platform": "x64",
"os_type": "client",
"product_version": "7.9.11.406"
}
]
注册表删除键
|
字段名称 |
描述 |
|---|---|
|
company_id |
表示在 GravityZone . |
|
datetime |
Unix纪元时间格式的日期和时间 |
|
event_name |
事件名称 |
|
event_version |
事件版本 |
|
hardware_id |
由 BEST 生成的唯一标识端点的ID。 |
|
key_path |
注册表键的路径 |
|
machine_name |
主机名 |
|
operation |
对注册表键执行的操作类型。可能取值:
|
|
os_family |
操作系统类型。可能取值:
|
|
os_platform |
操作系统架构类型,
|
|
os_type |
表示操作系统是客户端还是服务器角色。 |
|
os_version |
操作系统版本。例如:
|
|
pid |
进程标识符 |
|
product_version |
BEST 产品版本 |
|
user_name |
启动删除注册表键值进程的用户。 |
[
{
"ctc_version": "2.13.4.3",
"key_path": "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\test_keyaecf3fbc-038b-4cf6-a819-fffbf0080c54",
"machine_name": "1022H2X64-N74",
"event_version": 1,
"event_name": "reg_delete_key",
"pid": 3456,
"user_name": "",
"operation": "delete",
"datetime": 1715024776201,
"os_version": "Windows 10",
"company_id": "5b9bc2701da197f07a8b4567",
"hardware_id": "4D8E0E42-22F0-2D94-6823-C3863931877A-0050568E1657",
"os_family": "windows",
"os_platform": "x64",
"os_type": "client",
"product_version": "7.9.11.406"
}
]
注册表删除值
|
字段名称 |
描述 |
|---|---|
|
company_id |
表示 GravityZone . |
|
ctc_version |
CTC安全签名版本 |
|
datetime |
Unix纪元时间格式的日期和时间 |
|
event_name |
事件名称 |
|
event_version |
事件版本 |
|
hardware_id |
由 BEST 生成的唯一标识终端的ID |
|
key_path |
注册表键路径 |
|
machine_name |
主机名 |
|
operation |
对注册表键执行的操作类型。可能取值包括:
|
|
os_family |
操作系统类型。可能取值包括:
|
|
os_platform |
操作系统架构类型,
|
|
os_type |
指示操作系统是客户端还是服务器角色。 |
|
os_version |
操作系统版本。例如:
|
|
pid |
进程标识符 |
|
product_version |
BEST 产品版本 |
|
user_name |
启动删除注册表值进程的用户。 |
|
值 |
注册表值 |
[
{
"ctc_version": "2.13.4.3",
"key_path": "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\test_key_c0fcd233-788d-4449-983f-e6e1de1026ce",
"machine_name": "1022H2X64-N74",
"event_version": 1,
"event_name": "reg_delete_value",
"pid": 9996,
"value": "4ce93d69-8da7-48de-b967-3bc4011302aa",
"user_name": "",
"operation": "delete",
"datetime": 1715024962726,
"os_version": "Windows 10",
"company_id": "5b9bc2701da197f07a8b4567",
"hardware_id": "4D8E0E42-22F0-2D94-6823-C3863931877A-0050568E1657",
"os_family": "windows",
"os_platform": "x64",
"os_type": "client",
"product_version": "7.9.11.406"
}
]
注册表修改值
|
字段名 |
描述 |
|---|---|
|
company_id |
表示 GravityZone . |
|
ctc_version |
CTC安全签名版本 |
|
数据 |
写入该值的数据 |
|
data_type |
与注册表数据类型关联的ID。可能取值:
|
|
data_type_sz |
注册表值的数据格式。可能取值包括:
要了解更多关于这些数据格式的信息,请参阅 注册表值类型 . |
|
日期时间(datetime) |
Unix纪元时间格式的日期和时间 |
|
事件名称(event_name) |
事件名称 |
|
事件版本(event_version) |
事件版本 |
|
硬件ID(hardware_id) |
由 BEST ,用于唯一标识终端节点的标识符。 |
|
key_path |
注册表键的路径 |
|
machine_name |
主机名 |
|
operation |
对注册表键执行的操作类型。可能取值:
|
|
os_family |
操作系统类型。可能取值:
|
|
os_platform |
操作系统架构类型,
|
|
os_type |
指示操作系统是客户端还是服务器角色。 |
|
os_version |
操作系统版本。例如:
|
|
pid |
进程标识符 |
|
产品版本 |
最佳 产品版本 |
|
用户名 |
启动修改注册表值进程的用户 |
|
值 |
注册表值 |
[
{
"ctc_version": "2.13.4.3",
"key_path": "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\test_key_c0fcd233-788d-4449-983f-e6e1de1026ce",
"data_type_sz": "dword",
"machine_name": "1022H2X64-N74",
"event_version": 1,
"event_name": "reg_modify_value",
"pid": 2320,
"value": "4ce93d69-8da7-48de-b967-3bc4011302aa",
"user_name": "",
"operation": "create",
"data": "1",
"datetime": 1715024938841,
"data_type": 4,
"os_version": "Windows 10",
"company_id": "5b9bc2701da197f07a8b4567",
"hardware_id": "4D8E0E42-22F0-2D94-6823-C3863931877A-0050568E1657",
"os_family": "windows",
"os_platform": "x64",
"os_type": "client",
"product_version": "7.9.11.406"
}
]